Компьютеры пустили по миру
Как повлиял инцидент с CrowdStrike на мировой и российский бизнес
К вечеру 19 июля компании в США, Европе, Азии и Австралии начали постепенно возобновлять работу после глобального сбоя, вызванного утром проблемами в работе облачной платформы Microsoft Azure и сервиса кибербезопасности от компании CrowdStrike. Операционная деятельность авиационных, финансовых, медицинских, торговых и транспортных компаний по всему миру была парализована в течение почти всего дня в пятницу. В РФ упомянутые IT-решения практически не используются, поэтому российский бизнес почти не пострадал, по данным “Ъ”, проблема затронула лишь подразделения Procter & Gamble, а также L’Oreal в стране. Тем не менее эксперты полагают, что как мировые, так и российские компании после инцидента будут перестраивать свои методы обновлений софта и аварийного восстановления IT-систем.
После 19 июля отношение крупного бизнеса к надежности решений от компании CrowdStrike изменилось не в лучшую сторону
Фото: Diego Radames / Europa Press / Getty Images
19 июля работающие на Windows компьютеры ряда компаний по всему миру перестали загружаться. Как сообщил в соцсети X гендиректор американской компании CrowdStrike Джордж Курц, причиной стал «дефект в одном из обновлений (программы от CrowdStrike.— “Ъ”) для компьютеров на Windows». Речь, по данным издания The Register, идет об обновлении для средства кибербезопасности Falcon Sensor, предназначенного для отражения атак и мониторинга активности. Одновременно Microsoft сообщила о проблемах с доступностью ряда своих облачных сервисов, в том числе мессенджера Microsoft Teams, антивируса Microsoft Defender и компонентов Microsoft 365 (центр администрирования, сервис заметок OneNote и т. п.). Причиной именно этого сбоя стало изменение конфигурации облачного сервиса Azure. На работе интернета на мировом уровне сбой CrowdStrike практически не отразился, сообщила мониторинговая группа NetBlocks в своем канале в Telegram: «Вопреки заявлениям о "глобальном интернет-сбое", данные сети показывают минимальное влияние на связности и телеком-инфраструктуру».
Не взлетим и не поплаваем
Основной удар от сбоя пришелся на авиаперевозчиков и аэропорты. В первые же часы сотни рейсов отменили региональные американские авиакомпании, одна только денверская Frontier Air — 135. Затем предупреждения об отмене и задержке сотен рейсов выпустили и American Airlines, United Airlines и Delta Air. Перевозчики подчеркнули, что сбой серьезно отразился и на грузовых рейсах, что привело к задержкам в доставке товаров.
Довольно быстро сбой перекинулся в Европу. Среди пострадавших европейских авиакомпаний — Lufthansa и Eurowings, Ryanair, Wizz Air, Air France-KLM. Компании были вынуждены отменить или задержать сотни рейсов, не работала система бронирования и регистрации.
В целом по миру, по данным FlightAware, было отменено около 1,3 тыс. авиарейсов, а задержано — около 16 тыс.
Сбой затронул работу и крупных морских портов. В ведущем европейском порту — Роттердамском заявили, что нарушение работы может отразиться на 3 тыс. компаний, работающих там. Управление порта в польском Гданьске сообщило о «проблемах в операциях одного из контейнерных терминалов».
В Британии сбой нарушил работу железнодорожных компаний — крупнейший в стране независимый железнодорожный оператор Govia Thameslink Railway заявил о «масштабных компьютерных сбоях» в работе его систем и систем дочерних региональных компаний Thameslink, Gatwick Express и Great Northern.
Наличные снова в ходу
Проблемы ощутили на себе и компании финансового сектора. Утром 19 июня Лондонская фондовая биржа сообщила о перебоях в работе информационной системы биржевых сводок и публикации корпоративных релизов RNS. Австралийская фондовая биржа продлила часы работы из-за постоянных сбоев в обработке заказов клиентов. Крупнейший банк ЮАР Capitec, обслуживающий около 4 млн клиентов, в течение нескольких часов испытывал проблемы с операциями. Лишь к вечеру банк выпустил сообщение о том, что ему удалось наладить работу своих систем.
Некоторые британские розничные сети перешли на оплату товаров только наличными, поскольку системы обработки платежей зависли.
