Vụ việc “vị cứu tinh” an ninh mạng CrowdStrike vô tình “đánh sập” hàng loạt hệ thống mạng vận hành sân bay, bệnh viện, ngân hàng... khắp nơi là bài học đắt giá về quy trình bảo đảm hạ tầng công nghệ toàn cầu.
 |
| Hành khách xếp hàng dài tại quầy làm thủ tục tại sân bay quốc tế Ninoy Aquino, (Philippines) do hệ thống công nghệ thông tin bị gián đoạn vào ngày 19-7 năm 2024. Ảnh: Getty Images |
Sự cố của CrowdStrike, một trong những nhà cung cấp an ninh mạng lớn nhất thế giới có trụ sở tại Mỹ ảnh hưởng chưa tới 1% máy tính chạy Windows toàn cầu nhưng gây tác động kinh tế - xã hội lớn. Đây tiếp tục là lời nhắc nhở cho thấy ngay cả những “ông lớn” an ninh mạng hàng đầu cũng có thể mắc sai lầm nghiêm trọng; đồng thời nêu bật tầm quan trọng của việc kiểm tra kỹ lưỡng bản cập nhật phần mềm trước khi triển khai trên diện rộng bởi một lỗi nhỏ có thể dẫn đến thiệt hại rất lớn.
Lỗ hổng trong quy trình thử nghiệm
Theo Reuters, ngày 19-7, bản cập nhật phần mềm bảo vệ cơ sở hạ tầng đám mây Falcon Sensor bất ngờ khiến Microsoft Windows bị sập và hiển thị “màn hình xanh chết chóc” (BSOD). Các chuyên gia bảo mật cho biết, bản cập nhật định kỳ đối với Falcon Sensor dường như đã không trải qua quá trình kiểm tra chất lượng đầy đủ trước khi được phát hành trên diện rộng.
Ông Patrick Wardle, chuyên gia nghiên cứu các mối đe dọa đối với hệ điều hành, cho biết mã lỗi nằm trong một tệp tin chứa thông tin cấu hình hoặc chữ ký vốn thường chứa thông tin giúp phần mềm bảo mật có thể phát hiện mã độc hay phần mềm độc hại. Trong khi đó, ông Steve Cobb, Giám đốc an ninh của Công ty Security Scorecard, nhận định có khả năng tệp này xâm nhập trong quá trình kiểm tra hoặc kỹ thuật sandbox mà họ thực hiện khi kiểm tra mã.
Các chuyên gia này lý giải thêm rằng, các bản cập nhật phần mềm được ví loại dược phẩm chưa được thử nghiệm. Mỗi dòng mã có thể chứa lỗi, khiếm khuyết, thậm chí xung đột với phần mềm khác, giống như thuốc có thể có tác dụng phụ không mong muốn. Thông thường, các công ty sẽ dành thời gian kiểm tra, thử nghiệm từng bản cập nhật phần mềm và triển khai trước cho một nhóm nhỏ, trước khi phát hành rộng rãi cho tất cả. Tuy nhiên, trong bối cảnh an ninh mạng phức tạp, các nhà cung cấp dịch vụ phải chạy đua với những mối đe dọa liên tục kéo đến, hoặc cạnh tranh gay gắt với các công ty khác, khiến việc kiểm tra nhiều lần trong ngày trở nên khó khăn hơn, dẫn đến mất cân bằng về tốc độ và kiểm soát rủi ro.
Theo tờ Independent, sự cố này có thể gây thiệt hại kinh tế ước tính lên tới hàng tỷ bảng chỉ riêng tại Anh. Giới chuyên gia cảnh báo, có thể mất vài tuần để cơ sở hạ tầng công nghệ toàn cầu phục hồi hoàn toàn do phải sửa chữa theo cách thủ công để loại bỏ mã sai sót đối với từng máy tính.
Làm sao để ngăn sự cố tái diễn?
Independent dẫn lời giới chuyên gia cho biết, điều tồi tệ nhất trong vụ sập đám mây của CrowdStrike đã trôi qua nhưng những sự cố tương tự với mức độ nghiêm trọng hơn vẫn có thể xảy ra trong thời gian tới nếu không có cách khắc phục kịp thời. Dù đây không phải là sự cố bảo mật hay hậu quả của tấn công mạng song vụ việc phơi bày sự mong manh trong hạ tầng công nghệ toàn cầu mà xã hội hiện đại đang phụ thuộc.
Để ngăn chặn “thảm họa” tương tự, John Hammond, nhà nghiên cứu tại Công ty bảo mật Huntress Labs, khuyến nghị quy trình kiểm tra kỹ bản cập nhật hoặc triển khai cho một nhóm hạn chế trước khi áp dụng diện rộng.
Tác động toàn cầu của sự cố cũng phản ánh sự thống trị lâu nay của CrowdStrike khi hơn một nửa số công ty trong Fortune 500, bảng xếp hạng danh sách 500 công ty lớn nhất của Mỹ, cùng nhiều cơ quan chính phủ đều sử dụng phần mềm của CrowdStrike. Theo USA Today, Javad Abed, chuyên gia về an ninh mạng và lỗ hổng dữ liệu từ Đại học Johns Hopkins (Mỹ) cho biết, các khách hàng doanh nghiệp của CrowdStrike và Microsoft có thể xem xét các nhà cung cấp thay thế sau sự cố nhưng đó không phải là giải pháp mấu chốt.
Thực tế, phần lớn các sự cố có thể phòng ngừa được và một trong những nguyên tắc cơ bản của an ninh mạng là tính dự phòng. Ông nói: “Sự cố CrowdStrike là lời nhắc nhở rõ ràng rằng việc dựa vào một công cụ an ninh mạng duy nhất, bất kể danh tiếng của nhà cung cấp sẽ dẫn đến hậu quả khôn lường. Do đó, việc triển khai nhiều lớp với nhiều nhà cung cấp là rất quan trọng để bảo đảm tính liên tục của hoạt động kinh doanh quan trọng”.
| CrowdStrike bồi thường những gì? Theo Business Insider, các điều khoản dành cho phần mềm bảo mật Falcon Sensor giới hạn trách nhiệm pháp lý đối với các khoản phí đã thanh toán, qua đó hạn chế chi phí bồi thường cho các công ty bị ảnh hưởng bởi sự cố. Điều đó cũng có nghĩa là những người dùng CrowdStrike đã ký các điều khoản và điều kiện tiêu chuẩn không thể mong đợi nhận được nhiều hơn số tiền hoàn lại từ công ty. Ngay cả khi các công ty sử dụng phần mềm này chứng minh doanh thu bị mất hoặc thời gian ngừng hoạt động, họ cũng không thể yêu cầu CrowdStrike bồi thường vì trách nhiệm pháp lý của CrowdStrike chỉ giới hạn trong khoản tiền họ đã nhận. Các bên thiệt hại vẫn có thể tìm kiếm khoản bồi thường từ các công ty bảo hiểm mạng vốn đều có chính sách cho phép nhận bồi thường từ công ty bảo hiểm trong trường hợp gặp thiệt hại vì bên thứ ba mà họ phụ thuộc. Tuy nhiên, nhiều chính sách bảo hiểm hiện chỉ áp dụng với các sự cố độc hại như tấn công mạng. |
THƯ LÊ
