بدأ كل شيء من صباح يوم الجمعة عندما أبلغت الشركات في جميع أنحاء العالم عن مشاكل مع نظام Windows. في البداية، تم إلقاء اللوم على خلل في Microsoft Azure، ولكن لاحقًا أكدت CrowdStrike أن السبب الجذري كان في برنامج التشغيل csagent.sys أو C-00000291*.sys لبرنامج CrowdStrike EDR الخاص بها.
وكانت شركات الطيران والمطارات والمسافرين الأكثر تضررًا والضحايا الرئيسيين لإهمال CrowdStrike، حيث أوضح موقع kaspersky أن الشركة تجاهلت القاعدة الشهيرة «لا تطلق أي إصدار يوم الجمعة»؟ حيث أصدرت برنامج تشغيل صغيرًا في صباح يوم جمعة عادي، مما تسبب في انقطاع كبير للخدمة بجميع أنحاء العالم.
ولم يكن من المفترض أن يتم إصدار التحديث يوم الجمعة، وهذا وفقًا لقاعدة معروفة للجميع في البرمجيات منذ عام 1990«إذا حدث خطأ، فلن يكون هناك وقت كافٍ لإصلاحه قبل نهاية الأسبوع»، لذا يحتاج مسؤولو النظام في جميع الشركات المتأثرة إلى العمل خلال نهاية الأسبوع، لإصلاح الأمور.
بيان رسمي
قالت شركة CrowdStrike في آخر بيان رسمي لها صادر حول الأزمة العالمية: «تعمل CrowdStrike بنشاط مع العملاء المتأثرين بخلل تم اكتشافه في تحديث محتوى واحد لمضيفي Windows. لم يتأثر مضيفو Mac وLinux، ولم يكن هذا هجومًا إلكترونيًا، وتم تحديد المشكلة وعزلها ونشر حل لها. نحن نحيل العملاء إلى بوابة الدعم، للحصول على أحدث التحديثات، وسنستمر في تقديم تحديثات عامة كاملة ومستمرة على مدونتنا. كما نوصي المؤسسات بالتأكد من تواصلها مع ممثلي CrowdStrike عبر القنوات الرسمية».
وأضافت: «فريقنا جاهز بالكامل لضمان أمن واستقرار عملاء CrowdStrike. نحن ندرك خطورة الموقف، ونأسف بشدة للإزعاج والاضطراب. نحن نعمل مع جميع العملاء المتأثرين لضمان عودة الأنظمة إلى العمل، وقدرتها على تقديم الخدمات التي يعتمد عليها عملاؤهم. نؤكد لعملائنا أن CrowdStrike تعمل بشكل طبيعي، وأن هذه المشكلة لا تؤثر على أنظمة منصة Falcon الخاصة بنا. إذا كانت أنظمتك تعمل بشكل طبيعي، فلن يكون هناك أي تأثير على حمايتها إذا تم تركيب مستشعر Falcon».
كما أشارت إلى توافر أحدث تنبيه تقني من CrowdStrike مع مزيد من المعلومات حول المشكلة، وخطوات الحل التي يمكن للمؤسسات اتخاذها.
CrowdStrike وحصة مايكروسوفت في السوق
في حين قالت شركة مايكروسوفت إن تحديثًا خاطئًا للبرنامج من شركة الأمن السيبراني الأمريكية CrowdStrike كان مسؤولًا عن الانقطاع الكبير لتكنولوجيا المعلومات، إلا أن الحادث لفت الانتباه إلى مدى ضخامة حصة السوق التي تتمتع بها كلتا الشركتين في قطاعاتهما الخاصة، حيث تم إعلان أن CrowdStrike مستخدم من قِبل أكثر من نصف شركات Fortune 500.
في الوقت نفسه، يعد نظام التشغيل ويندوز من مايكروسوفت واحدا من أكثر أنظمة التشغيل شعبية في العالم، إذ توفر الشركة ما يقدر بنحو 85% من برامج الإنتاجية التي تستخدمها الحكومة الفيدرالية، وفقا لتصريحات النائب الديمقراطي بيني تومسون، من ولاية ميسيسيبي، خلال لجنة الأمن الداخلي في مجلس النواب الشهر الماضي.
