Trong bối cảnh các công ty và cơ quan chính phủ trên khắp thế giới đang nỗ lực cho khôi phục hệ thống máy điện toán của họ sau vụ ngừng đột ngột các hoạt động trên toàn cầu vào hôm tuần trước do một bản cập nhật phần mềm bị lỗi, người ta đang đặt ra các câu hỏi về việc, liệu các giao thức cập nhật phù hợp có được tuân thủ hay không.
Đồng thời, giới phân tích kỹ thuật đang nêu lên mối lo ngại về mức độ phụ thuộc ngày càng tăng của Hoa Kỳ vào một thị trường độc quyền của các công ty điện toán đám mây.
Bản cập nhật phần mềm chống virus được phát hành hôm 19/07 bởi công ty
CrowdStrike, một trong những công ty an ninh mạng lớn nhất, đă khiến cho hơn một tỷ máy điện toán chạy hệ điều hành Windows gặp trục trặc, ảnh hưởng đến các hoạt động thiết yếu tại phi trường, bệnh viện, trung tâm cấp cứu 911, sở cảnh sát, xe lửa, nhà tù, và các dịch vụ đô thị khác cũng như các hoạt động của rất nhiều công ty lớn nhỏ khác.
Công ty
CrowdStrike đă đưa ra nhiều lời xin lỗi kể từ sự kiện này xảy ra và cam kết sẽ giải quyết triệt đề các vấn đề. Nhiều vấn đề trong số đó không thể thực hiện được thông qua các bản cập nhật trên toàn hệ thống mà phải cho sửa lỗi trên từng máy điện toán.
Ông Shawn Henry, Giám đốc An ninh của
CrowdStrike, đă tuyên bố trên một bài đăng trên
LinkedIn:
"Vào thứ Sáu, chúng tôi đă làm quư vị thất vọng và v́ vậy, tôi xin gởi lời xin lỗi".
"Niềm tin mà chúng tôi đă miệt mài xây dựng trong nhiều năm đă tan thành mây khói chỉ trong vài giờ và đó là một đ̣n rất đau", ông Henry viết.
"Nhưng điều này chẳng là ǵ so với sự thiệt hại mà chúng tôi đă gây ra cho khách hàng và các đối tác của ḿnh".
Các chuyên gia an ninh mạng đă đặt ra câu hỏi về việc liệu
CrowdStrike có thể đă không tuân thủ thực hiện theo các quy tŕnh tốt nhất hay không khi đưa ra phát hành bản cập nhật vào ngày 19/07.
Ông Robert Thomas, chủ nhân của công ty an ninh mạng
180A Consulting và là một cựu nhân viên ở Bộ Quốc pḥng, có chia sẻ với giới truyền thông:
"Đối với tôi, chuyện cảnh cáo vốn là những điều nguyên tắc căn bản đối với các bản vá lỗi, bản cập nhật, và trên các hệ thống nghiệp vụ quan trọng, hăy dành ra 10 phút để cho chạy thử chúng".
"Quư vị mất một phút để tải xuống bản vá lỗi; quư vị dành thêm một phút nữa để cài đặt bản vá lỗi trên hệ thống thử nghiệm; một phút nữa để khởi động lại hệ thống và sau đó chạy thử nghiệm các ứng dụng phần mềm nghiệp vụ quan trọng".
Trung tâm An ninh về Internet (
CIS) và Viện Tiêu chuẩn và Kỹ nghệ Quốc gia Hoa Kỳ (
NIST) đă thiết kế ra các giao thức tiêu chuẩn về cách cho tiến hành cập nhật phần mềm. Ông Thomas cho biết,nếu những giao thức này được tuân thủ th́ những sai sót trong bản cập nhật lẽ ra phải bị lộ rơ trước khi được phân phối đến người sử dụng.
Ông Tom Marsland, giám đốc đào tạo và dự án của
Cloud Range và là tác giả cuốn sách
"Unveiling the NIST Risk Management Framework" (tạm dịch:
"Tiết Lộ Khung Kiểm soát Rủi Ro-NIST"), nói với giới truyền thông:
"Theo phương pháp/giao thức tốt nhất, các bản cập nhật phần mềm phải trải qua nhiều giai đoạn cho thử nghiệm trước khi đến tay khách hàng".
