Sự cố “màn hình xanh toàn cầu” có thể mất vài tuần để giải quyết tận gốc
Chỉ một bản cập nhật lỗi, hệ thống IT của rất nhiều tập đoàn lớn, bao gồm cả những cái tên trong những ngành nghề nhạy cảm và quan trọng như vận tải hàng không đã bị vô hiệu hoá hoàn toàn vào hôm thứ 6 tuần này. Crowdstrike, một trong những đơn vị bảo mật IT lớn nhất hành tinh vừa đổ lỗi cho một bản cập nhật phần mềm Falcon phục vụ cho hàng nghìn, hàng vạn đơn vị và doanh nghiệp trên toàn thế giới. Vì bản cập nhật lỗi này, 8.5 triệu thiết bị chạy Windows trên toàn thế giới gặp lỗi màn hình xanh, từ máy tính cá nhân đến máy chủ. Trong số những đơn vị bị ảnh hưởng có cả những hãng hàng không, nhãng bệnh viện, và cả những đơn vị phát thanh truyền hình trên toàn thế giới.
Theo tuyên bố chính thức của Microsoft: “Chúng tôi ước tính rằng, bản cập nhật bảo mật phần mềm cảu Crowdstrike đã ảnh hưởng tới 8.5 triệu chiếc máy tính Windows, chưa đầy 1% tổng số thiết bị chạy Windows toàn cầu. Dù tỷ lệ rất nhỏ, nhưng tác động kinh tế quy mô lớn và tác động đối với xã hội mô tả thực tế rằng rất nhiều dịch vụ trọng yếu trên toàn thế giới đang sử dụng dịch vụ của Crowdstrike.”
Đơn vị phân tích thị trường hàng không Cirium hôm thứ 7 vừa rồi đưa ra thông tin, rằng các hãng hàng không đã phải huỷ thêm 1.848 chuyến bay, hầu hết ở Mỹ. Ngành hàng không của Ý, Ấn Độ và Canada cũng bị ảnh hưởng nghiêm trọng.
Sự cố này thực sự khiến cả thế giới bất ngờ, vì từ trước tới nay, danh tiếng của Crowdstrike là rất tích cực trong mắt các doanh nghiệp. Ứng dụng của họ luôn là hàng rào bảo vệ đầu tiên chống lại những tên tội phạm công nghệ cao và những chiến dịch tấn công mạng. Neil MacDonald, nhà phân tích tại đơn vị tư vấn Gartner nói: “Đây là lần đầu tiên một ứng dụng bảo mật được sử dụng phổ biến, được thiết kế để bảo vệ mọi hệ thống, lại biến thành nguyên nhân chính những hệ thống ấy gặp trục trặc.”
Cách duy nhất để giải quyết lỗi màn hình xanh do bản cập nhật phần mềm Falcon gây ra, là khởi động lại máy, rồi gỡ bản cập nhật này trên từng thiết bị. Đối với các doanh nghiệp, quy trình này vừa phức tạp, tốn kém cả sức người lẫn sức của, vì phải thực hiện trên từng thiết bị đơn lẻ.
Mikko Hyppönen, giám đốc nghiên cứu tại WithSecure cho biết: “Hàng triệu chiếc máy sẽ phải lần lượt được nhân sự các doanh nghiệp sửa lại, không thể giải quyết bằng hệ thống tự động. Những hệ thống quan trọng nhất trong một doanh nghiệp, chẳng hạn như những chiếc laptop của những vị CEO giờ đều đã được khắc phục, nhưng với những nhân sự cấp dưới, họ sẽ phải đợi tới lượt.”
Sự cố này trở nên nghiêm trọng hơn trong mắt mọi người, vì quy mô và danh tiếng của những tập đoàn đang ứng dụng Falcon của Crowdstrike. Tập đoàn có trụ sở tại Austin, Texas cho biết họ có hơn 29 nghìn khách hàng doanh nghiệp tính đến cuối năm 2023, và trong số những công ty nằm trong danh sách Fortune 500, hơn nửa trong số đó đang sử dụng dịch vụ của Crowdstrike.
