Các công ty và chính phủ cần cho đánh giá lại mức rủi ro khi sử dụng dịch vụ đám mây sau biến cố bị ngưng mạng mới đây

[trungthuc]

Trong bối cảnh các công ty và cơ quan chính phủ trên khắp thế giới đang nỗ lực cho khôi phục hệ thống máy điện toán của họ sau vụ ngừng đột ngột các hoạt động trên toàn cầu vào hôm tuần trước do một bản cập nhật phần mềm bị lỗi, người ta đang đặt ra các câu hỏi về việc, liệu các giao thức cập nhật phù hợp có được tuân thủ hay không.

Đồng thời, giới phân tích kỹ thuật đang nêu lên mối lo ngại về mức độ phụ thuộc ngày càng tăng của Hoa Kỳ vào một thị trường độc quyền của các công ty điện toán đám mây.

Bản cập nhật phần mềm chống virus được phát hành hôm 19/07 bởi công ty CrowdStrike, một trong những công ty an ninh mạng lớn nhất, đã khiến cho hơn một tỷ máy điện toán chạy hệ điều hành Windows gặp trục trặc, ảnh hưởng đến các hoạt động thiết yếu tại phi trường, bệnh viện, trung tâm cấp cứu 911, sở cảnh sát, xe lửa, nhà tù, và các dịch vụ đô thị khác cũng như các hoạt động của rất nhiều công ty lớn nhỏ khác.

Công ty CrowdStrike đã đưa ra nhiều lời xin lỗi kể từ sự kiện này xảy ra và cam kết sẽ giải quyết triệt đề các vấn đề. Nhiều vấn đề trong số đó không thể thực hiện được thông qua các bản cập nhật trên toàn hệ thống mà phải cho sửa lỗi trên từng máy điện toán.

Ông Shawn Henry, Giám đốc An ninh của CrowdStrike, đã tuyên bố trên một bài đăng trên LinkedIn: "Vào thứ Sáu, chúng tôi đã làm quý vị thất vọng và vì vậy, tôi xin gởi lời xin lỗi".

"Niềm tin mà chúng tôi đã miệt mài xây dựng trong nhiều năm đã tan thành mây khói chỉ trong vài giờ và đó là một đòn rất đau", ông Henry viết. "Nhưng điều này chẳng là gì so với sự thiệt hại mà chúng tôi đã gây ra cho khách hàng và các đối tác của mình".

Các chuyên gia an ninh mạng đã đặt ra câu hỏi về việc liệu CrowdStrike có thể đã không tuân thủ thực hiện theo các quy trình tốt nhất hay không khi đưa ra phát hành bản cập nhật vào ngày 19/07.

Ông Robert Thomas, chủ nhân của công ty an ninh mạng 180A Consulting và là một cựu nhân viên ở Bộ Quốc phòng, có chia sẻ với giới truyền thông: "Đối với tôi, chuyện cảnh cáo vốn là những điều nguyên tắc căn bản đối với các bản vá lỗi, bản cập nhật, và trên các hệ thống nghiệp vụ quan trọng, hãy dành ra 10 phút để cho chạy thử chúng".

"Quý vị mất một phút để tải xuống bản vá lỗi; quý vị dành thêm một phút nữa để cài đặt bản vá lỗi trên hệ thống thử nghiệm; một phút nữa để khởi động lại hệ thống và sau đó chạy thử nghiệm các ứng dụng phần mềm nghiệp vụ quan trọng".

Trung tâm An ninh về Internet (CIS) và Viện Tiêu chuẩn và Kỹ nghệ Quốc gia Hoa Kỳ (NIST) đã thiết kế ra các giao thức tiêu chuẩn về cách cho tiến hành cập nhật phần mềm. Ông Thomas cho biết,nếu những giao thức này được tuân thủ thì những sai sót trong bản cập nhật lẽ ra phải bị lộ rõ ​​​​trước khi được phân phối đến người sử dụng.

Ông Tom Marsland, giám đốc đào tạo và dự án của Cloud Range và là tác giả cuốn sách "Unveiling the NIST Risk Management Framework" (tạm dịch: "Tiết Lộ Khung Kiểm soát Rủi Ro-NIST"), nói với giới truyền thông: "Theo phương pháp/giao thức tốt nhất, các bản cập nhật phần mềm phải trải qua nhiều giai đoạn cho thử nghiệm trước khi đến tay khách hàng".

