Как повлиял инцидент с CrowdStrike на мировой и российский бизнес

К вечеру 19 июля компании в США, Европе, Азии и Австралии начали постепенно возобновлять работу после глобального сбоя, вызванного утром проблемами в работе облачной платформы Microsoft Azure и сервиса кибербезопасности от компании CrowdStrike. Операционная деятельность авиационных, финансовых, медицинских, торговых и транспортных компаний по всему миру была парализована в течение почти всего дня в пятницу. В РФ упомянутые IT-решения практически не используются, поэтому российский бизнес почти не пострадал, по данным “Ъ”, проблема затронула лишь подразделения Procter & Gamble, а также L’Oreal в стране. Тем не менее эксперты полагают, что как мировые, так и российские компании после инцидента будут перестраивать свои методы обновлений софта и аварийного восстановления IT-систем.

19 июля работающие на Windows компьютеры ряда компаний по всему миру перестали загружаться. Как сообщил в соцсети X гендиректор американской компании CrowdStrike Джордж Курц, причиной стал «дефект в одном из обновлений (программы от CrowdStrike. — “Ъ”) для компьютеров на Windows». Речь, по данным издания The Register, идет об обновлении для средства кибербезопасности Falcon Sensor, предназначенного для отражения атак и мониторинга активности. Одновременно Microsoft сообщила о проблемах с доступностью ряда своих облачных сервисов, в том числе мессенджера Microsoft Teams, антивируса Microsoft Defender и компонентов Microsoft 365 (центр администрирования, сервис заметок OneNote и т. п.). Причиной именно этого сбоя стало изменение конфигурации облачного сервиса Azure. На работе интернета на мировом уровне сбой CrowdStrike практически не отразился, сообщила мониторинговая группа NetBlocks в своем канале в Telegram: «Вопреки заявлениям о "глобальном интернет-сбое", данные сети показывают минимальное влияние на связности и телеком-инфраструктуру».

Не взлетим и не поплаваем

Основной удар от сбоя пришелся на авиаперевозчиков и аэропорты. В первые же часы сотни рейсов отменили региональные американские авиакомпании, одна только денверская Frontier Air — 135. Затем предупреждения об отмене и задержке сотен рейсов выпустили и American Airlines, United Airlines и Delta Air. Перевозчики подчеркнули, что сбой серьезно отразился и на грузовых рейсах, что привело к задержкам в доставке товаров.

Довольно быстро сбой перекинулся в Европу. Среди пострадавших европейских авиакомпаний — Lufthansa и Eurowings, Ryanair, Wizz Air, Air France-KLM. Компании были вынуждены отменить или задержать сотни рейсов, не работала система бронирования и регистрации.

В целом по миру, по данным FlightAware, было отменено около 1,3 тыс. авиарейсов, а задержано — около 16 тыс.

Сбой затронул работу и крупных морских портов. В ведущем европейском порту — Роттердамском заявили, что нарушение работы может отразиться на 3 тыс. компаний, работающих там. Управление порта в польском Гданьске сообщило о «проблемах в операциях одного из контейнерных терминалов».

В Британии сбой нарушил работу железнодорожных компаний — крупнейший в стране независимый железнодорожный оператор Govia Thameslink Railway заявил о «масштабных компьютерных сбоях» в работе его систем и систем дочерних региональных компаний Thameslink, Gatwick Express и Great Northern.

Наличные снова в ходу

Проблемы ощутили на себе и компании финансового сектора. Утром 19 июня Лондонская фондовая биржа сообщила о перебоях в работе информационной системы биржевых сводок и публикации корпоративных релизов RNS. Австралийская фондовая биржа продлила часы работы из-за постоянных сбоев в обработке заказов клиентов. Крупнейший банк ЮАР Capitec, обслуживающий около 4 млн клиентов, в течение нескольких часов испытывал проблемы с операциями. Лишь к вечеру банк выпустил сообщение о том, что ему удалось наладить работу своих систем.

Некоторые британские розничные сети перешли на оплату товаров только наличными, поскольку системы обработки платежей зависли.

Самые большие обороты наличности 19 июля наблюдались в таких британских сетях продуктовых супермаркетов, как Waitrose и Morrisons. К середине дня в число пострадавших от сбоя попали FedEx и McDonald’s: они испытывали проблемы в работе внутренних систем связи, обработки заказов и платежей.

Бумага — всему голова

Среди тех, кто ощутил на себе глобальный сбой, оказались и многие больницы: нью-йоркская сеть медицинских центров и больниц Kaleida Health, бостонская сеть Mass General Brigham, а также Mount Nittany Health (штат Пенсильвания). Персонал был вынужден временно прекратить запись на прием новых пациентов, не требующих экстренной медицинской помощи. В ряде регионов США (Аляска, Аризона, Индиана, Нью-Гэмпшир и Огайо) была нарушена работа экстренной помощи 911: службы спасения не могли принимать и обрабатывать заказы через свои IT-системы.

Министерство здравоохранения Израиля сообщило, что «мировой сбой» затронул работу 16 больниц страны: наблюдались перебои в функционировании внутренних систем связи, обработки заказов и электронных медицинских карт.

В Великобритании и Франции была нарушена работа телевизионных каналов Sky News и TF1 с Canal+ соответственно. После возобновления эфира британские ведущие канала Sky News были вынуждены вести передачи, читая текст не с телесуфлера, как обычно, а с распечатанных бумажных страниц.