وقال سكوت وايت، الأستاذ المشارك مدير برنامج الأمن السيبراني والأكاديمية السيبرانية في جامعة جورج واشنطن بواشنطن العاصمة: «المشكلة التي نتعامل معها هي أن العالم معقد ومترابط، والحقيقة هي أن التكنولوجيا التي نستخدمها عالمية. لقد أصبحنا معتمدين على منظمات مثل مايكروسوفت».
هل يحتاج الكونجرس إلى التدخل؟
في غضون ساعات من الانقطاع، ناقش بعض المشرعين وخبراء الأمن السيبراني ما إذا كان الكونجرس - أو إدارة بايدن ووزارة الأمن الداخلي - بحاجة إلى إضافة المزيد من الحواجز التنظيمية، للتأكد من عدم حدوث انقطاع بهذا الحجم مرة أخرى.
وقال بول روزنزويج، نائب مساعد وزير الأمن الداخلي السابق للسياسات، إن أفضل رد على انقطاع الخدمة يوم الجمعة سيكون مطالبة الشركات والحكومات بامتلاك أنظمة احتياطية، حتى تكون لديها نسخة احتياطية عندما تتوقف أنظمتها.
وأوضح روزنزويج أن مطالبة الشركات بالقيام بذلك بمفردها سيكون مكلفًا للغاية، ولن يفعل ذلك سوى عدد قليل من الشركات، وسيكون من الصعب على الكونجرس أو إدارة بايدن أن يطلبوا منهم ذلك دون القيام بالشيء نفسه داخل الحكومة، وهو ما سيستغرق وقتًا طويلاً ومكلفًا بشكل فلكي.
وأضاف روزنزويج، مؤسس شركة «ريد برانش كونسلتينج» للاستشارات الأمنية، وهي شركة استشارية في مجال الأمن الداخلي والأمن السيبراني: «إنه سؤال مثير للاهتمام. لا تستطيع الحكومة أن تلزم الناس بتنويع استثماراتهم إذا لم تقم بذلك بنفسها، وهي أكبر عملاء مايكروسوفت، إن لم تكن بالتأكيد أحد أكبرهم».
لكن روزنزويج حذر أيضا من أن انقطاع التيار الكهربائي الذي حدث يوم الجمعة من المرجح أن يتكرر مرة أخرى، وربما تكون له عواقب أكثر خطورة، لذلك يتعين على الحكومات والقطاع الخاص أن تكون مستعدة.
وتابع: «إنهم مضطرون إلى إنفاق أموال إضافية، لبناء حماية أفضل، بما في ذلك النسخ الاحتياطية. إذا لم تقم الشركات بذلك، فسوف يحدث هذا مرة أخرى إما عن طريق الصدفة مثل هذه المرة أو من خلال عمل خبيث».
من يتحمل المسؤولية؟
يعتقد خبراء آخرون في مجال الأمن السيبراني أن النظام يعمل كما هو، وأن شركة CrowdStrike تتحمل المسؤولية الكاملة عن الانقطاع بطرق لا يمكن مساعدتها من خلال تدخل حكومي إضافي.
وقال إريك أونيل، الخبير الإستراتيجي في مجال الأمن السيبراني المسؤول السابق في مكتب التحقيقات الفيدرالي لمكافحة التجسس، عن الشلل الذي حدث يوم الجمعة: «يبدو أن هذا الحادث يمثل فشلا ذريعا في مراقبة الجودة، وليس عملا خبيثا. وفي حين سيتم تقييم الأضرار، فإن التنظيم غير ضروري، وسوف يدفع السوق العملاء إلى بائعين آخرين أو يطمئنهم بشأن كراود سترايك».
مع ذلك، شدد أونيل على أن التنظيم الأفضل للاستثمار في الأمن السيبراني وأفضل الممارسات أمر بالغ الأهمية، لأن حكومة الولايات المتحدة «تفاعلت بشكل سيئ في هذا المجال الحيوي للبنية التحتية الحيوية».