Ông Marsland cho biết: "Điều này sẽ bao gồm chạy thử đơn vị tự động đối với mã nguồn, đánh giá bảo mật, và thử nghiệm trong nội bộ nhóm CrowdStrike và chỉ khi những hành động đó được hoàn tất thì bản vá lỗi mới nên được đưa đến khách hàng". Ngoài ra, lúc đầu chỉ nên khai triển các bản cập nhật cho một nhóm khách hàng nhỏ hơn và sau đó cho mở rộng ra, thay vì gửi đồng loạt đến tất cả khách hàng.

Ông này còn cho biết thêm: "Trong trường hợp cho cập nhật phần mềm của CrowdStrike hôm thứ Sáu, có vẻ như những thủ tục đó đã không được tuân thủ".

Trong bản đánh giá sau vụ trục trặc được công bố hôm 24/07, CrowdStrike cho biết: "Do một lỗi kỹ thuật trong trình xác thực nội dung, một trong hai bản cập nhật đã vượt qua quá trình xác thực mặc dù có chứa số liệu nội dung có vấn đề sai sót".

(Minh họa)

Bản cập nhật bị lỗi gây ra hiệu ứng dây chuyền
Theo sự đánh giá của CIS, ảnh hưởng của bản cập nhật bị lỗi đã trở nên rõ ràng ngay sau nửa đêm ngày 19/07 (theo giờ miền Đông Hoa Kỳ), khi các máy điện toán chạy hệ điều hành Windows của Microsoft cho triển khai các bản cập nhật từ phần mềm bảo mật CrowdStrike’s Falcon bị đột ngột ngừng hoạt động.

"Bản cập nhật này được lưu hành trong khoảng một tiếng rưỡi cho đến khi lỗ hổng được phát hiện ra và bản cập nhật này được lập tức cho thu hồi lại", CIS cho biết. "Kể từ lúc đó, CrowdStrike đã đưa ra một giải pháp khắc phục, yêu cầu phải điều chỉnh thủ công cho từng thiết bị bị ảnh hưởng".

CrowdStrike nhanh chóng bảo đảm với khách hàng rằng vụ ngừng hoạt động này không phải là một cuộc tấn công an ninh mạng (?), nhưng giới phân tích kỹ thuật đã chỉ ra sự trớ trêu rằng một công ty được thuê mướn để bảo vệ khách hàng khỏi những cuộc tấn công như vậy lại chính là bên gây ra thiệt hại lớn lao như vậy.

(Ảnh trên) Một màn hình thông báo cho hành khách rằng không có thông tin về chuyến tàu do vụ trục trặc kỹ thuật toàn cầu, tại ga tàu điện ngầm ở thành phố New York, hôm 19/07/2024. (Ảnh dưới) Mọi người đi ngang qua màn hình thông tin chuyến bay trong thời gian ngừng hoạt động ở Phi trường Quốc tế Chicago O’Hare, hôm 19/07/2024. Các công ty trên toàn thế giới đã bị ảnh hưởng bởi tình trạng ngừng hoạt động do phần mềm cập nhật do CrowdStrike phát hành bị lỗi. (Ảnh: Adam Grey/Getty)

"Họ nói rằng đây không phải là một cuộc tấn công an ninh mạng nhưng hậu quả thì giống như một cuộc tấn công an ninh mạng", ông Rex Lee, cố vấn an ninh cho các công ty và chính phủ, nói với giới truyền thông. "Chúng ta đang nói về các cơ quan chính phủ, chúng ta đang nói về các công ty lớn trong Fortune 500, các hãng hàng không. … hiệu ứng dây chuyền của việc này thật không thể tin nổi".

"Nếu quý vị nhìn vào những cơ sở hạ tầng quan trọng đang bị ảnh hưởng, điều này thực sự sẽ gây tổn thất và có thể có người bị thiệt mạng do vụ này, bởi vì các nhân viên ứng cứu đầu tiên đang bị ảnh hưởng, các bệnh viện cũng bị ảnh hưởng theo", ông Lee nói. "Chúng ta sẽ không biết tổng số thiệt hại từ biến cố to lớn này, nhưng vụ này sẽ đi vào lịch sử như là sai lầm và/hoặc sự kiện ngừng hoạt động lớn nhất trong lịch sử Internet".

Việc các công ty và cơ quan chính phủ chuyển đổi sang điện toán đám mây đã và đang diễn ra nhanh chóng và tiếp tục tăng tốc độ.

