On perjantai, 19. heinäkuuta 2024. Kello on 7.09 aamulla, ja Suomessa vasta heräillään. Toisella puolen maailmaa Falcon-tietoturvaohjelman päivitys on juuri lähetetty 24 000 asiakkaalle. Kukaan ei olisi uskonut, että päivitys johtaisi tuhansien suomalaisten lomien peruuntumiseen ja ylitöihin.
Falcon on ohjelma, jonka avulla verkon ylläpitäjät voivat valvoa järjestelmän liikennettä muun muassa tietomurtojen havaitsemiseksi ja niihin reagoimiseksi.
Tällaisia ohjelmistoja on päivitettävä usein, jotta ne pysyvät ajan tasalla uusimpien uhkien ja turvatoimien suhteen. Tämä päivitys ei ollut poikkeus, vaan pelkkä rutiinipäivitys.
Ongelmana oli, että päivitys sisälsi ohjelmointivirheen. Ohjelmiston käyttäjät ympäri maailmaa näkivät vain sinisen kuolemanruudun, eivätkä voineet kirjautua järjestelmiinsä. Seurauksena oli käyttökatkoksia ja taloudellisia tappioita uskomattoman monille yrityksille ympäri maailmaa.
CrowdStrike julkaisi nopeasti päivityksen, joka ratkaisi ongelman joidenkin yrityksen asiakkaiden kohdalla – suurimmalle osalle asiakkaita ongelman ratkaiseminen vaati kuitenkin intensiivistä ja aikaa vievää manuaalista työtä jokaisella työasemalla. Asiakkaat, joilla on paljon henkilöstöä, joutuivat tekemään työtä järjestelmiensä palauttamiseksi useiden viikkojen ajan.
Alustavan tutkimuksen jälkeen todettiin, että ongelma johtui päivityksen yhteensopimattomuudesta, jota ei havaittu CrowdStriken testausvaiheessa. Tämä herätti luonnollisesti kysymyksiä CrowdStriken sisäisistä laadunvalvonta- ja testausprosesseista.
Häiriö vaikutti lentoyhtiöihin, terveydenhuoltoon, elintarvikeyrityksiin ja muihin suuriin organisaatioihin. The Guardianin mukaan CrowdStriken virheellisen päivityksen aiheuttama maailmanlaajuinen teknologiakatkos maksoi yhdysvaltalaisille Fortune 500 -yrityksille 5,4 miljardia dollaria. Maailmanlaajuiset kustannukset ovat paljon suuremmat.
Oppia ohjelmistoyrityksille
Markkinoille tuotavien tietoturvapäivitysten testaus ja laadunvalvonta on ratkaisevan tärkeää. Yrityksillä on usein erilaisia järjestelmäkokonaisuuksia, jolloin sisäinen testaus ei aina riitä, koska kaikkia mahdollisia ympäristöjä voi olla vaikea simuloida. Tämän vuoksi tietoturvapäivityksille on luotava uniikkeja testausympäristöjä.
Ohjelmistoyritysten tulee myös miettiä, kannattaako päivityksiä julkaista perjantaisin ja loma-aikoina. Microsoft on keksinyt termin ”Patch-Tuesday”. Microsoft ei ollut aiemmin määrittänyt tiettyä viikonpäivää päivityksilleen. ”Patch-Tuesday” otettiin käyttöön IT-vastaavien työn helpottamiseksi; kun he tiesivät milloin päivityksiä oli tulossa, he pystyivät suunnittelemaan niiden aikataulun ja käyttöönoton. ”Patch-Tuesdaystä” tuli sittemmin yleisesti käytetty ilmaus tietotekniikan maailmassa.
Crowdstrike-häiriön opetukset
Yritysten tulee aina olla varautunut kaikkiin uhkiin. Koko yritystä koskeva varautumissuunnitelma auttaa häiriötilanteissa.