واستطرد أونيل: «إذا كانت الحكومة الأمريكية بحاجة إلى إنقاذ كراود سترايك، التي أعتقد أنها كبيرة للغاية بحيث لا يمكن السماح لها بالإفلاس، فإن دافعي الضرائب سوف يتحملون العبء».
إلى أين تتجه الشركات؟
قد يفكر عملاء CrowdStrike وMicrosoft في البحث عن موردين بديلين بعد الانقطاع العالمي، لكن هذا ليس حلا لجوهر المشكلة، كما قال جواد عابد، الخبير في الأمن السيبراني وثغرات البيانات الأستاذ المساعد في كلية كاري للأعمال في جامعة جونز هوبكنز ببالتيمور.
وأفاد عابد: «حادثة CrowdStrike هي تذكير صارخ بأن الاعتماد على أداة واحدة للأمن السيبراني، بغض النظر عن سمعة البائع، يخلق نقطة فشل واحدة خطيرة. يعد تنفيذ طبقات متعددة مع بائعين متعددين أمرا بالغ الأهمية لاستمرارية الأعمال، وحماية العمليات الحرجة».
كما أبان أن هذا النوع من الانقطاع يمكن أن يحدث لأي بائع أو شركة، ولكن يمكن منعه إلى حد كبير، مؤكدا أن أحد المبادئ الأساسية للأمن السيبراني هو التكرار.
وأضاف عابد أن وجود التكرارات في البنية الأساسية قد يكون مكلفًا في البداية، لكنه سيكون بمنزلة استثمار في الحفاظ على الثقة بين الشركات وعملائها، وينبغي للشركات أيضًا إعادة التفكير في اختباراتها، وكيفية إصدار التحديثات.
ونبه عابد إلى أن هذه الأزمة بمنزلة جرس إنذار لشركات الأمن السيبراني، لمراجعة إجراءاتها.
مشاكل عالمية
- أبلغ المستخدمون عن مشاكل في الخدمة مع Visa وAmazon على موقع DownDetector، في حين تأثرت محلات السوبر ماركت وبورصات العملات في هونج كونج بمشاكل في الدفع.
- قالت ألمانيا إن «البنية التحتية الحيوية» تأثرت، حيث ألغى مستشفيان عمليات جراحية اختيارية كان من المقرر إجراؤها يوم الجمعة.
- لم يتمكن بعض الأطباء في المملكة المتحدة من تحديد المواعيد. كما تعطلت مراكز الاتصال بحالات الطوارئ في ألاسكا.
- قال نادي مانشستر يونايتد إنه أرجأ إصدار تذاكر كرة القدم، بينما أبلغت العديد من الأندية الأخرى عن مشاكل.
- أشار منظمو أولمبياد باريس 2024 إلى أن أنظمتهم التكنولوجية تضررت.
- حذرت أكبر شركة قطارات في بريطانيا الركاب من توقع حدوث اضطرابات بسبب «مشاكل تكنولوجيا المعلومات الواسعة النطاق».
- قالت شركة Azure، وهي منصة سحابية تابعة لشركة Microsoft، إن الأجهزة التي تعمل بنظامي التشغيل Windows وCrowdStrike أصبحت عالقة في «حالة إعادة التشغيل».
- توقفت قناة «سكاي نيوز» عن البث، في الوقت الذي دخلت فيه الشركات والمؤسسات بجميع أنحاء العالم في حالة من الفوضى بمجال تكنولوجيا المعلومات.
- قالت بورصة لندن إن خدمة الأخبار التنظيمية الخاصة بها تأثرت بسبب «مشكلة فنية عالمية مع طرف ثالث».
- في الولايات المتحدة، قالت إدارة الطيران الفيدرالية إن شركات الطيران: يونايتد وأميركان ودلتا وأليجانت أوقفت رحلاتها.
- قال ممثل مطارات دبي إن مطار دبي الدولي «يعمل بشكل طبيعي»، بعد تعطل النظام الذي أثر على إجراءات تسجيل الوصول لبعض شركات الطيران، وأضاف أن الشركات المتضررة تحولت إلى نظام بديل.
- تأثرت شركة «رايان إير» للطيران الاقتصادي، وكذلك بعض أكبر مطارات أوروبا في برلين وأمستردام.