Marshall Lux, giảng viên danh dự đại học kinh doanh McDonough thuộc đại học Georgetown nói rằng: “Bất chấp việc dịch vụ của tập đoàn này đang được rất nhiều tập đoàn lớn ứng dụng, không nhiều người dám tưởng tượng ra việc chính dịch vụ của họ sẽ khiến cả thế giới đình trệ.” Cũng theo ông Lux, tác động toàn cầu của sự kiện này mô tả “sự đan xen của mọi hệ thống và nguy cơ tập trung hoá trên thị trường.”
Nhà phân tích Fatima Boolani của ngân hàng Citi có cùng quan điểm, rằng những tập đoàn phần mềm “rõ ràng đã trở nên quá lớn và quá kết nối với nhau,” tới mức nếu dịch vụ gặp trục trặc, toàn bộ hệ thống nền kinh tế thế giới có thể bị ảnh hưởng. Điều này tạo ra nguy cơ đối với chính các đơn vị này, vì những nhà lập pháp và các nhà quản lý có thể sẽ chú ý tới họ.
Gartner đưa ra ước tính, thị phần tính theo doanh thu của Crowdstrike trên thị trường bảo mật đầu cuối (bao gồm cả ứng dụng bảo mật cho máy tính cá nhân, smartphone và những thiết bị khác) cao gấp đôi ba đối thủ cạnh tranh cộng lại: Trellix, Trend Micro và Sophos. Doanh thu lớn hơn Crowdstrike chỉ có một cái tên duy nhất, Microsoft.
Hồi tháng 6, Crowdstrike công bố báo cáo tài chính, CEO George Kurtz cho rằng, hiện tại đang có “một cơn khủng hoảng lòng tin trong những khách hàng doanh nghiệp đang ứng dụng giải pháp bảo mật của Microsoft” sau những sự cố máy chủ của tập đoàn này bị tấn công.
Crowdstrike được thành lập năm 2011. Gần đây họ cho biết, nhu cầu ứng dụng bảo mật tăng đột biến, sau khi Microsoft hồi đầu năm nay thừa nhận rằng hệ thống của họ đã bị “những hacker được chính phủ một số nước thù địch với Mỹ chống lưng” tấn công. Tháng 5/2024, Crowdstrike ra mắt sản phẩm vận hành song song với công cụ Defender của Microsoft.
Hôm thứ 6, khi sự cố xảy ra, CEO Kurtz lên tiếng xin lỗi tất cả khách hàng của công ty, và nhấn mạnh rằng sự cố này không phải tấn công mạng, và mọi khách hàng của Crowdstrike vẫn được bảo vệ toàn diện. Nhưng các chuyên gia bảo mật đưa ra lo ngại rằng những kẻ lừa đảo có thể lợi dụng tình trạng hoảng loạn của các doanh nghiệp để đóng giả Microsoft hay Crowdstrike, từ đó chiếm đoạt tài sản của các doanh nghiệp.
Bằng chứng là, đơn vị nghiên cứu bảo mật Secureworks cho biết, các nhà nghiên cứu của họ đã phát hiện ra vài tên miền mới giả mạo Crowdstrike chỉ trong vài giờ đồng hồ kể từ khi sự cố xảy ra, và hầu hết đều do bọn tội phạm lừa đảo đăng ký để lợi dụng sự cố này.
Theo Ian Batten, giảng viên khoa học máy tính tại đại học Birmingham, để tránh xảy ra những sự cố như hôm thứ 6 tuần vừa rồi, quan trọng nhất luôn là thử nghiệm bản cập nhật một cách kỹ càng, Trong trường hợp này, có thể chỉ vài dòng code đã khiến nhiều ngành và nhiều doanh nghiệp lớn bị ảnh hưởng nghiêm trọng.
Tuy nhiên, một đơn vị như Crowdstrike luôn luôn phải đối mặt với áp lực liên tục và nhanh nhạy tung ra những cập nhật bảo mật để chặn đứng tội phạm công nghệ cao lợi dụng những lỗ hổng trong hệ thống. Nói theo lời của Adam Leon Smith, thành viên của British Computer Society: “Luôn luôn có sự đánh đổi giữa tốc độ cập nhật để đảm bảo những hệ thống được bảo vệ tốt nhất trước những nguy cơ mới, và những quy trình cần thiết để đảm bảo tính bền bỉ của những hệ thống máy tính, ngăn chặn những sự cố như những gì vừa xảy ra.” Theo ông, tác động và hậu quả của sự cố hôm thứ 6 phải mất vài ngày, thậm chí vài tuần để khắc phục tận gốc.