Самые большие обороты наличности 19 июля наблюдались в таких британских сетях продуктовых супермаркетов, как Waitrose и Morrisons. К середине дня в число пострадавших от сбоя попали FedEx и McDonald’s: они испытывали проблемы в работе внутренних систем связи, обработки заказов и платежей.
Бумага — всему голова
Среди тех, кто ощутил на себе глобальный сбой, оказались и многие больницы: нью-йоркская сеть медицинских центров и больниц Kaleida Health, бостонская сеть Mass General Brigham, а также Mount Nittany Health (штат Пенсильвания). Персонал был вынужден временно прекратить запись на прием новых пациентов, не требующих экстренной медицинской помощи. В ряде регионов США (Аляска, Аризона, Индиана, Нью-Гэмпшир и Огайо) была нарушена работа экстренной помощи 911: службы спасения не могли принимать и обрабатывать заказы через свои IT-системы.
Министерство здравоохранения Израиля сообщило, что «мировой сбой» затронул работу 16 больниц страны: наблюдались перебои в функционировании внутренних систем связи, обработки заказов и электронных медицинских карт.
В Великобритании и Франции была нарушена работа телевизионных каналов Sky News и TF1 с Canal+ соответственно. После возобновления эфира британские ведущие канала Sky News были вынуждены вести передачи, читая текст не с телесуфлера, как обычно, а с распечатанных бумажных страниц.
Наибольшее число пострадавших от компьютерного сбоя вчера собралось в аэропортах
Фото: Ezra Acayan / Getty Images
Нет софта — нет проблем
Россию глобальный компьютерный сбой практически не затронул по очевидной причине — из-за отсутствия соответствующего софта. Поэтому аэропорты Домодедово, Шереметьево, Внуково, Пулково еще до полудня публично отчитались об отсутствии сбоев, равно как и Росавиация, Росморречфлот и ОАО РЖД. Опрошенные “Ъ” российские финансовые организации (Сбербанк, ВТБ, ПСБ, Почта-банк, банк «Уралсиб», НСПК, а также Мосбиржа и др.) сообщили, что не пользуются либо CrowdStrike, либо иностранным ПО в принципе. Т-банк, у которого 19 июля были проблемы с денежными переводами, не ответил на вопрос о причине.
Чем прославилась IT-компания CrowdStrike
CrowdStrike Holdings — американская IT-компания, основанная в 2011 году. Среди ее соучредителей был Дмитрий Альперович, выходец из России, в середине 1990-х переехавший в США. Один из ключевых продуктов компании — платформа Falcon, предоставляющая информационную защиту на основе облачных технологий.
CrowdStrike заявила о себе выявлением атак китайских и северокорейских хакеров на ряд американских структур. Однако всемирную известность компания приобрела в 2016 году, когда занялась расследованием взлома серверов национального комитета Демократической партии США. Выводы CrowdStrike о том, что за атакой стоят связанные с российскими властями хакерские группировки Fancy Bear («Модный мишка») и Cozy Bear («Уютный мишка»), легли в основу сводного аналитического доклада спецслужб США и обвинительного заключения американского Минюста. По мнению CrowdStrike, российские власти организовали взлом почты демократов и последующий слив 20 тыс. писем, чтобы скомпрометировать Хиллари Клинтон — кандидата в президенты от Демпартии США на выборах-2016. Российские власти категорически отрицали причастность к взлому. Однако даже предоставленная ими техническая информация не убедила администрацию уходящего президента США Барака Обамы в невиновности российской стороны, и он объявил о санкциях в отношении РФ.
Компания CrowdStrike же продолжила искать следы российских хакеров, а Дмитрий Альперович стал одним из самых цитируемых в СМИ экспертов по кибербезопасности. Ключевой мыслью, которую он повторял вновь и вновь, было то, что хакеры и шпионы из России, а также из других стран (Китая, Северной Кореи, Ирана) нацелены на взлом американских ресурсов. «Исходите из того, что они уже находятся в вашей сети»,— говорил Дмитрий Альперович тогда.
