Globální výpadek počítačů se už nesmí opakovat. Microsoft si je toho dobře vědom a chce změnit způsob, jakým budou bezpečnostní firmy chránit koncová zařízení s operačním systémem Windows. Reaguje tak na nedávný incident, kdy chyba v aktualizaci bezpečnostního řešení společnosti CrowdStrike vyřadila miliony počítačů z provozu.

Microsoft oznámil, že 10. září 2024 uspořádá ve svém sídle v Redmondu ve státě Washington konferenci zaměřenou na kybernetickou bezpečnost. Tato událost, nazvaná Windows Endpoint Security Ecosystem Summit, přichází méně než dva měsíce po katastrofálním výpadku způsobeném chybnou aktualizací bezpečnostního softwaru společnosti CrowdStrike, který zasáhl miliony počítačů s Windows po celém světě.

Modrá obrazovka smrti byla jediné, co uživatelé po nepovedené aktualizaci bezpečnostního softwaru viděli. Pro administrátory ve firmách to v naprosté většině znamenalo nutnost dostat se ke každému jednomu počítači zvlášť fyzicky. Škody jsou odhadovány na přibližně 10 miliard dolarů (cca 220 miliard Kč). Foto: Redakce inSmart.cz

Červencový incident měl dalekosáhlé důsledky. Aerolinky byly nuceny zrušit tisíce letů, logistické společnosti hlásily zpoždění v doručování zásilek a nemocnice musely odložit lékařská vyšetření. Společnost Delta Air Lines uvedla, že následky výpadku ji stály 550 milionů dolarů (přes 12 miliard Kč), a nyní požaduje náhradu škody od CrowdStrike i Microsoftu.

Microsoft chce změnit způsob, jakým firmy chrání uživatele

Cílem zářijového summitu je shromáždit klíčové hráče v odvětví kybernetické bezpečnosti, včetně CrowdStrike a dalších významných partnerů, k diskusi o možnostech, jak předcházet podobným problémům v budoucnu. Microsoft plánuje prozkoumat možnost, aby bezpečnostní aplikace více spoléhaly na tzv. uživatelský režim (user mode) operačního systému Windows namísto privilegovanějšího režimu jádra (kernel mode).

Současné bezpečnostní produkty od společností jako CrowdStrike, Check Point a SentinelOne využívají právě režim jádra, který jim umožňuje hloubkovou kontrolu systému. Problém je v tom, že aplikace běžící v režimu jádra mohou v případě selhání způsobit pád celého operačního systému – přesně to se stalo 19. července, kdy chybná aktualizace CrowdStrike Falcon vyvolala masivní výpadek počítačů po celém světě.

Aerolinky rušily lety, dopravci nedoručovali balíčky, lidé nemohli vykonávat svou práci. CrowdStrike i Microsoft nyní čelí žalobám. Foto: Freepik

Kromě diskuse o přesunu bezpečnostních aplikací do uživatelského režimu plánuje Microsoft na summitu probrat i další technologické inovace. Mezi ně patří adopce technologie eBPF, která dokáže předem ověřit, zda programy poběží bez rizika pádu systému, a využití paměťově bezpečných programovacích jazyků jako je Rust.

Microsoft CrowdStriku konkuruje

Je důležité poznamenat, že Microsoft sám je konkurentem CrowdStrike se svým produktem Defender for Endpoint. Společnost však ujišťuje, že summit bude neutrální platformou, kde všichni účastníci budou mít rovnocenné postavení.

Aidan Marcuss, korporátní viceprezident Microsoftu, ve svém blogovém příspěvku zdůraznil, že cílem summitu je „diskutovat o konkrétních krocích, které všichni podnikneme ke zlepšení bezpečnosti a odolnosti pro naše společné zákazníky.“ Microsoft také plánuje pozvat zástupce vlády, aby zajistil maximální transparentnost.

Zeptali jsme se odborníků: Jak se firmy mohou bránit už nyní?

I když systémové změny na úrovni operačních systémů a bezpečnostního softwaru budou vyžadovat čas, existují kroky, které mohou organizace podniknout již dnes, aby riziko podobných incidentů minimalizovaly. Zeptali jsme se na ně odborníků z české IT společnosti ČMIS.

1. Důkladné testování: Kde je to možné, pečlivě testujte všechny nové aktualizace a software v izolovaném prostředí před nasazením do produkce. U bezpečnostního softwaru je to sice komplikované kvůli potřebě rychlého nasazení, ale i zde je možné zavést určité kontrolní mechanismy.
2. Princip KISS (Keep It Simple, Stupid): Neinstalujte zbytečně komplexní systémy všude jen proto, že to vyžaduje bezpečnostní politika. Například kiosky na letištích nebo pokladní systémy často nepotřebují přístup k internetu a mohou být efektivně chráněny v izolované síti.
3. Důkladné zálohování: Zálohujte nejen servery, ale i desktopy. Mějte připravený plán kontinuity provozu a obnovy po havárii (disaster recovery plán) pro rychlé obnovení činnosti.
4. Automatizace obnovy: Pro velké množství podobně konfigurovaných počítačů zvažte systém automatické reinstalace na dálku.
5. Připravenost na výpadky: I když se takovým incidentům nelze zcela vyhnout, vždy je možné se na ně připravit tak, aby byl případný výpadek co nejkratší.

Zatímco odvětví kybernetické bezpečnosti čeká na výsledky zářijového summitu Microsoftu, je zřejmé, že červencový incident s problémovou aktulizací CrowdStrike byl varovným signálem. Výpadek byl sice na první pohled poměrně rozsáhlý, ale i tak šlo „jen“ o necelých 9 milionů zařízení. Na různých verzích operačního systému Windows dnes  přitom běží přes 1,4 miliardy počítačů po celém světě. Rozsáhlejší výpadek by už znamenal významnější dopady, které by se pravděpodobně dotkly většiny z nás.

Zdroje: Microsoft, CNBC