Нет софта — нет проблем

Россию глобальный компьютерный сбой практически не затронул по очевидной причине — из-за отсутствия соответствующего софта. Поэтому аэропорты Домодедово, Шереметьево, Внуково, Пулково еще до полудня публично отчитались об отсутствии сбоев, равно как и Росавиация, Росморречфлот и ОАО РЖД. Опрошенные “Ъ” российские финансовые организации (Сбербанк, ВТБ, ПСБ, Почта-банк, банк «Уралсиб», НСПК, а также Мосбиржа и др.) сообщили, что не пользуются либо CrowdStrike, либо иностранным ПО в принципе. Т-банк, у которого 19 июля были проблемы с денежными переводами, не ответил на вопрос о причине.

Как говорит источник “Ъ”, знакомый с ситуацией, в России сбой CrowdStrike отразился, в частности, на местных подразделениях Procter & Gamble, а также L’Oreal: «Остановилось промышленное оборудование, вышли из сети системы SCADA (диспетчерского управления и сбора данных), нарушились логистические цепочки, отгрузка товара со складов проводилась вручную».

По его словам, компании откатили проблемное обновление. L’Oreal заявляла об уходе с российского рынка осенью 2022 года, но у компании остался завод в Калужской области. На этом производстве и мог возникнуть сбой, говорит еще один источник “Ъ”. В компаниях не ответили “Ъ”.

По словам двух других собеседников из числа производителей продуктов повседневного спроса, на ПО CrowdStrike Falcon Sensor в индустрии FMCG РФ работали в основном представительства транснациональных компаний. Но те, кто не свернул свой бизнес в РФ, начали еще осенью 2022 года отделять свою IT-инфраструктуру от головных зарубежных компаний. По словам одного из собеседников “Ъ”, этому предшествовал скандал, случившийся летом 2022 года с немецкой DIY-сетью OBI. Та лишила российское подразделение доступа к своему ПО, чем на некоторое время парализовала работу всех магазинов в РФ.

Разработки CrowdStrike «очень популярны в мире, но в нашей стране эта компания на работает, и у нас может быть только незначительное количество устройств с данным ПО», отметил руководитель департамента сетевой безопасности F.A.C.C.T. Никита Кислицын. С ним согласен вице-президент ГК Softline Андрей Благоразумнов: «По нашей информации, в России очень мало организаций, использующих облачные сервисы Microsoft, и еще меньше тех, кто использует Falcon Sensor».

Что дальше

Мировые компании, пострадавшие от сбоя, готовят иски. Оливер Рот, главный трейдер франко-германской финансовой компании Oddo BHF Bank, рассказал журналу Bild: «Из-за ущерба, нанесенного по всему миру, на компанию могут обрушиться иски на миллиарды долларов, особенно в США. В особенности страдают перестраховщики, которым придется покрывать понесенные убытки». Аналитик лос-анджелесской брокерской компании Wedbush Securities Дэниел Айвз полагает, что сбоем могут воспользоваться конкуренты, предложив альтернативные решения: «Однако на это может потребоваться какое-то время, поскольку техническим директорам и компаниям нужно оценить риски потенциальных судебных разбирательств».

Однако у пятничного инцидента могут быть и более долговременные последствия, которые коснутся и российского бизнеса.

Подобные риски в общем характерны для облачных решений, если сравнивать их с on-premise (размещаемыми на оборудовании заказчика), считает Андрей Благоразумнов. Однако IT-директор облачного провайдера Oxygen Александр Будкин отметил, что ряд облачных сервисов Microsoft, будь то Azure или сервисы «под ключ» (Exchange Online, Microsoft 365), испытывали «незначительные сбои — в частности, проблемы с доступностью, которые проявлялись только в моменте». Это объясняется тем, что часть инфраструктуры Microsoft была недоступна, при этом та часть, которая работала, испытывала колоссальную нагрузку.

К сбоям, аналогичным случившемуся, может привести обновление любого ПО, тесно интегрированного с ядром операционной системы, объясняет ИБ-консультант Positive Technologies Алексей Лукацкий.

По его мнению, инцидент побудит компании проанализировать свои процедуры обновлений и, возможно, скорректировать их: «В очередной раз поднимется вопрос большего внимания к безопасной разработке, к тестированию обновлений». Директор департамента проектирования «Информзащиты» Анатолий Ромашев считает, что бизнес пересмотрит и планы аварийного восстановления.

Общепринятые практики, минимизирующие риски при обновлениях, подразумевают наличие плана «Б» на случай выхода систем из строя, говорит автор продукта Solar appScreener Даниил Чернов: «Это уже выходит за рамки кибербезопасности и относится больше к планированию непрерывности бизнеса (BCP)». Ключевой момент в таком плане — резервное копирование и механизмы быстрого восстановления, добавляет он. Господин Будкин прогнозирует, что компании, особенно в России, будут более настороженно относиться к использованию облачных сервисов глобальных компаний. «Следствием будет волна переездов к отечественным провайдерам или в частные, более контролируемые, облака»,— считает он.

Юрий Литвиненко, Евгений Хвостик, Артур Якушко, Наталья Скорлыгина, Халиль Аминов, отдел финансов