Почему российские компании не затронул глобальный сбой Microsoft

Причина сбоя – ошибка компании Crowdstrike, обвинявшей Россию в кибершпионаже еще в 2014 году
Алексей Орлов / Ведомости
Алексей Орлов / Ведомости

Глобальный сбой в ИТ-системах Microsoft, парализовавший 19 июля работу аэропортов, авиакомпаний, банков, оказался связан с проблемным обновлением решения информбезопасности (ИБ) от Crowdstrike, а также с возможным сбоем в облачной инфраструктуре Microsoft Azure. Российские банки и аэропорты сбой практически не затронул, следует из заявлений компаний: они являются субъектами КИИ (критической информационной инфраструктуры), которые до 2025 г. должны импортозаместить ключевые программные продукты. А для всех остальных российских компаний Microsoft отключил все обновления программ еще весной 2024 г.

На данный момент (днем 19 июля. – «Ведомости») сообщений о сбоях систем в российских аэропортах в Минцифры не поступало, сообщил представитель ведомства. «Ситуация с Microsoft в очередной раз показывает значимость импортозамещения иностранного ПО, в первую очередь – на объектах КИИ», – напомнил он.

Что произошло

Проблема возникла в приложении Crowdstrike Falcon Sensor, которое размещается в Microsoft Azure и предназначено для мониторинга ИБ, говорит вице-президент ГК Softline Андрей Благоразумов. У клиентов, использующих данный сервис в Azure, произошел сбой, что привело к остановке их бизнес-процессов, поясняет он.

Crowdstrike уже взяла на себя ответственность за массовые сбои.

Чем известна Crowdsrike

Американская Crowdstrike – одна из крупнейших IT-компаний США, специализирующихся на кибербезопасности. Она была основана бывшим топ-менеджером производителя антивирусного софта McAfee Джорджем Курцем, Дмитрием Альперовичем и Грегом Марстоном в 2011 г. Основной продукт компании – платформа Crowdstrike Falcon, которая используется для обеспечения безопасности, облачной защиты, управления безопасностью, логами и уязвимостями. Согласно данным на сайте компании, она предоставляет технологические решения для малого бизнеса, в сфере безопасности выборов, государственного и местного самоуправления, а также федеральному правительству США, в сфере здравоохранения, образования, финансовых услуг и торговли.

«Crowdstrike активно работает с клиентами, затронутыми дефектом, обнаруженным в одном обновлении контента для хостов Windows, хосты Mac и Linux не затронуты, – заверил гендиректор компании Джордж Кертс в Х (Twitter). – Это не инцидент безопасности или кибератака. Проблема была выявлена, изолирована, и исправление было развернуто. Мы отправляем клиентов на портал поддержки для получения последних обновлений и продолжим предоставлять полные и непрерывные обновления на нашем сайте».

Облачное подразделение Microsoft Azure выступает одним из ключевых партнеров Crowdstrike, следует из информации на сайте компании. Например, в начале мая Crowdstrike представила решение для обнаружения киберугроз в реальном времени для сред Microsoft Azure Cloud Detection and Response (CDR).

В I квартале 2024 г. доля мирового рынка облачных вычислений Azure, по данным аналитической компании HG Insights, достигла 24%, а ее клиентская база выросла на 14,6% до 350 000 компаний.

Средства защиты Crowdstrike очень популярны на Западе, а также в странах Латинской Америки, на Ближнем Востоке, в Азии и тех странах, где сильно присутствие США, говорит бизнес-консультант по ИБ компании Positive Technologies Алексей Лукацкий.

«Неудачное обновление приводит к так называемому "синему экрану смерти" (сообщения о критическом сбое в ОС Windows традиционно выдаются на сплошном синем фоне. – "Ведомости"), и для восстановления работоспособности требуются перезагрузка компьютера в безопасный режим, удаление определенных компонентов ПО, и тогда все заработает, –говорит Лукацкий. – Но для организации с тысячами, десятками и сотнями тысяч компьютеров это может занять колоссальный объем времени, если в компании не было развернуто ПО для централизованного обновления». Сложность заключается в том, что при возникновении подобной проблемы каждое устройство (компьютер, ноутбук или сервер) необходимо перезагружать вручную, с помощью средств управления это сделать невозможно, добавляет руководитель управления исследования угроз «Лаборатории Касперского» Александр Лискин.

