מה CrowdStrike מלמד אותנו על ניהול שרשרת אספקה

מאת דני ברדבורי • 24 ספטמבר 2024

הפסקת ה-IT העולמית של הקיץ, שהפילה מיליוני מחשבים וחברות תעופה מקורקעות ברחבי העולם, הוכיחה עד כמה קשה לנהל שרשרת אספקה דיגיטלית מודרנית. האם ניהול סיכוני לקוחות יעיל יכול לעזור לסתום את הפערים?

ב-19 ביולי החלו להופיע דיווחים על הפסקה מסיבית במערכות Windows המתפרסות על פני מספר תעשיות. נקודות הקצה היו מושבתות ולא הצליחו לאתחל כראוי, מה שהוביל להפסקת ה-IT המשמעותית ביותר בהיסטוריה. הבעיה נבעה משגיאה לוגית בעדכון לתוכנת האבטחה של CrowdStrike, שהפילה 8.5 מיליון מערכות, על פי מיקרוסופט. השחזור היה תהליך מורכב וידני. לצד הטיסות שבוטלו, סבלו גם לקוחות בנקים ומטופלי שירותי בריאות מאחר שההפסקה השפיעה על עסקאות פיננסיות ואף הליכים כירורגיים מאוחרים.

"האירוע האחרון מחזק כיצד ההסתמכות הגוברת על מערכות IT מקושרות הרחיבה את פני הסיכון", אמר מארק אי גרין, יו"ר הוועדה לביטחון המולדת של הבית, שישמע עדות מ-CrowdStrike ב-24 בספטמבר. קשה מתמיד לנהל את סיכוני שרשרת האספקה, לא רק בהתחשב בגודלן של אותן רשתות אלא במורכבות של מוצרי התוכנה והתהליכים שהן מספקות.

"אמרתי לך כך" אומר ה-GAO

משרד האחריות של ממשלת ארה"ב לא אוהב לומר שהוא אמר לך זאת, אבל רוצה גם להזכיר לך שכן. ב א בלוג לאחר התקרית, הוא הצביע על קווי דמיון חזקים בין השגיאה הלא מכוונת הזו לבין מתקפת הסייבר שסכנה את SolarWinds ולקוחותיה ב-2020.

מאז מאי 2010, GAO יש הגיש 1610 המלצות משתרע על ארבעה תחומי אתגרי אבטחת סייבר. אחד מאלה - הקמת אסטרטגיית אבטחת סייבר מקיפה וביצוע פיקוח יעיל - הוא תחום המיקוד העיקרי לסיכון שרשרת האספקה. בדו"ח יוני על מאמצי הממשלה לצמצם את סיכוני הסייבר, ה-GAO אמר שסוכנויות לא הצליחו ליישם 43% מההמלצות בתחום זה.

ניהול שרשרת אספקה מאוחדת

"הממשלה הפדרלית צריכה לנקוט בפעולות לביצוע פיקוח יעיל, כולל ניטור שרשרת האספקה העולמית", הוסיף ה-GAO בדו"ח שלו. אבל איך מיישמים פיקוח אפקטיבי על חברה חזקה השולטת בחלק הארי של השוק?

דן גיר, שתרם למערכת X Windows ול-Kerberos וכעת הוא עמית בכיר ב-In-Q-Tel, חקר באופן מפורסם כיצד מונו-תרבותיות טכנולוגיות משפיעות על האבטחה בדו"ח שלו משנת 2003 אי ביטחון סייבר: עלות המונופול. זה פגע מספיק בעצבים בטכנולוגיה הארגונית שהוא פוטר יום לאחר פרסומו.

21 שנים לאחר מכן ושבוע לאחר הפסקת CrowdStrike, הוא הזכיר לנו של הבעיה:

"אנחנו יודעים שיתירות הגנה לא מתרחשת סתם, ואנחנו יודעים ש-Jillion מכשירים כאחד אינם מציעים הגנה כלל, אלא להיפך", אמר. "אנחנו יודעים שמקור הסיכון הוא תלות, ואנחנו יודעים שהסיכון המצטבר הוא פרופורציונלי לתלות המצרפית."

