Zatímco se společnosti a vládní agentury po celém světě snaží obnovit své počítačové systémy po celosvětovém výpadku, který minulý týden způsobila chybná aktualizace softwaru, objevují se otázky, zda byly dodrženy správné protokoly pro aktualizace.
Současně technologičtí analytici vyjadřují obavy ohledně rozsahu rostoucí závislosti Spojených států na oligopolu firem zabývajících se cloud computingem.
Aktualizace antivirového softwaru, kterou 19. července vydala společnost CrowdStrike, jedna z největších společností zabývajících se kybernetickou bezpečností, způsobila zhroucení více než miliardy počítačů se systémem Windows a vyřadila z provozu základní operace na letištích, v nemocnicích, centrech tísňového volání, policejních odděleních, vlacích, věznicích, městských službách a v podnicích.
Společnost se po této události několikrát omluvila a přislíbila vyřešit problémy, z nichž většinu nelze odstranit prostřednictvím aktualizací celého systému, ale je třeba je opravit na jednotlivých počítačích.
Shawn Henry, šéf bezpečnosti společnosti CrowdStrike, uvedl v příspěvku na síti LinkedIn: „V pátek jsme vás zklamali, za což se hluboce omlouvám.“
„Důvěra, kterou jsme v kapénkách budovali celé roky, se během několika hodin ztratila v kýblech a byla to rána do břicha. Bledne to však ve srovnání s bolestí, kterou jsme způsobili našim zákazníkům a partnerům.“
Odborníci na kybernetickou bezpečnost vznesli otázky, zda společnost CrowdStrike při šíření aktualizace z 19. července neobcházela osvědčené postupy.
„Podle mého názoru je to naprosto základní věc – když dojde na patche a aktualizace, obzvlášť u kritických podnikových systémů, věnujte 10 minut jejich testování,“ řekl listu Epoch Times Robert Thomas, majitel společnosti 180A Consulting, která se zabývá kybernetickou bezpečností, a bývalý pracovník ministerstva obrany.
„Za minutu stáhnete patch, za další minutu ho nainstalujete do testovacího systému, za další minutu restartujete systém a pak spustíte testy kritických softwarových aplikací.“
Centrum pro internetovou bezpečnost (CIS) a Národní institut pro standardy a technologie (NIST) vytvořily standardní protokoly týkající se způsobu provádění aktualizací softwaru. Kdyby se jimi řídily, měly by se podle Thomase chyby v aktualizaci projevit ještě před jejím rozesláním uživatelům.
„Aktualizace softwaru by podle osvědčených postupů/protokolů měly projít mnoha fázemi testování, než se dostanou k zákazníkovi,“ řekl listu Epoch Times Tom Marsland, manažer školení a projektů společnosti Cloud Range.
„To by zahrnovalo automatizované testování jednotek kódu, bezpečnostní revize a testování uvnitř týmu CrowdStrike [a] teprve po dokončení těchto činností by měla být aktualizace rozeslána zákazníkům,“ uvedl Marsland.
Kromě toho by aktualizace měly být zpočátku zaváděny pro menší skupinu zákazníků a poté rozšířeny, nikoliv rozesílány plošně najednou, dodal.
„V případě páteční aktualizace CrowdStrike se zdá, že tyto postupy nebyly dodrženy,“ řekl Marsland.Ve svém přezkumu po incidentu zveřejněném 24. července společnost CrowdStrike uvedla: „Kvůli chybě v nástroji Content Validator prošla jedna ze dvou [aktualizací] validací, přestože obsahovala problematická data obsahu.“
Ministerstvo pro místní rozvoj plánuje do 20. srpna provést zásadní opravy v systémech digitalizace stavebního řízení v reakci na požadavky Svazu měst a obcí. Vyplynulo […]
Krajský soud v Hradci Králové v pondělí potrestal osmnáctiletým vězením muže, který v lednu ubodal nožem v kolejišti hlavního vlakového nádraží v Hradci Králové čtrnáctiletého […]
Spravovat Souhlas s cookies
Abychom poskytli co nejlepší služby, používáme k ukládání a/nebo přístupu k informacím o zařízení, technologie jako jsou soubory cookies.
Funkční
Vždy aktivní
Technické uložení nebo přístup je nezbytně nutný pro legitimní účel umožnění použití konkrétní služby, kterou si odběratel nebo uživatel výslovně vyžádal, nebo pouze za účelem provedení přenosu sdělení prostřednictvím sítě elektronických komunikací.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistiky
Technické uložení nebo přístup, který se používá výhradně pro statistické účely.Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
