Главное
- О приостановке полетов из-за масштабного сбоя уже объявили крупнейшие американские авиакомпании American Airlines, United Airlines, Delta Airlines и Frontier Airlines.
- Крупнейшая турецкая авиакомпания Turkish Airlines тоже сообщила о глобальном сбое, вызвавшем проблемы с бронированием билетов и регистрацией.
- Работу также ограничили международный аэропорт Сиднея и аэропорт Берлин-Бранденбург. Аэропорт Эдинбурга предупредил пассажиров о возможном увеличении времени ожидания из-за сбоя, а главный оператор аэропортов Испании Aena сообщил, что «операции выполняются с использованием ручных систем».
- Британский железнодорожный оператор Southern Railway сообщил, что «в некоторых местах мы не можем получить доступ к схемам движения поездов, что может привести к возможным отменам рейсов без предупреждения».
- Британский телеканал Sky News прервал вещание на фоне сбоя в работе операционной системы Windows.
- В Израиле сбой затронул некоторые больницы, а также почтовую службу и ряд новостных агентств.
- Сбой затронул банки, фондовые биржи. Так, Лондонская фондовая биржа сообщила о проблемах в работе на фоне глобального сбоя; пользователи сообщают также о проблемах у Lloyds Bank, у платежных систем Visa и Mastercard.
- Корреспондент РБК тоже столкнулся со сбоями — не смог зарегистрироваться на рейс Wizz Air в аэропорт Берлин- Бранденбург. Этого нельзя было сделать ни в приложении — выдало ошибку, ни на сайте авиакомпании.
- Лондонская фондовая биржа сообщила о проблемах в работе. Не открывается также сайт крупнейшей мировой страховой компании UnitedHealth Group.
- По данным сайта Downdetector, пользователи сообщают о проблемах у Lloyds Bank, у платежных систем Visa и Mastercard.
- Сбой затронул и некоторые австралийские банки, включая NAB, ANZ, Commonwealth Bank, Bendigo Bank, Suncorp.
- Пациенты медицинских учреждений не могут записаться на прием к врачу в результате масштабного сбоя в Великобритании, сообщает Би-би-си.
В чем причина сбоя
Утром 19 июля (по московскому времени) в работе устройств с системой Windows произошел глобальный сбой, пользователи сообщали о появлении «синего экрана смерти» на устройствах с Windows 10. В компании заявили, что сбой начался накануне из-за «изменения конфигурации в части наших внутренних рабочих нагрузок Azure», которое «вызвало перебои между ресурсами хранения и вычислений, что привело к сбоям подключения, затронувшим службы Microsoft 365, зависящие от этих подключений». Там подчеркнули, что работают над устранением неполадок.
В 13:30 (мск) в компании сообщили, что основная причина проблемы устранена, но некоторые системы все еще могут сталкиваться с проблемами. В Microsoft также рассказали, что первопричиной сбоя стало «изменение конфигурации в части внутренних рабочих нагрузок на Azure», что вызвало перебои между ресурсами хранилища и вычислениями.
Эксперт в области информационной безопасности Алексей Лукацкий в разговоре с РБК пояснил, что глобальный технический сбой вызван взаимодействием антивируса Crowdstrike и Windows. Решить проблему можно, переведя компьютеры в безопасный режим и удалив определенные компоненты программного обеспечения. «Правда, сделать это надо вручную, что представляет проблему для крупных компаний с парком в десятки тысяч компьютеров», — рассказал он. По словам эксперта, Россию эта проблема не затронула, так как в стране практически нет решений CrowdStrike.
На текущем этапе сложно оценить, сколько времени потребуется на исправление ситуации, сложность заключается в том, что при возникновении подобной проблемы каждое устройство необходимо перегружать в safe mode вручную, с помощью средств управления это сделать невозможно, пояснил РБК руководитель управления исследования угроз «Лаборатории Касперского» Александр Лискин. «Это действительно очень серьезная проблема, затронувшая многочисленные процессы в том числе в критической инфраструктуре», — говорит он.
Большинство компаний закладывают сбой при обновлении в модель рисков и предусматривают откат на предыдущую версию в качестве компенсирующей меры, что, скорее всего, и сделают пострадавшие, считает заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов. Он напомнил, что Microsoft отключил большинство российских компаний от Azure еще год назад в рамках санкций, поэтому России это коснуться не должно. Те компании, которые используют Azure через другие страны, могут пострадать и отреагируют согласно своим планам восстановления, считает Хайретдинов.
Несмотря на то, что проблема CrowdStrike вызывает сбои именно в Windows, она может иметь и другие последствия, сказал РБК директор по развитию бизнеса «К2 Кибербезопасность» Андрей Заикин. «Учитывая, что Windows — очень популярная операционная система, а CrowdStrike — крупная компания по кибербезопасности, множество компаний и сервисов также могут испытывают перебои в работе из-за того, что их компьютеры не работают», — заявил эксперт.