כפי שגיר מציינת, איחוד שוק שמייצר מיליוני מכשירים כאחד הוא מגמה כלכלית. ל-Windows יש למעלה מ-70% משוק מערכת ההפעלה למחשבים שולחניים, ושתי חברות - מיקרוסופט ו-CrowdStrike - מחזיקות ב-44% משוק ההגנה על נקודות הקצה ביניהן.

מגמה זו לא חזרה מאז 2003. גם היא לא תחזור בעתיד. ישנן סיבות רבות לכך שחברות בוחרות באותה תוכנה כמו חברותיהן, החל מזמינות (מספר הפתרונות הזמינים מתגבש עם הזמן) ועד לשנאת סיכונים (אף אחד מעולם לא פוטר בגלל רכישת IBM) ויכולת ניהול (קל יותר לניהול ולתמוך בו. צי של אלף מכונות חלונות מאשר מגוון של מערכות הפעלה שונות של נקודות קצה).

אין ספק שחברות גדולות עושות כמיטב יכולתן לפעול לפי שיטות עבודה מומלצות בתחום אבטחת הסייבר, אך טעויות מתרחשות. מועצת סקירת בטיחות הסייבר של ממשלת ארה"ב מצא שתרבות האבטחה של מיקרוסופט הייתה "לא מספקת ודורשת שיפוץ" לאחר שפושעי סייבר פרצו למערכות שלה ופגעו במפתח קריפטוגרפי שנתן להם גישה לחשבונות של מנהלים בכירים. CrowdStrike, בעוד מחסל את עצמו כראוי כל עוד זה לא עולה יותר מדי, פרסם עדכון באגי שלא הצליח לתפוס.

מיקרוסופט ו-CrowdStrike קיימו פגישה בדלתיים סגורות ב-10 בספטמבר כדי לדון כיצד הם יכולים להימנע שדברים מסוג זה יתרחשו שוב. הם דנו באמצעים כמו הסתמכות פחות על מצב ליבה, שבו תוכנת באגי יכולה לגרום לנזק הקיצוני שנראה ביולי. בתור CrowdStrike מסביר, זה דורש קצת עבודה מצידה של מיקרוסופט.

CrowdStrike גם אמרה כי היא תפעל כעת בצעדים אחרים, כגון שימוש בשחרורים קנריים - שיטה בסיסית הטובה ביותר לפריסה בקנה מידה - כדי להגביל את הנזק למספר קטן יותר של מכונות.

למרות שראוי לשבח שחברות כל כך גדולות לומדות את הלקחים האלה עכשיו, זה מדאיג שהן עושות זאת על שקל של הלקוחות שלהן.

מה לקוחות יכולים לעשות בנידון

חשוב לעקוב אחר בקרות ניהול הספקים כמו אלה שב ISO 27001 נספח A 5.22, אבל כפי שאומר ISMS.online, חשוב להיות פרגמטי לגבי מידת ההשפעה שאתה יכול להשפיע על ספק גדול.

עם זאת, ל-ISO 27001 יש הרבה מה להציע לגבי מוכנות לתגובה לאירועים. זה מתחיל בתכנון סיכונים באמצעות הערכה יסודית, כפי שמתואר ב-ISO 27001 סעיף 6. זה גם מספק הדרכה חשובה בנושא שליטה 5.30, המכינה ארגונים להמשכיות עסקית במקרה של בעיה.

שיטות עבודה אלה עשויות שלא להגן על חברה מפני תקרית גדולה במעלה הזרם בשרשרת האספקה, אך הן יכולות לעזור למזער את ההשפעה של אירועים כאלה במורד הזרם, ולסייע בשמירה על שירותים עבור לקוחות ושותפים עסקיים.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.