В начале 2017 года журналисты и эксперты уличили CrowdStrike в подтасовке фактов. В одном из докладов компании утверждалось, что российские спецслужбы при помощи фишинговой программы под названием X-Agent, задействованной при атаке на серверы демократов, взломали и приложение для украинской армии «Укроп», повышающее точность стрельбы артиллерии. Из доклада следовало: взлом приложения привел к большим потерям. «За два года конфликта украинские вооруженные силы потеряли более 50% своей артиллерии, в том числе более 80% гаубиц Д-30»,— утверждали специалисты CrowdStrike. Информацию о взломе приложения для украинских артиллеристов спецслужбами РФ подхватили ведущие американские СМИ, а тогдашний глава ФБР Джеймс Коми дал работе компании высокую оценку.
Между тем сразу после выхода доклада разработчик приложения «Укроп» Ярослав Шерстюк на своей странице в Facebook (принадлежит Meta, которая признана в РФ экстремистской и запрещена) назвал содержащиеся в документе выводы «бредовыми», отметив: никакого взлома не было, а из CrowdStrike к нему никто не обращался. С опровержением выводов CrowdStrike выступило и Министерство обороны Украины. В заявлении ведомства говорилось: «Потери вооружения артиллерии за время проведения антитеррористической операции в разы меньше упомянутых (в докладе.— “Ъ”) и не связаны с указанной причиной». Представители британского Международного института стратегических исследований (IISS) также сообщили, что CrowdStrike неверно истолковала их данные о состоянии вооруженных сил Украины, отметив при этом, что и к ним никто из этой IT-компании не обращался.
После появления в СМИ ряда критических материалов Дмитрий Альперович на время перестал общаться с журналистами, хотя до этого охотно раздавал интервью. В доклад о взломе «Укропа» на сайте CrowdStrike же были внесены существенные изменения (см. “Ъ “от 28 марта 2017 года).
История с подтасованным докладом, однако, не помешала компании уже в 2017 году быть оцененной в $1 млрд. В 2019 году CrowdStrike успешно вышла на биржу, достигнув рыночной капитализации свыше $11 млрд. К этому моменту среди ее клиентов помимо государственных или некоммерческих структур уже были такие бизнес-гиганты, как Google, Amazon Web Services и Credit Suisse.
В 2020 году Дмитрий Альперович покинул компанию, чтобы заняться международным политическим консалтингом. В 2022-м он был внесен в российский санкционный список.
Как говорит источник “Ъ”, знакомый с ситуацией, в России сбой CrowdStrike отразился, в частности, на местных подразделениях Procter & Gamble, а также L’Oreal: «Остановилось промышленное оборудование, вышли из сети системы SCADA (диспетчерского управления и сбора данных), нарушились логистические цепочки, отгрузка товара со складов проводилась вручную».
По его словам, компании откатили проблемное обновление. L’Oreal заявляла об уходе с российского рынка осенью 2022 года, но у компании остался завод в Калужской области. На этом производстве и мог возникнуть сбой, говорит еще один источник “Ъ”. В компаниях не ответили “Ъ”.
По словам двух других собеседников из числа производителей продуктов повседневного спроса, на ПО CrowdStrike Falcon Sensor в индустрии FMCG РФ работали в основном представительства транснациональных компаний. Но те, кто не свернул свой бизнес в РФ, начали еще осенью 2022 года отделять свою IT-инфраструктуру от головных зарубежных компаний. По словам одного из собеседников “Ъ”, этому предшествовал скандал, случившийся летом 2022 года с немецкой DIY-сетью OBI. Та лишила российское подразделение доступа к своему ПО, чем на некоторое время парализовала работу всех магазинов в РФ.
Разработки CrowdStrike «очень популярны в мире, но в нашей стране эта компания не работает, и у нас может быть только незначительное количество устройств с данным ПО», отметил руководитель департамента сетевой безопасности F.A.C.C.T. Никита Кислицин. С ним согласен вице-президент ГК Softline Андрей Благоразумнов: «По нашей информации, в России очень мало организаций, использующих облачные сервисы Microsoft, и еще меньше тех, кто использует Falcon Sensor».
Крупнейшие компьютерные сбои последних лет
30 августа 2020 года из-за некорректной настройки оборудования произошел сбой в дата-центре американского провайдера CenturyLink. Инцидент привел к падению глобального интернет-трафика на 3,5%, а на решение проблемы ушло около семи часов. Ресурс ZDNet называл сбой одним из самых масштабных в истории интернета: не работали Amazon Web Services, Reddit, Discord, Twitter, Blizzard, Steam, а пользователи Google сообщали о проблемах с поисковиком и входом в свои аккаунты. Больше всего жалоб поступило из РФ, Сингапура, Индии, Турции, Франции, Германии.
