Блог компании Positive Technologies | 🌐 В пятницу, 19 июля, произошел глобальный сбой в работе устройств на Windows

Пользователи по всему миру жаловались на появление синих «экранов смерти». Но пострадали не только они.

✈️ Несколько крупнейших авиакомпаний, включая American Airlines и Delta Airlines, сообщили о приостановке полетов. Аэропорты Сиднея, Берлина и Эдинбурга ограничили работу, а у Turkish Airlines возникли сложности с бронированием билетов и регистрацией.

🏦 Сбой затронул и финансовый сектор: о затруднениях в работе сообщила Лондонская фондовая биржа, проблемы возникли у платежных систем Visa и Mastercard, а также у ряда банков в Европе и Австралии.

📺 Сообщалось о перебоях в вещании британских и израильских телеканалов и некорректной работе систем записи в медицинские учреждения.

Что случилось?

Виновник происшествия, которое повлекло такие глобальные последствия, — сбой в работе облачной платформы Microsoft Azure, вызванный системами защиты CrowdStrike Falcon Sensor, блокирующими кибератаки.

💬 По сообщению Джорджа Куртца, главы CrowdStrike, компания «активно работает с клиентами, пострадавшими от дефекта, обнаруженного в одном обновлении контента для хостов Windows». Отдельно он отметил, что сбой не является кибератакой и не повлиял на работу macOS и Linux.

Microsoft сразу признала наличие проблемы у пользователей приложений и служб Microsoft 365 и к середине дня сообщила об устранении основной причины сбоя и восстановлении работы части сервисов.

Акции CrowdStrike 19 июля на минимуме упали на 21,3%, до 270 $, акции Microsoft — почти на 3,5%, до 425,13 $.

Как это получилось и как избежать

«Такие некорректные обновления могут стать причиной недопустимых событий и для компании-вендора, и для клиентов. Важно проводить так называемые „канареечные обновления“ — тестирование всех обновлений, когда перед массовой установкой они ставятся только на те рабочие станции, которые не участвуют в критически важных процессах предприятия, — прокомментировал Денис Матюхин, руководитель продукта MaxPatrol VM, Positive Technologies. — Необходимо проверить, чтобы патч или обновление не нарушали работу сетевых узлов. И, если все хорошо, только после этого устанавливать их массово».

«Не стоит забывать про гигиену в IT: держать все в одном месте и не проводить диверсификацию — очень плохой путь», — также отметил Денис.

Пострадал ли кто-то в России?

Российские ресурсы сбой не затронул. Авиакомпании, банковские системы и СМИ сообщают о работе в штатном режиме.

❗️«Ситуация с Microsoft в очередной раз показывает значимость импортозамещения ПО, в первую очередь — на объектах критической информационной инфраструктуры», — прокомментировал ситуацию представитель Минцифры.

«С точки зрения IT-инфраструктуры российские компании этому инциденту не подвержены, — согласен Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, — но обычные россияне могут ощутить определенные последствия. Например, уже невозможно оформить различные стыковочные рейсы. Отдельные аэропорты на массовых направлениях отдыха в настоящий момент также не работают, что приводит к достаточно большим задержкам в авиаперелетах. Поэтому для кого-то это будет недопустимым событием».

По мнению Алексея, ситуация напоминает о важности безопасной разработки, поскольку к подобным массовым сбоям может привести отсутствие проверки обновления как на стороне производителя, так и на стороне потребителей, в автоматическом режиме устанавливающих все обновления.

Кроме того, ситуация показывает, насколько сильно влияние информационных технологий на различные бизнес-процессы и какими катастрофичными могут быть последствия от случайного или намеренного воздействия на IT-инфраструктуру компаний. Это стоит учитывать при оценке и определении недопустимых событий.