- تم الإبلاغ عن مشاكل واسعة النطاق في المطارات الأسترالية، حيث زادت الطوابير بسبب تعطل خدمات تسجيل الوصول عبر الإنترنت وأكشاك الخدمة الذاتية.
وكانت شركات الطيران والمطارات والمسافرين الأكثر تضررًا والضحايا الرئيسيين لإهمال CrowdStrike، حيث أوضح موقع kaspersky أن الشركة تجاهلت القاعدة الشهيرة «لا تطلق أي إصدار يوم الجمعة»؟ حيث أصدرت برنامج تشغيل صغيرًا في صباح يوم جمعة عادي، مما تسبب في انقطاع كبير للخدمة بجميع أنحاء العالم.
ولم يكن من المفترض أن يتم إصدار التحديث يوم الجمعة، وهذا وفقًا لقاعدة معروفة للجميع في البرمجيات منذ عام 1990«إذا حدث خطأ، فلن يكون هناك وقت كافٍ لإصلاحه قبل نهاية الأسبوع»، لذا يحتاج مسؤولو النظام في جميع الشركات المتأثرة إلى العمل خلال نهاية الأسبوع، لإصلاح الأمور.
بيان رسمي
قالت شركة CrowdStrike في آخر بيان رسمي لها صادر حول الأزمة العالمية: «تعمل CrowdStrike بنشاط مع العملاء المتأثرين بخلل تم اكتشافه في تحديث محتوى واحد لمضيفي Windows. لم يتأثر مضيفو Mac وLinux، ولم يكن هذا هجومًا إلكترونيًا، وتم تحديد المشكلة وعزلها ونشر حل لها. نحن نحيل العملاء إلى بوابة الدعم، للحصول على أحدث التحديثات، وسنستمر في تقديم تحديثات عامة كاملة ومستمرة على مدونتنا. كما نوصي المؤسسات بالتأكد من تواصلها مع ممثلي CrowdStrike عبر القنوات الرسمية».
وأضافت: «فريقنا جاهز بالكامل لضمان أمن واستقرار عملاء CrowdStrike. نحن ندرك خطورة الموقف، ونأسف بشدة للإزعاج والاضطراب. نحن نعمل مع جميع العملاء المتأثرين لضمان عودة الأنظمة إلى العمل، وقدرتها على تقديم الخدمات التي يعتمد عليها عملاؤهم. نؤكد لعملائنا أن CrowdStrike تعمل بشكل طبيعي، وأن هذه المشكلة لا تؤثر على أنظمة منصة Falcon الخاصة بنا. إذا كانت أنظمتك تعمل بشكل طبيعي، فلن يكون هناك أي تأثير على حمايتها إذا تم تركيب مستشعر Falcon».
كما أشارت إلى توافر أحدث تنبيه تقني من CrowdStrike مع مزيد من المعلومات حول المشكلة، وخطوات الحل التي يمكن للمؤسسات اتخاذها.
CrowdStrike وحصة مايكروسوفت في السوق
في حين قالت شركة مايكروسوفت إن تحديثًا خاطئًا للبرنامج من شركة الأمن السيبراني الأمريكية CrowdStrike كان مسؤولًا عن الانقطاع الكبير لتكنولوجيا المعلومات، إلا أن الحادث لفت الانتباه إلى مدى ضخامة حصة السوق التي تتمتع بها كلتا الشركتين في قطاعاتهما الخاصة، حيث تم إعلان أن CrowdStrike مستخدم من قِبل أكثر من نصف شركات Fortune 500.
في الوقت نفسه، يعد نظام التشغيل ويندوز من مايكروسوفت واحدا من أكثر أنظمة التشغيل شعبية في العالم، إذ توفر الشركة ما يقدر بنحو 85% من برامج الإنتاجية التي تستخدمها الحكومة الفيدرالية، وفقا لتصريحات النائب الديمقراطي بيني تومسون، من ولاية ميسيسيبي، خلال لجنة الأمن الداخلي في مجلس النواب الشهر الماضي.