Текущая проблема вызвана недостатком в обновлении программного обеспечения Crowdstrike Falcon Sensor и затрагивает только устройства c операционными системами Windows, на которых оно было установлено, говорит руководитель департамента сетевой безопасности компании F.A.C.C.T. Никита Кислицин. По его словам, проблему можно решить только ручными действиями на поврежденных машинах, которые предстоит выполнять администраторам, обслуживающим затронутые организации. «Примечательно, что это уже вторая подряд проблема с Falcon Sensor за последнее время: в конце июня возникла схожая, но менее явная, проблема с высокой утилизацией CPU после установки обновления модуля сканирования памяти», — говорит Кислицин.
Облачные сервисы, несмотря на множество преимуществ, таких как инновационность, гибкость, высокий уровень поддержки, также несут риски по сравнению с on-premise решениями, отметил вице-президент ГК Softline Андрей Благоразумов. По его словам, в случае резких изменений в конфигурациях самого сервиса, организации, использующие облачные решения, могут столкнуться с рисками, которыми они не управляют.
Инцидент требует серьезного расследования, и назвать точные причины его возникновения пока не представляется возможным, говорит заместитель директора по продуктовому развитию ГК «Солар» Артем Избаенков. По его словам, причиной могли стать ошибки при обновлениях программного обеспечения, которые могут возникать, например, в результате человеческого фактора или неполадок в QA-тестировании при раскатке обновлений.
Причиной могли стать и другие киберугрозы, например, хакеры-инсайдеры, считает Избаенков. Еще одной возможной причиной сбоя он называет внешние кибератаки. В этом случае хакеры получают доступ к исходному коду и внедряют вредоносный компонент, активирующийся при определенных условиях. Этот процесс сложнее, требует большого мастерства и времени для обхода множество уровней защиты, однако риск его успешного выполнения сохраняется, пояснил Избаенков. Также на работу программного обеспечения могли повлиять комплексные кибератаки на поставщиков услуг или целевая атака на критические отрасли. «Учитывая, что сбои затронули транспортный сектор, возможно, что за атакой стоят хакерские группировки, стремящиеся дестабилизировать работу критических инфраструктур. Аэропорты, авиакомпании, международные перевозчики — все эти цели привлекательны для тех, кто хочет нанести максимальный урон», — сказал эксперт.
Нужно подождать одну-две недели после выхода обновлений системы, говорит руководитель направления инфраструктурного пентеста Angara Security Роман Просветов. За это время выявляются все недостатки и возможные проблемы. К тому же перед развертыванием нужно протестировать обновление на системах, которые по железу и софту максимально похожи на рабочие станции пользователей и серверы. «Бывают ситуации, когда обновление закрывает какую-то проблему в безопасности, которая активно эксплуатируется. В таком случае время ожидания после выпуска обновления можно сокращать, но тщательнее проводить тестирование перед распространением на рабочие компьютеры», — отметил Просветов.
Это не первая проблема с обновлением Windows-систем, говорит гендиректор «Стингрей Технолоджис» (входит в ГК Swordfish Security) Юрий Шабалин. Он напомнил, что в прошлом году таким массовым сбоям подверглись сервисы почты Outlook во многих корпорациях, после обновления сервис перестал работать. «Сейчас компания могла столкнуться не со сбоем, а с целенаправленной атакой на цепочку поставок, благодаря которой и случился массовый сбой. Это лишний раз подчеркивает зависимость сервисов и компаний от зарубежного софта», — считает эксперт.
Глава CrowdStrike Джордж Курц сообщил, что компания «активно работает с клиентами, пострадавшими от дефекта, обнаруженного в одном обновлении контента для хостов Windows». По его словам, сбой не повлиял на работу Mac и Linux и не является кибератакой.
Как пострадали банки
Сбой в работе Windows повлиял и на работу банков. Так, по данным портала Crisis24, о проблемах сообщают клиенты кредитных организаций Австралии и Новой Зеландии: National Australia Bank, Bendigo Bank, Commonwealth Bank of Australia, Bank of New Zealand, ASB Bank, ANZ и Kiwibank. Клиенты сталкиваются с перебоями в работе интернет- и мобильного банкинга, а также при проведении электронных платежей.
Согласно данным портала Downdetector о сбоях также сообщают банковские клиенты в США. Они жалуются на проблемы с доступом к онлайн-банкингу Bank of America, TD Bank, M&T Bank, а также на проблемы с проведением безналичных платежей при помощи карт платежной системы Visa. Bloomberg со ссылкой на источники сообщает, что ряд сотрудников банка JPMorgan не смогли войти в системы кредитной организации из-за глобального сбоя.