По словам Лукацкого, Microsoft славится такого рода сбоями, когда в обновлении появляется функция, которая приводит к неработоспособности компьютеров под управлением Windows, это требует достаточно длительных процедур восстановления. Подобный кейс с масштабным сбоем из-за обновления антивируса произошел в 2010 г. у разработчика антивирусного ПО McAfee, напоминает эксперт. «Сегодняшняя история не единичная, но пока, к счастью, и не массовая. Однако это показывает, насколько мы зависимы от современных технологий», – заключил он.

На портале Reddit пост с инструкцией по тому, как исправить ошибку в обновлении Crowdstrike, собрал более 7000 комментариев. Из инструкции следует, что проблема решается путем удаления одного программного файла в системных настройках.

Почему в России не заметили сбоя

Crowdstrike еще в 2014 г. обвиняла Россию в кибершпионаже и доверия между пользователями из России и разработчиком не возникло, напомнил основатель и генеральный директор хостинг-провайдера VPS серверов RUVDS Никита Цаплин. Crowdstrike не был популярен в нашей стране, а с некоторых пор и вовсе отказался работать с россиянами, говорит эксперт. Благодаря этому, по словам Цаплина, ущерб для российских пользователей от сбоев 19 июля близок к нулю.

В январе 2014 г. Reuters со ссылкой на технического директора Crowdstrike Дмитрия Альперовича писал, что компания располагает доказательствами организованного российским правительством шпионажа в американских, европейских и азиатских энергетических и медицинских компаниях и государственных учреждениях. Целью России является усиление экономических позиций в основных отраслях промышленности, уверял тогда Альперович.

Российские компании не должны получить серьезного ущерба, так как им «помогают» сложности с обновлениями программ Microsoft, а также глобальный тренд перехода на отечественный софт, считает заместитель гендиректора Staffcop («Атом безопасность», входит в ГК «СКБ Контур») Юрий Драченин. С учетом санкций в России сейчас не так много компаний, которые используют облачные технологии Microsoft Azure, говорит руководитель направления защиты информации облачного провайдера Nubes Дмитрий Шкуропат. Пострадают те, кто пользуется Azure через Европу или иными обходными путями, но таких будет мало, добавляет он. Хомутов не исключил, что у некоторых российских компаний могут возникнуть проблемы с зарубежными контрагентами. 

Наиболее активно обсуждались сбои, которые ошибка Crowdsrike вызвала в транспортной отрасли, в частности в авиасообщении. Целый ряд аэропортов в США, Европе, Австралии вынужден был приостановить работу. Но российская авиация 19 июля ни о каких сбоях не сообщала.

Но, несмотря на большие подвижки в части создания и внедрения отечественного ПО для авиаотрасли, огромное количество компаний по-прежнему используют базовые программы зарубежного производства, отмечает исполнительный директор «Авиапорта» Олег Пантелеев. Поэтому нельзя считать, что отрасль полностью независима от глобальных сбоев или целенаправленных отключений сервисов, поясняет он. При этом в России степень защищенности от внешних проблем выше, чем в других странах, признает эксперт. «В частности, малое распространение решений Crowdstrike в стране привело к тому, что нашу авиацию глобальный сбой пока не затронул», – объясняет собеседник. 

Будут ли последствия

Последствия глобального сбоя не станут для российской авиации «проблемой отраслевого масштаба», полагает Пантелеев. Главные международные аэропорты, куда летают российские авиакомпании, с этой проблемой не столкнулись, отмечает эксперт.

Оценить последствия от ущерба за рубежом пока невозможно, все будет зависеть от того, какие конкретно компании пострадали, продолжает Лукацкий: «Одно дело – офисная система, простой которой в течение даже нескольких часов, возможно, ни к чему негативному не приведет, другое – реализация всяких недопустимых событий». Уже сообщается о приостановке большого количества рейсов, что потребует колоссальных затрат на восстановление, о сбоях в медицинских учреждениях – это приостановленные, а может быть, и сорванные операции, о проблемах на фондовом рынке – это падение курса акций и невозможность совершать транзакции, поясняет эксперт. «Я думаю, что ущерб будут оценивать еще в течение нескольких дней точно», — добавил Лукацкий.

Стоит сказать, что в компаниях часто учитывают риски сбоя в инфраструктуре при различных обновлениях, существует процесс тестирования обновления, возможности отката на предыдущую рабочую версию/сборку, отметил Шкуропат. Данный случай не является чем-то уникальным, подчеркивает он.

В течение дня все потерявшие работоспособность системы вернутся к нормальному состоянию, считает Цаплин. Уровень ущерба от инцидента пока сложно оценить, но уже понятно, что речь будет идти о миллиардах долларов, заключил эксперт.