Vào tháng 11/2023, công ty phân tích kỹ thuật Gartner, Inc. đã đưa ra mức dự báo rằng chi tiêu toàn cầu cho các dịch vụ đám mây dự kiến ​​sẽ tăng hơn 20% vào năm 2024,, tăng từ mức 563,6 tỷ USD vào năm 2023 lên tổng cộng là 678,8 tỷ USD.

Ông Sid Nag, phó chủ tịch phân tích của Gartner, cho biết trong báo cáo: "Kỹ thuật đám mây về nguyên tắc đã trở nên không thể thiếu được".

Nhưng sự trục trặc ngừng hoạt động đột ngột và gây ra hiệu ứng dây chuyền to lớn hồi tuần trước đã làm nổi bật ra điểm yếu của các công ty và xã hội, do mức độ kiểm soát dịch vụ điện toán đám mây của một số ít công ty độc quyền cung cấp.

Các rủi ro về an ninh quốc gia và xã hội
Các cơ quan chính phủ cũng đang đánh giá rủi ro từ điện toán đám mây và việc hợp nhất kỹ thuật này.

Vào ngày bị ngừng hoạt động đó, một giới chức của Tòa Bạch Ốc tuyên bố rằng "Tòa Bạch Ốc đã cho triệu tập các cơ quan để đánh giá tác động đến hoạt động của chính phủ Hoa Kỳ và các tổ chức trên khắp đất nước".

Trong bối cảnh vội vã chuyển các hoạt động lên đám mây, vụ trục trặc bị ngừng hoạt động do CrowdStrike có thể sẽ thúc đẩy người dùng đánh giá lại mức độ phụ thuộc của họ vào một hoặc một số công ty cung cấp dịch vụ và khả năng dự đoán về sai sót lỗi của nơi cung cấp.

"Chúng ta đang đạt đến điểm mà việc tập trung quá mức khiến cho chúng ta kém 'khả năng sửa chữa và phục hồi' hơn", ông Thomas nói. "Chúng ta đang mất đi khả năng phục hồi với tư cách là một quốc gia to lớn".

Theo báo cáo của Gartner, CrowdStrike đứng ra đại diện cho khoảng 15% thị trường an ninh mạng, phục vụ cho các tổ chức lớn hơn và chỉ đứng sau Microsoft, công ty có thị phần xấp xỉ 40%. Giá cổ phiếu của CrowdStrike đã bị giảm hơn 25% kể từ biến cố lớn này.

Các dự đoán đang tập trung vào khả năng công ty CrowdStrike có vượt qua được cuộc khủng hoảng hiện tại, giữ chân khách hàng, và tiếp tục mở rộng các hoạt động kinh doanh. Nhưng bên cạnh đó, công ty này có thể phải đối mặt với những hóa đơn lớn từ nhóm khách hàng của mình.

Các công ty luật trên khắp nước Mỹ đã công bố các cuộc điều tra về mức thiệt hại do vụ trục trặc này gây ra, có thể chỉ là khúc dạo đầu cho các vụ kiện tập thể.

CrowdStrike đã mất 1/5 giá trị cổ phiếu sau thảm họa này. Hôm 24/07, công ty đã hứa sẽ cải tổ cách cho phát hành các bản cập nhật có nội dung quan trọng.

Cụ thể, công ty cho biết họ đang dự tính thực hiện một "chiến lược triển khai so le" cho các bản cập nhật trong tương lai, trước tiên chỉ gửi các bản cập nhật tới một số máy trước khi cho triển khai trên toàn cầu. Trong ngành, phương pháp này được gọi là "triển khai thử nghiệm" (canary deployment).

CrowdStrike cũng sẽ tăng cường giải quyết các lỗi hiện có trong trình thông dịch nội dung, vốn là một phần của Cảm biến Falcon.

CrowdStrike cũng hứa sẽ sử dụng con người để kiểm tra "Nội dung phản hồi nhanh" (Rapid Response Content), bổ sung các bước kiểm tra xác thực cho trình xác thực nội dung, và cung cấp cho khách hàng tùy chọn để quyết định thời điểm và địa điểm khai triển các bản cập nhật này.

Nghe nói CrowdStrike chỉ phải bồi thường, nếu có, một số tiền thật khiêm tốn tùy theo hợp đồng ký kết với các khách hàng, nên mọi đơn kiện về mức thiệt hại bạc tỷ do công ty này đã gây ra sẽ không được cứu xét!! Thật là oái ăm khi đã làm sai quá lớn mà chỉ có đưa ra vài lời xin lổi, phân bua thật khiêm tốn và "mất dạy" kiểu này!! Bó tay với đám tài phiệt!!