22 июля 2021 года обновление конфигурации ПО вызвало ошибку в системе DNS-сервиса американской IT-компании Akamai. Из-за часового сбоя около 40 популярных сайтов стали недоступны для пользователей по всему миру (компания использует примерно 325 тыс. серверов более чем в 130 странах). Пострадали Sony PlayStation Network, Steam, Airbnb, UPS, FedEx, Amazon, McDonald’s, портал Microsoft, поисковик Google, Delta Air Lines и многие другие.
4 октября 2021 года из-за изменения конфигурации маршрутизаторов, координирующих трафик между центрами обработки данных, на семь часов вышли из строя Facebook, Instagram, Facebook Messenger и WhatsApp (принадлежат компании Meta, признанной в РФ экстремистской и запрещенной). В результате из-за наплыва аудитории Facebook нестабильно работали Google, YouTube, TikTok, Twitter, Viber, Telegram. Так, в Viber количество регистраций выросло на 500%. На проблемы пожаловались более 14 млн человек из РФ, Америки, Европы, Азии, Африки.
8 ноября 2023 года из-за отключения нескольких маршрутизаторов для защиты от перегрузки со сбоем столкнулся второй по величине телекоммуникационный оператор Австралии Optus. Без телефонной связи и доступа к интернету остались около 10 млн частных абонентов компании (население страны — 26 млн), а также около 400 тыс. предприятий (транспортные системы, больницы, правительственные учреждения). Австралийская газета The Sydney Morning Herald писала, что «сбой вызвал хаос по всей стране». Полный доступ к услугам был восстановлен лишь спустя 12 часов.
Что дальше
Мировые компании, пострадавшие от сбоя, готовят иски. Оливер Рот, главный трейдер франко-германской финансовой компании Oddo BHF Bank, рассказал журналу Bild: «Из-за ущерба, нанесенного по всему миру, на компанию могут обрушиться иски на миллиарды долларов, особенно в США. В особенности страдают перестраховщики, которым придется покрывать понесенные убытки». Аналитик лос-анджелесской брокерской компании Wedbush Securities Дэниел Айвз полагает, что сбоем могут воспользоваться конкуренты, предложив альтернативные решения: «Однако на это может потребоваться какое-то время, поскольку техническим директорам и компаниям нужно оценить риски потенциальных судебных разбирательств».
Однако у пятничного инцидента могут быть и более долговременные последствия, которые коснутся и российского бизнеса.
Подобные риски в общем характерны для облачных решений, если сравнивать их с on-premise (размещаемыми на оборудовании заказчика), считает Андрей Благоразумнов. Однако IT-директор облачного провайдера Oxygen Александр Будкин отметил, что ряд облачных сервисов Microsoft, будь то Azure или сервисы «под ключ» (Exchange Online, Microsoft 365), испытывали «незначительные сбои — в частности, проблемы с доступностью, которые проявлялись только в моменте». Это объясняется тем, что часть инфраструктуры Microsoft была недоступна, при этом та часть, которая работала, испытывала колоссальную нагрузку.
К сбоям, аналогичным случившемуся, может привести обновление любого ПО, тесно интегрированного с ядром операционной системы, объясняет ИБ-консультант Positive Technologies Алексей Лукацкий.
По его мнению, инцидент побудит компании проанализировать свои процедуры обновлений и, возможно, скорректировать их: «В очередной раз поднимется вопрос большего внимания к безопасной разработке, к тестированию обновлений». Директор департамента проектирования «Информзащиты» Анатолий Ромашев считает, что бизнес пересмотрит и планы аварийного восстановления.
Общепринятые практики, минимизирующие риски при обновлениях, подразумевают наличие плана «Б» на случай выхода систем из строя, говорит автор продукта Solar appScreener Даниил Чернов: «Это уже выходит за рамки кибербезопасности и относится больше к планированию непрерывности бизнеса (BCP)». Ключевой момент в таком плане — резервное копирование и механизмы быстрого восстановления, добавляет он. Господин Будкин прогнозирует, что компании, особенно в России, будут более настороженно относиться к использованию облачных сервисов глобальных компаний. «Следствием будет волна переездов к отечественным провайдерам или в частные, более контролируемые, облака»,— считает он.