وقال سكوت وايت، الأستاذ المشارك مدير برنامج الأمن السيبراني والأكاديمية السيبرانية في جامعة جورج واشنطن بواشنطن العاصمة: «المشكلة التي نتعامل معها هي أن العالم معقد ومترابط، والحقيقة هي أن التكنولوجيا التي نستخدمها عالمية. لقد أصبحنا معتمدين على منظمات مثل مايكروسوفت».
هل يحتاج الكونجرس إلى التدخل؟
في غضون ساعات من الانقطاع، ناقش بعض المشرعين وخبراء الأمن السيبراني ما إذا كان الكونجرس - أو إدارة بايدن ووزارة الأمن الداخلي - بحاجة إلى إضافة المزيد من الحواجز التنظيمية، للتأكد من عدم حدوث انقطاع بهذا الحجم مرة أخرى.
وقال بول روزنزويج، نائب مساعد وزير الأمن الداخلي السابق للسياسات، إن أفضل رد على انقطاع الخدمة يوم الجمعة سيكون مطالبة الشركات والحكومات بامتلاك أنظمة احتياطية، حتى تكون لديها نسخة احتياطية عندما تتوقف أنظمتها.
وأوضح روزنزويج أن مطالبة الشركات بالقيام بذلك بمفردها سيكون مكلفًا للغاية، ولن يفعل ذلك سوى عدد قليل من الشركات، وسيكون من الصعب على الكونجرس أو إدارة بايدن أن يطلبوا منهم ذلك دون القيام بالشيء نفسه داخل الحكومة، وهو ما سيستغرق وقتًا طويلاً ومكلفًا بشكل فلكي.
وأضاف روزنزويج، مؤسس شركة «ريد برانش كونسلتينج» للاستشارات الأمنية، وهي شركة استشارية في مجال الأمن الداخلي والأمن السيبراني: «إنه سؤال مثير للاهتمام. لا تستطيع الحكومة أن تلزم الناس بتنويع استثماراتهم إذا لم تقم بذلك بنفسها، وهي أكبر عملاء مايكروسوفت، إن لم تكن بالتأكيد أحد أكبرهم».
لكن روزنزويج حذر أيضا من أن انقطاع التيار الكهربائي الذي حدث يوم الجمعة من المرجح أن يتكرر مرة أخرى، وربما تكون له عواقب أكثر خطورة، لذلك يتعين على الحكومات والقطاع الخاص أن تكون مستعدة.
وتابع: «إنهم مضطرون إلى إنفاق أموال إضافية، لبناء حماية أفضل، بما في ذلك النسخ الاحتياطية. إذا لم تقم الشركات بذلك، فسوف يحدث هذا مرة أخرى إما عن طريق الصدفة مثل هذه المرة أو من خلال عمل خبيث».
من يتحمل المسؤولية؟
يعتقد خبراء آخرون في مجال الأمن السيبراني أن النظام يعمل كما هو، وأن شركة CrowdStrike تتحمل المسؤولية الكاملة عن الانقطاع بطرق لا يمكن مساعدتها من خلال تدخل حكومي إضافي.
وقال إريك أونيل، الخبير الإستراتيجي في مجال الأمن السيبراني المسؤول السابق في مكتب التحقيقات الفيدرالي لمكافحة التجسس، عن الشلل الذي حدث يوم الجمعة: «يبدو أن هذا الحادث يمثل فشلا ذريعا في مراقبة الجودة، وليس عملا خبيثا. وفي حين سيتم تقييم الأضرار، فإن التنظيم غير ضروري، وسوف يدفع السوق العملاء إلى بائعين آخرين أو يطمئنهم بشأن كراود سترايك».
مع ذلك، شدد أونيل على أن التنظيم الأفضل للاستثمار في الأمن السيبراني وأفضل الممارسات أمر بالغ الأهمية، لأن حكومة الولايات المتحدة «تفاعلت بشكل سيئ في هذا المجال الحيوي للبنية التحتية الحيوية».
واستطرد أونيل: «إذا كانت الحكومة الأمريكية بحاجة إلى إنقاذ كراود سترايك، التي أعتقد أنها كبيرة للغاية بحيث لا يمكن السماح لها بالإفلاس، فإن دافعي الضرائب سوف يتحملون العبء».
