Da CrowdStrike lammede omkring 8,5 millioner computere i lufthavne, hospitaler, banker og virksomheder hele verden over, gik mange i panik. Det ironiske var, at det var systemer, der var beskyttet af sikkerhedssystemet CrowdStrike og deres Falcon Sensor, der blev ramt.
CrowdStrike udsender, eller pusher om du vil, opdateringer hver fredag, og brugere af deres system skal ikke gøre noget, opdateringen sker automatisk og helt i baggrunden, hvilket er helt normalt for mange systemer.
Men d. 19. juli gik det altså galt, og en opdatering betød, at Windows-systemer hele verden over fik den frygtede ’blue screen of death’. Fejlen blev rettet dagen efter, men et døgn med globalt nedbrud kostede mange penge.
Så hvad kan vi lære af CrowdStrike og det globale nedbrud?
For det første skal vi lære, at selvom 8,5 millioner enheder lyder som et enormt tal, så svarer det faktisk kun til knap 0,05 % af alle de enheder, der er koblet på internettet 2024. Så perspektiv er altid en vigtig lektie – hvor voldsomt er et cyberangreb, nedbrud og så videre i virkeligheden.
Dernæst er det vigtigt at være opmærksom på, at softwarekode kan have fejl – også softwareopdateringer. Derfor er det vigtigt at teste alt, inden det installeres i et aktivt produktionsmiljø. Ellers kan og vil situationer som med CrowdStrike opstå igen og igen.
Derfor er det vigtigt at gennemgå, hvilke processer og forholdsregler der er på plads, inden systemer patches eller opdateres.
Her skal jeg så lige gribe i egen barm. For jeg er en af de første derude til at sige, at systemer altid skal holdes opdateret, og at jeg altid opdaterer min iPhone, så snart der er en ny opdatering til OS’et.
Det er også fint nok at opdatere her, også din private desktop eller computere, der ikke er en integreret del af et vitalt system i virksomheden. Men når det kommer til servere og kritiske applikationer, skal opdateringer altid testes i et lukket miljø designet til formålet, og først når man er sikker på, at opdateringen er stabil, må den rulles ud.
Helt i samme boldgade betyder det også, at vi har lært, at stille og automatisk opdatering af kritiske systemer ikke nødvendigvis er en god ide. Heller ikke, når det er et sikkerhedssystem, der opdateres – berører det kritiske systemer, skal det altid testes.
En vigtig lektie er også at være opmærksom på, hvilke systemer der har adgang til kernen af Windows-systemet. Sikkerhedssystemer har som udgangspunkt adgang til kernen i OS’et for at gøre det så sikkert som muligt, og CrowdStrike viser, hvor galt det kan gå. Så som brugere skal vi være meget opmærksomme på, hvilke systemer der har adgang til kernen af vores operativsystem – og om der måske er alternativer, der ikke kræver den adgang.
Endelig kan vi lære, at det er vigtigt at have backup-planer og nødplaner på plads, så hvis – eller når – det går galt, så er der en plan for, hvad man gør, og hvordan man kommer tilbage igen.
Backup er en vigtig del her, men også hvordan man reagerer i krisesituationen. Hvordan sikrer man, at problemet ikke bliver større end højst nødvendigt, hvem skal informeres, hvornår og så videre.
CrowdStrike var et globalt problem, men vi kan lære af det, og det bør vi.
Husk også at du på cybervejret.dk kan få en ugentlig opdatering om it-sikkerhed. Her tager jeg hver uge pulsen på cybersikkerhedssituationen i Danmark og resten af verden.
