Самолеты не летят, банки не работают: как глобальный ИТ-сбой застал врасплох весь мир?
Задержки сотен рейсов, перебои с мобильной связью, сложности с банковскими переводами… Во всем мире одновременно вышли из строя информационные системы в разных отраслях. Проблема коснулась даже больниц, супермаркетов и телекомпаний. Технические сбои зафиксировали в США, Великобритании, Индии, Австралии, Германии, Испании и в других странах мира. Россию же угроза обошла стороной. О том, как и почему произошло глобальное «восстание машин» – рассказываем в материале MIR24.TV.
Всего одна ошибка
Глобальный сбой коснулся устройств, работающих на операционной системе Windows. Всему виной – ошибка в обновлении, выпущенном платформой кибербезопасности CrowdStrike. Именно оно привело к массовым перебоям, включая «синий экран смерти» и циклические перезагрузки компьютеров.
Старший разработчик ИТ-компании Сулейман Дибиров рассказывает: «CrowdStrike – это компания, специализирующаяся на кибербезопасности, основанная в 2011 году. Она предоставляет облачные решения для защиты конечных устройств и платформу, которая использует искусственный интеллект и машинное обучение для обнаружения и предотвращения кибератак».
«Надо понимать, что любые обновления ОС или ПО несут в себе изменения, которые могут вызвать сбой в работе всей системы. Такие ситуации происходят достаточно регулярно, если даже просто посмотреть на обновления популярных операционных систем (не говоря уже о программном обеспечении). Конечно, обновления важны и их надо устанавливать. Но устанавливать их сразу же после выхода и без тестирования на рабочие станции пользователей – далеко не самая хорошая идея», – комментирует руководитель направления инфраструктурного пентеста ИБ-компании Роман Просветов.
Подобные масштабные сбои происходят редко, но, когда это происходит, последствия могут быть катастрофическими, отмечает разработчик Сулейман Дибиров. «Обычно сбои такого уровня связаны с серьезными ошибками в обновлениях или кибератаками. Последний подобный инцидент, связанный с ошибочным обновлением, произошел несколько лет назад, когда уязвимость в обновлении Microsoft вызвала массовые сбои», – рассказал специалист.
И мир остановился…
В числе первых, кто ощутил на себе проблемы ошибочного обновления, оказались крупные авиакомпании, в основном американские. Так, в пятницу утром из-за проблем со связью компаниям Delta, United и American Airlines пришлось отменить все полеты. Далее один за другим начали приостанавливать работу аэропорты в Испании, Германии, Чехии и Голландии. Во Франции возникли проблемы с регистрацией пассажиров и выдачей багажа. Аналогичная ситуация сложилась в Австралии и Индии. В число пострадавших авиакомпаний попали представители индустрии из Ирландии, Нидерландов, Турции.
Не меньший удар пришелся и на мировую финансовую систему. Первым о выходе из строя системы платежей сообщил Банк Англии. Лондонская фондовая биржа приостановила торги. За этим последовали похожие заявления от финансовых организаций в Австралии, Кении, Японии.
Затем, как по цепочке, стали отмечаться сбои в самых разных сферах услуг. Неработающие кассовые аппараты парализовали работу некоторых ресторанов и супермаркетов. Технические проблемы коснулись и железнодорожных перевозчиков, и компьютерных систем в больницах, и компаний сотовой связи. Жители Аляски не смогли дозвониться в экстренные службы, а британский телеканал был вынужден прервать утреннюю телетрансляцию.
Устранение последствий
Как отмечает генеральный директор и основатель компании по разработке программного обеспечения Сергей Чащин, на полное восстановление инфраструктуры может уйти несколько дней.
«Несмотря на то, что пакет обновления уже исправлен, восстановить уже затронутые устройства пока не так просто. CrowdStrike сообщает, что проблема была выявлена и исправлена, но загвоздка, по всей видимости, заключается в обновлении драйвера на уровня ядра, который CrowdStrike использует для защиты компьютеров с Windows».
По словам спикера, на тредах системных администраторов популярных форумов уже во всю ищут способы исправления ситуации. Потенциальным решением проблемы может быть запуск машин в безопасном режиме и удаление системных файлов в директории CrowdStrike. «Однако этот способ остается под вопросом для серверов и удаленно запущенных устройств. Сейчас можно сказать с уверенностью, что восстановление инфраструктуры может занять до нескольких дней», – подытожил эксперт.
С ним согласен и Сулейман Дибиров, который считает, что оперативность решения проблемы зависит от ее масштабов и от скорости реакции технических служб. Разработчик также предлагает пользователям пошаговую инструкцию по восстановлению работы системы. Для этого нужно:
1. Загрузить компьютер в безопасном режиме или в среде восстановления Windows.
2. Перейти в директорию C:\Windows\System32\drivers\CrowdStrike.
3. Найти файл, начинающийся с C-00000291*.sys, и удалить его.
4. Перезагрузить компьютер в обычном режиме.