Cuma günü dünya çapında bilgisayar ekranları maviye döndüğünde, uçuşlar iptal edildi, otel girişleri imkansız hale geldi ve yük teslimatları durma noktasına geldi. İşletmeler kağıt ve kaleme başvurdu. Ve ilk şüpheler bir tür siber terörist saldırısına yöneldi. Ancak gerçek çok daha sıradandı: siber güvenlik şirketi CrowdStrike’ın hatalı bir yazılım güncellemesi.

Güvenlik firması Blackpoint Cyber’ın tehdit istihbaratı direktörü Nick Hyatt, “Bu durumda, konu bir içerik güncellemesiydi” dedi.

Ve CrowdStrike’ın çok geniş bir müşteri kitlesi olması, içerik güncellemesinin dünya çapında hissedilmesine neden oldu.

“Bir hatanın felaket sonuçları oldu. Bu, modern toplumumuzun BT ile ne kadar yakından bağlantılı olduğunun harika bir örneğidir – kahve dükkanlarından hastanelere ve havaalanlarına kadar, böyle bir hatanın çok büyük sonuçları olur,” dedi Hyatt.

Bu durumda, içerik güncellemesi CrowdStrike Falcon izleme yazılımına bağlandı. Hyatt, Falcon’un uç noktalarda (bu durumda dizüstü bilgisayarlar, masaüstü bilgisayarlar ve sunucular) kötü amaçlı yazılımları ve diğer kötü amaçlı davranışları izlemek için derin bağlantılara sahip olduğunu söylüyor. Falcon, yeni tehditleri hesaba katmak için kendini otomatik olarak günceller.

“Hatalı kod otomatik güncelleme özelliğiyle dağıtıldı ve işte buradayız,” dedi Hyatt. Otomatik güncelleme yeteneği birçok yazılım uygulamasında standarttır ve CrowdStrike’a özgü değildir. “Sadece CrowdStrike’ın yaptığı şeyden dolayı, buradaki sonuç felaket olur,” diye ekledi Hyatt.

ABD’li teknoloji şirketi Microsoft’a siber güvenlik hizmeti veren CrowdStrike’ın 19 Temmuz 2024’te Ankara’da yaşadığı küresel iletişim kesintisi nedeniyle bilgisayar ekranlarında görülen mavi ekran ölüm hatalarıdır.

Harun Özalp | Anadolu | Getty Images

CrowdStrike sorunu hızla tespit etmiş ve birçok sistem saatler içinde tekrar çalışır hale gelmiş olsa da, karmaşık sistemlere sahip kuruluşlar için küresel çaptaki hasarın geri döndürülmesi kolay değildir.

“Her şeyin çözülmesinin üç ila beş gün süreceğini düşünüyoruz,” dedi eski FBI terörle mücadele ve karşı istihbarat görevlisi ve siber güvenlik uzmanı Eric O’Neill. “Bu, kuruluşlar için bir sürü kesinti.”

O’Neill, kesintinin yaz aylarında bir cuma günü, birçok ofisin boş olması ve BT’nin sorunu çözmeye yardımcı olacak kadar yeterli olmamasının da yardımcı olmadığını söyledi.

Yazılım güncellemeleri kademeli olarak sunulmalıdır

O’Neill, küresel BT kesintisinden çıkarılacak bir dersin, CrowdStrike’ın güncellemesinin kademeli olarak sunulması gerektiği olduğunu söyledi.

“Crowdstrike’ın yaptığı şey, güncellemelerini herkese aynı anda dağıtmaktı. Bu en iyi fikir değil. Bir gruba gönderip test edin. Geçmesi gereken kalite kontrol seviyeleri var,” dedi O’Neill.

Visual Edge IT Güvenlik ve Uyumluluk Başkan Yardımcısı Peter Avery, “Çıkmadan önce birçok ortamda, sanal alanlarda test edilmeliydi” dedi.

Gelecekte bu tür arızaların tekrarlanmasını önlemek için daha fazla güvenceye ihtiyaç duyulacağını düşünüyor.

