A programozók a három–öt éven át zajló képzésük első évében megtanulják, hogyan kell elkerülni azt a hibát, amit július közepén nem sikerült. Az amerikai CrowdStrike kiberbiztonsági cég egy problémás szoftverfrissítést küldött ki a globális nagyvállalatok széles köre által használt platformjára, melynek következtében 8,5 millió számítógép vált jó időre használhatatlanná. Kritikus szolgáltatók eszközeiről van szó: banki, kórházi, repülőtéri és mindenféle nagyvállalati rendszerek álltak le. Volt, akinek a banki ügyintézését kellett halasztani, másnak az életmentő műtétjét napolták el.

Az eset után megszólaló szakértők egy része a CrowdStrike belső folyamatainak és szoftvertesztelési gyakorlatának felülvizsgálatát sürgette. A merészebbek azt hangoztatták, hogy a világnak fel kellene hagynia a nagy, központosított platformok használatával, mert minden kényelmük és előnyük mellett túl nagy kockázatot hordoznak. Chris Dimitriadis kiberbiztonsági szakértő szerint az, ha egyetlen pontból kiinduló hiba gyorsan elterjedve képes ilyesmi, világméretű káosz okozására, akkor „digitális pandémiáról” beszélhetünk.

A védőoltás kidolgozása várat magára. Nem egyszerűbb a feladat, mint a koronavírus-világjárvány esetében, ám annak vakcinás megoldásához hasonlóan itt sem lehetetlen elérni a sikert.

A befektetők bíznak abban, hogy a CrowdStrike házon belül is érzi a változás szükségességét, legalábbis ezt látszik alátámasztani a részvények értékének alakulása. A papírok ára az indicendst megelőző nap 343 dolláron járt, majd meredek csökkenést követően augusztus 2-án alig 218 dollárt mutatott a tőzsde. A mélypont óta már 277 dolláron is járt a részvény, melynek további visszaerősödését részben a technológiai tőzsde általános szeptemberi zuhanása hátráltatta. Arra senki nem számít, hogy akár a CrowdStrike, akár más kiberbiztonsági vállalat fejlesztői ezután mindig csak tökéletes munkát végeznek, az IT-szakmai várakozások inkább arról szólnak, hogy megváltozik a frissítések kiadásának gyakorlata.

A kulcsszó itt a fokozatosság. A munkát mindenki szeretné mielőbb készre jelenteni, miután úgy érzi, hogy kész van vele. Különösen így van ez a „mi baj lehet?” jellegű, apróbb módosítások esetében. A júliusi incidens azonban arra teszi hajlamosság az iparágat, hogy lassítson és jó értelemben véve túlbiztosítsa a szoftverfrissítéseket. Hiszen ha egy ilyen csomagot, mint amilyen a CrowdStrike nyári pakkja is volt, nem egyszerre engednek rá a világra, hanem először csak felhasználók kisebb csoportja kapja meg, akkor van némi idő begyűjteni a visszajelzéseket. Először legfeljebb felhasználók kisebb köre kerül bajba, és az ő eszközeikről (vagy személyesen tőlük) érkező adatok alapján lehet zöld utat adni a frissítőcsomagnak, vagy visszaparancsolni a fejlesztők műhelyébe.

Bár nyilvánvaló, hogy ebbe a tesztkörbe senki nem igazán szeretne bekerülni, azt törvény szabályozhatja, hogy a kritikus infrastruktúra részét képező szervezetek – mint például kórházak – és azok közvetlen szolgáltatói már csak akkor kaphassanak meg egy frissítést, ha az egy bizonyos számú felhasználónál már üzembiztosan működik.

Az is felmerült, hogy a frissítések kísérleti funkcióként kerüljenek be a programokba, anélkül, hogy hatással lennének azok alapvető programkódjaira. Ez fundamentális változást igényel sok szoftverben és a fejlesztői szemléletben. De megérheti: ha gond van, akkor egyetlen kísérleti elem kikapcsolásával gyorsan helyrehozható minden.

Újabb löketet adhat a CrowdStrike-árfolyam alakulásának és a kiberbiztonsági szektor reformelképzeléseinek a lapzártánk utáni órákban esedékes kongresszusi meghallgatás, mely során Adam Meyers, a vállalat illetékes alelnöke felel majd az amerikai honatyák kérdéseire a képviselőház kiberbiztonsági és infrastruktúravédelmi albizottsága előtt. A belügyi bizottságot vezető Mark Green szerint a bizalom visszaállítása szükséges, melynek – különösen az éppen csúcsra járatott elnökválasztási kampány idején – vélhetően szabályozói kereteiről is szívesen ötletelnek majd az amerikai politikusok.

Hogy elképzeléseik könnyen jogszabályba is fordulhatnak, azt bizonyítja a 2017-es Equifax-ügy. Akkor mintegy 148 millió amerikai, valamint több mint 15 millió brit és kanadai állampolgár rendkívül érzékeny adatait – neveket, címeket, társadalombiztosítási és vezetői engedélyhez kapcsolódó információit – lopták el a hitelbíráló cég számítógépes rendszeréből. Az addig példa nélküli adatszivárgás hatására 2019-ben született meg az amerikai törvény, amely biztosítja, hogy a vállalatok könnyebben és jobban elszámoltathatók legyenek az adatok nem megfelelő informatikai védelméért, mint korábban. 2020 végén derült ki, hogy a hálózatüzemeltetési szoftverek egyik globális vezető szállítójaként ismert texasi SolarWinds cég hanyagságát kihasználó hackereknek hónapokon át volt szabad bejárásuk nagyvállalatok, például a Microsoft mellett amerikai kormányzati szervek, az Európai Parlament, a brit kormányzat és a NATO szervereire. Erre reagálva 2022-ben született meg az Egyesült Államokban a kritikus infrastruktúrákat érő kibervédelmi incidensekről szóló törvény (CIRCIA). Az amerikai jogszabályi környezettel párhuzamosan alakult az európai is, melynek aktuális újdonsága a NIS2 néven ismert uniós irányelv. A direktíva – illetve az azzal Magyarországon összecsengő 2023. évi XXIII. törvény (Kibertan. tv.) idén június végéig adott időt az érintett szervezeteknek a nyilvántartásba vételre. Az érintetteknek október 18-ig kell kialakítaniuk egy jól működő, kockázatokkal arányos információbiztonsági keretrendszert, majd december 31-ig) kell szerződést kötniük olyan auditorral, amely átvilágítja a kiberbiztonsággal kapcsolatos tevékenységüket. Az első vizsgálatot 2025. december 31-ig kell lefolytatni.

A szakértői várakozások most arról szólnak, hogy a jogalkotók a szoftverfrissítési folyamatok, valamint a kiadás előtti tesztelés szabályozására koncentrálhatnak. Az is könnyen elképzelhető, hogy a kiberbiztonsági vállalatok az eddiginél kiterjedtebb – pénzben mérhető – felelősséggel tartoznak majd rendszerhibák esetén. Amíg a világ ezekre a változásokra vár, érdemes komolyan venni a lényegében minden elemzés részét képező megjegyzést: a szoftverek frissítésénél sokkal kockázatosabb a frissítések telepítésének elodázása.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.