إلى أين تتجه الشركات؟
قد يفكر عملاء CrowdStrike وMicrosoft في البحث عن موردين بديلين بعد الانقطاع العالمي، لكن هذا ليس حلا لجوهر المشكلة، كما قال جواد عابد، الخبير في الأمن السيبراني وثغرات البيانات الأستاذ المساعد في كلية كاري للأعمال في جامعة جونز هوبكنز ببالتيمور.
وأفاد عابد: «حادثة CrowdStrike هي تذكير صارخ بأن الاعتماد على أداة واحدة للأمن السيبراني، بغض النظر عن سمعة البائع، يخلق نقطة فشل واحدة خطيرة. يعد تنفيذ طبقات متعددة مع بائعين متعددين أمرا بالغ الأهمية لاستمرارية الأعمال، وحماية العمليات الحرجة».
كما أبان أن هذا النوع من الانقطاع يمكن أن يحدث لأي بائع أو شركة، ولكن يمكن منعه إلى حد كبير، مؤكدا أن أحد المبادئ الأساسية للأمن السيبراني هو التكرار.
وأضاف عابد أن وجود التكرارات في البنية الأساسية قد يكون مكلفًا في البداية، لكنه سيكون بمنزلة استثمار في الحفاظ على الثقة بين الشركات وعملائها، وينبغي للشركات أيضًا إعادة التفكير في اختباراتها، وكيفية إصدار التحديثات.
ونبه عابد إلى أن هذه الأزمة بمنزلة جرس إنذار لشركات الأمن السيبراني، لمراجعة إجراءاتها.
مشاكل عالمية
- أبلغ المستخدمون عن مشاكل في الخدمة مع Visa وAmazon على موقع DownDetector، في حين تأثرت محلات السوبر ماركت وبورصات العملات في هونج كونج بمشاكل في الدفع.
- قالت ألمانيا إن «البنية التحتية الحيوية» تأثرت، حيث ألغى مستشفيان عمليات جراحية اختيارية كان من المقرر إجراؤها يوم الجمعة.
- لم يتمكن بعض الأطباء في المملكة المتحدة من تحديد المواعيد. كما تعطلت مراكز الاتصال بحالات الطوارئ في ألاسكا.
- قال نادي مانشستر يونايتد إنه أرجأ إصدار تذاكر كرة القدم، بينما أبلغت العديد من الأندية الأخرى عن مشاكل.
- أشار منظمو أولمبياد باريس 2024 إلى أن أنظمتهم التكنولوجية تضررت.
- حذرت أكبر شركة قطارات في بريطانيا الركاب من توقع حدوث اضطرابات بسبب «مشاكل تكنولوجيا المعلومات الواسعة النطاق».
- قالت شركة Azure، وهي منصة سحابية تابعة لشركة Microsoft، إن الأجهزة التي تعمل بنظامي التشغيل Windows وCrowdStrike أصبحت عالقة في «حالة إعادة التشغيل».
- توقفت قناة «سكاي نيوز» عن البث، في الوقت الذي دخلت فيه الشركات والمؤسسات بجميع أنحاء العالم في حالة من الفوضى بمجال تكنولوجيا المعلومات.
- قالت بورصة لندن إن خدمة الأخبار التنظيمية الخاصة بها تأثرت بسبب «مشكلة فنية عالمية مع طرف ثالث».
- في الولايات المتحدة، قالت إدارة الطيران الفيدرالية إن شركات الطيران: يونايتد وأميركان ودلتا وأليجانت أوقفت رحلاتها.
- قال ممثل مطارات دبي إن مطار دبي الدولي «يعمل بشكل طبيعي»، بعد تعطل النظام الذي أثر على إجراءات تسجيل الوصول لبعض شركات الطيران، وأضاف أن الشركات المتضررة تحولت إلى نظام بديل.
- تأثرت شركة «رايان إير» للطيران الاقتصادي، وكذلك بعض أكبر مطارات أوروبا في برلين وأمستردام.
- تم الإبلاغ عن مشاكل واسعة النطاق في المطارات الأسترالية، حيث زادت الطوابير بسبب تعطل خدمات تسجيل الوصول عبر الإنترنت وأكشاك الخدمة الذاتية.