“Şirketlerde doğru denetim ve dengelere ihtiyacınız var. Bu güncellemeyi yapmaya karar veren tek bir kişi olabilir veya birisi yürütülecek yanlış dosyayı seçmiş olabilir,” dedi Avery.

BT sektörü buna tek nokta hatası diyor; yani sistemin bir bölümünde meydana gelen ve sektörler, işlevler ve birbirine bağlı iletişim ağları genelinde teknik bir felakete yol açan bir hata; büyük bir domino etkisi.

BT sistemlerine yedeklilik kurulması çağrısı

Cuma günkü olay, şirketlerin ve bireylerin siber güvenlik konusundaki hazırlıklarını artırmalarına neden olabilir.

“Daha büyük resim, dünyanın ne kadar kırılgan olduğudur; bu sadece siber veya teknik bir sorun değildir. İletişimimizi ve elektronik cihazlarımızı devre dışı bırakabilecek güneş parlamaları gibi bir kesintiye neden olabilecek bir sürü farklı olgu vardır,” dedi Avery.

Sonuç olarak, Cuma günkü çöküş Crowdstrike veya Microsoft’un değil, işletmelerin siber güvenliğe nasıl baktığının bir göstergesiydi, diyor Johns Hopkins Carey İşletme Okulu’nda bilgi sistemleri yardımcı doçenti olan Javad Abed. “İşletme sahipleri siber güvenlik hizmetlerini yalnızca bir maliyet olarak görmeyi bırakmalı ve bunun yerine şirketlerinin geleceğine yönelik önemli bir yatırım olarak görmeli,” diyor Abed.

İşletmeler bunu, sistemlerine yedeklilik kurarak yapmalıdır.

“Tek bir başarısızlık noktası bir işi durduramaz ve olan da budur,” dedi Abed. “Sadece tek bir siber güvenlik aracına, siber güvenlik 101’e güvenemezsiniz,” dedi Abed.

Kurumsal sistemlere yedeklilik kurmak maliyetli bir işlemdir, ancak Cuma günü yaşananlar daha da maliyetlidir.

Abed, “Umarım bu bir uyarı olur ve işletme sahipleri ile kuruluşların siber güvenlik stratejilerini gözden geçirmeleri konusunda zihniyetlerinde bazı değişikliklere neden olur” dedi.

‘Çekirdek düzeyindeki’ kod hakkında ne yapmalı

New York Üniversitesi Küresel İşler SPS Merkezi’nde öğretim görevlisi ve eski İç Güvenlik Bakanlığı yetkilisi Nicholas Reese, siber güvenliği, veri güvenliğini ve teknoloji tedarik zincirini çoğunlukla “olması güzel şeyler” olarak gören ve temel unsurlar olarak görmeyen kurumsal BT dünyasında, makro düzeyde sistemik bir suçlamada bulunmanın adil olduğunu ve kuruluşlar içinde genel olarak siber güvenlik liderliğinin eksik olduğunu söyledi.

Reese, mikro düzeyde, bu kesintiye neden olan kodun çekirdek düzeyinde kod olduğunu ve her bilgisayar donanımını ve yazılım iletişim yönünü etkilediğini söyledi. Reese, “Çekirdek düzeyindeki kod en üst düzeyde incelemeye tabi tutulmalı” dedi ve onay ile uygulamanın hesap verebilirlik içeren tamamen ayrı süreçler olması gerektiğini söyledi.

Bu, üçüncü taraf satıcı ürünlerinin ve hepsinin güvenlik açıklarının bulunduğu tüm ekosistem için devam edecek bir sorundur.

“Üçüncü taraf satıcıların ekosistemine nasıl bakacağız ve bir sonraki güvenlik açığının nerede olacağını nasıl göreceğiz? Bu neredeyse imkansız, ancak denemeliyiz,” dedi Reese. “Bu bir ihtimal değil, ancak potansiyel güvenlik açıklarının sayısıyla boğuşana kadar kesin bir durum. Yedekleme ve yedekliliğe odaklanmamız ve buna yatırım yapmamız gerekiyor, ancak işletmeler asla gerçekleşmeyecek şeyler için ödeme yapamayacaklarını söylüyor. Bunu iddia etmek zor,” dedi.