Dacă un proces de actualizare a software-ului eșuează, poate avea consecințe catastrofale, așa cum vedem astăzi, cu aceste „blue screen of death” larg răspândite, cauzate de o actualizare defectuoasă de la CrowdStrike.

Securitatea cibernetică este adesea o cursă contra cronometru; o entitate rău-intenționată creează o tehnică sau un cod de atac malițios, companiile de securitate cibernetică reacționează la noua amenințare și, dacă este necesar, ajustează și aplică metode pentru a detecta amenințarea. Aplicarea lor poate necesita actualizarea sistemelor de detectare în cloud și/sau actualizarea dispozitivelor terminale pentru a oferi protecția necesară împotriva amenințării. Viteza este esențială, deoarece industria de securitate cibernetică are rolul de a proteja, detecta și răspunde la amenințări pe măsură ce apar.

Procesele pe care companiile de securitate cibernetică le implementează pentru a evita conflictele între un update și sistemul de operare sau alte produse sunt, de obicei, complexe, cu medii de testare automată, care simulează scenarii reale ale diferitelor sisteme de operare, mai multe variante de drivere de sistem și altele asemenea.

În unele cazuri, pot fi supravegheate de oameni, care dau aprobarea finală că toate procesele și procedurile au fost urmate și nu există conflicte. Pot exista și terți, cum ar fi un furnizor de sisteme de operare, în acest proces, care testează independent de furnizorul de securitate cibernetică, încercând să evite orice întrerupere majoră, de amploarea celei pe care am putut să o vedem recent.

Într-o lume perfectă, o echipă de securitate cibernetică ar lua actualizarea și ar testa-o în mediul propriu, asigurându-se că nu există incompatibilități. Odată ce sunt siguri că actualizarea nu cauzează probleme, ar începe o lansare programată a update-ului, poate câte un departament, rând pe rând. Astfel, riscul de a cauza probleme semnificative operațiunilor de business ar fi redus.

Dar acesta nu este și nu poate fi procesul pentru actualizările produselor de securitate cibernetică, ce trebuie implementate la aceeași viteză cu care se lansează o amenințare, de obicei aproape instantaneu. Dacă procesul de actualizare eșuează, rezultatele pot fi catastrofale, așa cum vedem astăzi actualizarea software de la CrowdStrike, cu „blue screen of death” și infrastructuri întregi căzute.

Ceea ce nu indică neapărat incompetența furnizorului, ci este probabil rezultatul unei coincidențe nefericite, o furtună perfectă de actualizări sau configurații care au creat incidentul. Asta desigur, cu excepția cazului în care actualizarea a fost manipulată de o entitate rău-intenționată, ceea ce nu pare a fi cazul aici.

Ce ar trebui să învățăm din acest incident?

În primul rând, este de așteptat ca toți furnizorii de securitate cibernetică să își revizuiască procesele de actualizare pentru a identifica și a înlătura eventualele breșe, dar și pentru a le întări. Lecția esențială este că o companie care ajunge într-o poziție dominantă pe piață poate crea o formă de monocultură și, prin urmare, o singură problemă ar putea afecta un număr mare de utilizatori.

Orice profesionist în securitate cibernetică va folosi termeni precum „apărare cibernetică în profunzime” sau „straturi de apărare cibernetică” – care se referă la utilizarea mai multor tehnologii și, în majoritatea cazurilor, a mai multor furnizori pentru a contracara potențialele atacuri, fiind vorba și despre capacitatea de a rezista la atac sau accident a infrastructurii cibernetice și evitarea dependenței de un singur furnizor.

Nu trebuie să pierdem din vedere cine este de vină când se întâmplă un astfel de incident; dacă infractorii cibernetici și atacatorii statali nu ar crea amenințări cibernetice, nu am avea nevoie de protecție în timp real.