Świat wygrzebał się z lipcowej awarii oprogramowania CrowdStrike, która sparaliżowała komputery oparte na systemie Microsoftu, ale jej echa wciąż wybrzmiewają. Największy incydent IT w historii doprowadził bowiem do 5 tys. odwołanych lotów, zakłóceń w pracy przedsiębiorstw, a nawet wstrzymania procedur w szpitalach. Tylko straty poniesione przez 500 największych amerykańskich firm wyniosły w konsekwencji ok. 5,4 mld dol. Analitycy ostrzegają jednak, że teraz podobne efekty będą chcieli osiągnąć cyberprzestępcy.
Awaria lekcją dla cyberprzestępców
Lekcja z historii z CrowdStrike dla hakerów ma ogromną wartość. Aleksander Kostuch, inżynier w firmie Stormshield, zajmującej się bezpieczeństwem IT, przekonuje, że ci mogą postrzegać incydent jako „realną grę symulacyjną, oceniając reakcje i zdolność do radzenia sobie z awariami na masową skalę”. – Zebrane przy okazji incydentu wnioski mogą posłużyć przestępcom do optymalizowania strategii działań, których celem jest paraliż infrastruktury krytycznej. Incydent dostarcza im cennych informacji o odporności i słabościach systemów informatycznych – mówi Kostuch. I podkreśla, iż analiza reakcji na awarię pozwala im na identyfikację luk w zabezpieczeniach, które mogą być wykorzystane w przyszłości.
W poprzednich latach aktualizacje systemów IT kluczowych dla funkcjonowania gospodarki były już celem hakerów. Najgłośniejsze przypadki, gdy udawało się infekować kod popularnego wśród użytkowników oprogramowania (po pobraniu jego zaktualizowanej wersji okazywało się, że zawierało ono wirusa), to choćby kampania SolarWinds z 2020 r. czy atak NotPetya z 2017 r. W tym pierwszym przypadku złośliwy kod został dodany do aktualizacji oprogramowania Orion firmy SolarWinds. Ofiarami padło tysiące klientów, w tym agencje rządowe i korporacje. Z kolei głośny przypadek NotPetya, gdy złośliwe oprogramowanie rozprzestrzeniło się za pośrednictwem aktualizacji oprogramowania księgowego M.E.Doc, sparaliżowało Ukrainę (choć skutki ataku i straty nim spowodowane miały charakter globalny).
Ale, jak wskazują analitycy, przestępcy wcale nie muszą infekować sieci, by wywołać efekt paniki. Wystarczy dezinformacja.
Echa incydentu CrowdStrike
Aleksander Kostuch zaznacza, że nie każde zdarzenie jest cyberatakiem, czego dowodzą zarówno awaria CrowdStrike czy problemy francuskiej kolei w dniu rozpoczęcia igrzysk olimpijskich. Wywołane nimi zamieszanie niesłusznie przypisywano atakom cybernetycznym. – Taka interpretacja może utrudniać odpowiednie zarządzanie kryzysowe i skutkować na przykład nieadekwatnym alokowaniem ograniczonych zasobów i osłabieniem zaufania do odpowiedzialnych za sferę cyberbezpieczeństwa instytucji. Dezinformacja i rozsiewanie plotek wzmacniają poczucie zagrożenia i niepewności, destabilizując społeczności i gospodarkę – komentuje ekspert. – Powinniśmy wyciągać wnioski na temat skuteczności różnych metod ataku oraz reakcji obronnych. Pozwala to na lepsze przygotowanie i koordynację przyszłych działań – kontynuuje przedstawiciel Stormshield.