Ông Marsland cho biết:
"Điều này sẽ bao gồm chạy thử đơn vị tự động đối với mă nguồn, đánh giá bảo mật, và thử nghiệm trong nội bộ nhóm CrowdStrike và chỉ khi những hành động đó được hoàn tất th́ bản vá lỗi mới nên được đưa đến khách hàng". Ngoài ra, lúc đầu chỉ nên khai triển các bản cập nhật cho một nhóm khách hàng nhỏ hơn và sau đó cho mở rộng ra, thay v́ gửi đồng loạt đến tất cả khách hàng.
Ông này c̣n cho biết thêm:
"Trong trường hợp cho cập nhật phần mềm của CrowdStrike hôm thứ Sáu, có vẻ như những thủ tục đó đă không được tuân thủ".
Trong bản đánh giá sau vụ trục trặc được công bố hôm 24/07,
CrowdStrike cho biết:
"Do một lỗi kỹ thuật trong tŕnh xác thực nội dung, một trong hai bản cập nhật đă vượt qua quá tŕnh xác thực mặc dù có chứa số liệu nội dung có vấn đề sai sót".
(Minh họa)
Bản cập nhật bị lỗi gây ra hiệu ứng dây chuyền
Theo sự đánh giá của
CIS, ảnh hưởng của bản cập nhật bị lỗi đă trở nên rơ ràng ngay sau nửa đêm ngày 19/07 (theo giờ miền Đông Hoa Kỳ), khi các máy điện toán chạy hệ điều hành Windows của Microsoft cho triển khai các bản cập nhật từ phần mềm bảo mật
CrowdStrike’s Falcon bị đột ngột ngừng hoạt động.
"Bản cập nhật này được lưu hành trong khoảng một tiếng rưỡi cho đến khi lỗ hổng được phát hiện ra và bản cập nhật này được lập tức cho thu hồi lại", CIS cho biết.
"Kể từ lúc đó, CrowdStrike đă đưa ra một giải pháp khắc phục, yêu cầu phải điều chỉnh thủ công cho từng thiết bị bị ảnh hưởng".
CrowdStrike nhanh chóng bảo đảm với khách hàng rằng vụ ngừng hoạt động này không phải là một cuộc tấn công an ninh mạng (?), nhưng giới phân tích kỹ thuật đă chỉ ra sự trớ trêu rằng một công ty được thuê mướn để bảo vệ khách hàng khỏi những cuộc tấn công như vậy lại chính là bên gây ra thiệt hại lớn lao như vậy.
(Ảnh trên) Một màn h́nh thông báo cho hành khách rằng không có thông tin về chuyến tàu do vụ trục trặc kỹ thuật toàn cầu, tại ga tàu điện ngầm ở thành phố New York, hôm 19/07/2024. (Ảnh dưới) Mọi người đi ngang qua màn h́nh thông tin chuyến bay trong thời gian ngừng hoạt động ở Phi trường Quốc tế Chicago O’Hare, hôm 19/07/2024. Các công ty trên toàn thế giới đă bị ảnh hưởng bởi t́nh trạng ngừng hoạt động do phần mềm cập nhật do CrowdStrike phát hành bị lỗi. (Ảnh: Adam Grey/Getty)
"Họ nói rằng đây không phải là một cuộc tấn công an ninh mạng nhưng hậu quả th́ giống như một cuộc tấn công an ninh mạng", ông Rex Lee, cố vấn an ninh cho các công ty và chính phủ, nói với giới truyền thông.
"Chúng ta đang nói về các cơ quan chính phủ, chúng ta đang nói về các công ty lớn trong Fortune 500, các hăng hàng không. … hiệu ứng dây chuyền của việc này thật không thể tin nổi".
"Nếu quư vị nh́n vào những cơ sở hạ tầng quan trọng đang bị ảnh hưởng, điều này thực sự sẽ gây tổn thất và có thể có người bị thiệt mạng do vụ này, bởi v́ các nhân viên ứng cứu đầu tiên đang bị ảnh hưởng, các bệnh viện cũng bị ảnh hưởng theo", ông Lee nói.
"Chúng ta sẽ không biết tổng số thiệt hại từ biến cố to lớn này, nhưng vụ này sẽ đi vào lịch sử như là sai lầm và/hoặc sự kiện ngừng hoạt động lớn nhất trong lịch sử Internet".
