След инцидента с ъпдейта на CrowdStrike към техните Windows потребители има засегнати компании и в България, но тъй като е необходим вътрешен достъп, външни компании в сектора като SoCyber рядко могат да помогнат в такава ситуация. Това коментира Красимир Коцев, основател и главен изпълнителен директор SoCyber, в предаването "Бизнес старт" на Bloomberg TV Bulgaria.
Коцев обясни, че инцидентът с ъпдейта на CrowdStrike към техните Windows потребители, който засегна милиони устройства миналата седмица, вероятно е резултат на пропуск или некачествено изпълнение на нужните стъпки преди активирането на автоматичното обновяване на системата.
„Винаги преди подобен основен ъпдейт трябва да се мине през т. нар. проверка 4 Eye Check - проверка от второ лице - и се прави проверка на съвместимостта на новия софтуер с целевите системи в изолирана среда. Това е инцидент, а не кибератака, но малко след случилото се се появиха множество опити за измами“, посочи събеседникът.
Красимир Коцев уточни, че няма изтичане на данни или корпоративна информация при срива, но невъзможността за достъп до системите е нанесла щети от изгубен бизнес, като при банките това може да възлиза на милиарди. В същото време има официални предупреждения за измами, които се възползват от случилото се с цел да откраднат пари или лични данни.
"Още в първите часове видяхме множество регистрирани домейни, които се представят, че са от CrowdStrike. CrowdStrike няма да ви изпрати имейл, където да пише къде да изпратите някаква информация или линк, върху който да кликнете. Стотици зловредни сайтове се възползваха от ситуацията - изпращат фалшив имейл на жертвата, подканят да се инсталира файл, за който твърдят, че ще ги спаси от ситуацията, или хиперлинк, който води към зловреден файл", обясни събеседникът.
Той допълни, че CrowdStrike изключително бързо са пуснали стъпки, с които да се реши проблемът координирано с Microsoft, но мащабът на случилото се означава, че не може да се очаква бързо възстановяване на системите. Още повече, че решението (изтриването на файла с последния ъпдейт) включва физическо рестартиране на системите, което води до допълнително забавяне при използването на облачна среда, където достъпът на потребителите е ограничен, каза Коцев.
"Масово организациите по цял свят минават към облачна среда и този рестарт в Safe Mode не е възможен, тъй като нямаме достъп до тази функционалност, откъдето произлизат по-голяма част от щетите", допълни Коцев.
CrowdStrike е водещ доставчик на решения за киберсигурност и е сертифициран по множество стандарти, че следва добри практики при своя софтуер. Методът да се контролират ъпдейтите е до голяма степен автоматизиран, допълни той.
Целия разговор може да гледате във видеото на Bloomberg TV Bulgaria
11:59 | 22.07.24 г.