Сбой в работе банков приведет только к временной недоступности сервисов и физическим последствиям для клиентов (когда они не смогут оплатить покупки картой), говорит руководитель департамента сетевой безопасности компании F.A.C.C.T. Никита Кислицин. Однако для самих кредитных организаций последствия могут быть более тяжелыми, если нарушатся ключевые процессы, предупреждает эксперт: «Серверы с Windows, получив обновление, упали в BSoD (“синий экран смерти”). Как следствие, функции, которые они выполняли, полностью нарушились. Если это были сервера с БД, то базы данных перестали работать. Если это были сервера с приложениями, то упали приложения».
Коснулась ли проблема России
Лукацкий говорит, что Россию эта проблема не затронула, так как в стране практически нет решений CrowdStrike. Хайретдинов напомнил, что Microsoft отключила большинство российских компаний от Azure еще год назад в рамках санкций, поэтому России это коснуться не должно. Компании же, которые используют Azure через другие страны, могут пострадать и отреагируют согласно своим планам восстановления, считает собеседник РБК.
В то же время косвенные последствия для россиян уже происходят, потому что различные стыковочные рейсы невозможно оформить, отметил Лукацкий в беседе с РБК. Также отдельные аэропорты на массовых для россиян направлениях отдыха в настоящий момент не работают, что приводит к достаточно большим задержкам в авиаперелетах. «С точки зрения IT-инфраструктуры компании России этому инциденту не подвержены, но с точки зрения обычных россиян они могут ощутить определенные последствия от данного инцидента. Для многих из них, особенно с учетом стыковочных рейсов, это может быть достаточно серьезное последствие, связанное с невозможностью пересадки на другие рейсы и невозможностью вовремя долететь до места назначения», — пояснил эксперт.
Софт CrowdStrike очень популярен во всем мире, но в России эта компания не работает, поэтому в стране может быть только незначительное количество устройств с данным программным обеспечением, добавил Кислицин. По данным Благоразумова из Softline, на сегодня в России очень мало организаций, которые используют облачные сервисы Microsoft, и еще меньше тех, кто использует Falcon Sensor, ставший причиной проблемы. Поэтому, по его словам, проблема практически не затронет российские компании. «Я уверен, что в мире эта проблема будет решена достаточно быстро и организации, подключенные к этому сервису, восстановят деятельность своей облачной и IT-инфраструктуры в ближайшее время», — отметил эксперт в разговоре с РБК.
В пресс-службе российской авиакомпании Azur Аir подтвердили РБК, что все сервисы работают штатно. О штатной работе также сообщили «Аэрофлот» и S7.
Российские банки не сталкивались с проблемами: о штатной работе РБК сообщили «Сбер», ВТБ, Т-банк, Почта Банк и «Уралсиб». «Глобальный IТ-сбой был вызван некорректным обновлением приложения CrowdStrike, которое в периметре ВТБ не используется, и не оказал влияния на работоспособность сервисов группы ВТБ. С 2019 года ВТБ ведет непрерывную работу по обеспечению независимости от зарубежных технологий. Сейчас доля прикладных систем ВТБ, свободных от зарубежных решений, составляет 85%. Рассчитываем, что к концу 2024 года этот показатель достигнет 95%», — сообщили РБК в пресс-службе ВТБ.
После 12:00 по московскому времени пользователи Т-Банк начали сообщать о проблемах с проведением денежных переводов в приложении банка. В невозможности их совершить убедились корреспонденты РБК. «Платежи и переводы могут не работать. Уже исправляем», — предупредил банк клиентов в своем приложении. Позже представитель Т-Банка пояснил, что затруднения с операциями в приложении могли наблюдаться в течение 20−30 минут у небольшой части клиентов, затем все заработало в полноценном режиме.
В Минцифры сообщили РБК, что на данный момент сообщений о сбоях систем в российских аэропортах не поступало. «Ситуация с Microsoft в очередной раз показывает значимость импортозамещения иностранного ПО, в первую очередь на объектах критической информационной инфраструктуры», — заявил представитель министерства.
Для россиян, проживающих в других странах, проблема актуальна, если Crowdstrike Falcon используется в их компаниях и установлен на рабочем ноутбуке, говорит старший инженер по информационной безопасности «Инфосистемы Джет» Максим Малышев. По его словам, на личных устройствах проблемы вряд ли могут возникнуть, так как Crowdstrike Falcon — это enterprise-решение.
Сбой сервисов Microsoft никак не повлиял на работу Wildberries, сообщил РБК представитель компании. «Все работает стабильно в штатном режиме на собственной инфраструктуре. Покупатели могут заказывать товары на сайте и в мобильном приложении, а также вовремя забирать свои заказы с ПВЗ. На логистику и приемку товаров ситуация не повлияла», — пояснил собеседник РБК.
Глобальный сбой Windows не затронул работу российских АЭС, «Росэнергоатом» работает на импортонезависимом программном обеспечении, сообщили «РИА Новости» в концерне.