Việc các công ty và cơ quan chính phủ chuyển đổi sang điện toán đám mây đă và đang diễn ra nhanh chóng và tiếp tục tăng tốc độ.
Vào tháng 11/2023, công ty phân tích kỹ thuật
Gartner, Inc. đă đưa ra mức dự báo rằng chi tiêu toàn cầu cho các dịch vụ đám mây dự kiến sẽ tăng hơn 20% vào năm 2024,, tăng từ mức 563,6 tỷ USD vào năm 2023 lên tổng cộng là 678,8 tỷ USD.
Ông Sid Nag, phó chủ tịch phân tích của Gartner, cho biết trong báo cáo:
"Kỹ thuật đám mây về nguyên tắc đă trở nên không thể thiếu được".
Nhưng sự trục trặc ngừng hoạt động đột ngột và gây ra hiệu ứng dây chuyền to lớn hồi tuần trước đă làm nổi bật ra điểm yếu của các công ty và xă hội, do mức độ kiểm soát dịch vụ điện toán đám mây của một số ít công ty độc quyền cung cấp.
Các rủi ro về an ninh quốc gia và xă hội
Các cơ quan chính phủ cũng đang đánh giá rủi ro từ điện toán đám mây và việc hợp nhất kỹ thuật này.
Vào ngày bị ngừng hoạt động đó, một giới chức của Ṭa Bạch Ốc tuyên bố rằng
"Ṭa Bạch Ốc đă cho triệu tập các cơ quan để đánh giá tác động đến hoạt động của chính phủ Hoa Kỳ và các tổ chức trên khắp đất nước".
Trong bối cảnh vội vă chuyển các hoạt động lên đám mây, vụ trục trặc bị ngừng hoạt động do CrowdStrike có thể sẽ thúc đẩy người dùng đánh giá lại mức độ phụ thuộc của họ vào một hoặc một số công ty cung cấp dịch vụ và khả năng dự đoán về sai sót lỗi của nơi cung cấp.
"Chúng ta đang đạt đến điểm mà việc tập trung quá mức khiến cho chúng ta kém 'khả năng sửa chữa và phục hồi' hơn", ông Thomas nói.
"Chúng ta đang mất đi khả năng phục hồi với tư cách là một quốc gia to lớn".
Theo báo cáo của
Gartner,
CrowdStrike đứng ra đại diện cho khoảng 15% thị trường an ninh mạng, phục vụ cho các tổ chức lớn hơn và chỉ đứng sau Microsoft, công ty có thị phần xấp xỉ 40%. Giá cổ phiếu của
CrowdStrike đă bị giảm hơn 25% kể từ biến cố lớn này.
Các dự đoán đang tập trung vào khả năng công ty
CrowdStrike có vượt qua được cuộc khủng hoảng hiện tại, giữ chân khách hàng, và tiếp tục mở rộng các hoạt động kinh doanh. Nhưng bên cạnh đó, công ty này có thể phải đối mặt với những hóa đơn lớn từ nhóm khách hàng của ḿnh.
Các công ty luật trên khắp nước Mỹ đă công bố các cuộc điều tra về mức thiệt hại do vụ trục trặc này gây ra, có thể chỉ là khúc dạo đầu cho các vụ kiện tập thể.
CrowdStrike đă mất 1/5 giá trị cổ phiếu sau thảm họa này. Hôm 24/07, công ty đă hứa sẽ cải tổ cách cho phát hành các bản cập nhật có nội dung quan trọng.
Cụ thể, công ty cho biết họ đang dự tính thực hiện một
"chiến lược triển khai so le" cho các bản cập nhật trong tương lai, trước tiên chỉ gửi các bản cập nhật tới một số máy trước khi cho triển khai trên toàn cầu. Trong ngành, phương pháp này được gọi là
"triển khai thử nghiệm" (canary deployment).
CrowdStrike cũng sẽ tăng cường giải quyết các lỗi hiện có trong tŕnh thông dịch nội dung, vốn là một phần của Cảm biến Falcon.
CrowdStrike cũng hứa sẽ sử dụng con người để kiểm tra
"Nội dung phản hồi nhanh" (Rapid Response Content), bổ sung các bước kiểm tra xác thực cho tŕnh xác thực nội dung, và cung cấp cho khách hàng tùy chọn để quyết định thời điểm và địa điểm khai triển các bản cập nhật này.