Siber güvenlik firması Crowdstrike tarafından gerçekleştirilen büyük bir küresel BT (bilgi teknolojileri) kesintisi tüm dünyada hastaneleri, havayollarını, bankaları ve devlet dairelerini çökertti. O zamandan bu yana yeni bir krizi önlemek için neler yapıldı?
Bir yıl önce, bir siber güvenlik firmasının hatalı bir güncellemesi dünyanın dört bir yanındaki hastaneleri, havayollarını, bankaları ve devlet dairelerindeki işlemlerin durmasına neden oldu.
19 Temmuz 2024'te Crowdstrike, Microsoft Windows bilgisayarları tarafından potansiyel yeni siber saldırı yöntemleri hakkında veri toplamak için kullanılan Falcon programına bir güncelleme gönderdi.
Bu rutin işlem yaklaşık 8,5 milyon Microsoft kullanıcısı için "Mavi Ölüm Ekranı"na (BSOD) dönüştü ve pek çok kişi tarafından tarihteki en büyük internet kesintilerinden biri olarak kabul edildi.
Bu durum Crowdstrike'ın müşterileri için yaklaşık 10 milyar dolar (400 milyar TL) olarak tahmin edilen önemli mali kayıplar anlamına geliyordu.
Euronews Next'e konuşan bilişim ve dijital gelecek alanlarında çalışmalar yapan Chartered Institute for IT üyesi Steve Sands, "Bu tür bir olayın yaşanabileceğine dair gerçek bir uyarı işareti yoktu. Windows kullanan pek çok kuruluşun böyle bir olaya hazırlıklı olmak için hiçbir planlaması yoktu," dedi.
Peki Crowdstrike bu kesintiden ne öğrendi ve diğer şirketler bir sonraki kesintiden kaçınmak için ne yapabilir?
Bilgi teknolojileri (BT) ortamının '24 saat' gözetimi gerekli
Bulut güvenlik şirketi NETSCOUT'un ürün ve çözümlerden sorumlu başkan yardımcısı Eileen Haggerty'ye göre, Crowdstrike'tan bir yıl sonra bankalarda ve "büyük hizmet sağlayıcılarda" yaşanan kesintiler siber güvenlik camiasının pek de değişmediğini gösteriyor.
Bu yıl şu ana kadar Cloudflare'den kaynaklanan bir bulut kesintisi Haziran ayında Google Cloud ve Spotify'ı çökertti.
Microsoft'un Authenticator uygulamasında yapılan değişiklikler, Temmuz ayında Outlook veya Gmail kullanan binlerce kişinin kesintiye uğramasına neden oldu ve SentinelOne'daki bir yazılım hatası, programlarını çalışır durumda tutmak için gerekli kritik ağları sildi.
Eileen Haggerty, şirketlerin ağlarını ve tüm BT ortamlarını "24 saat izleyerek" olası yazılım sorunlarına daha ortaya çıkmadan müdahale edebilecek görünürlüğe sahip olmaları gerektiğini söyledi.
Haggerty, bilgi teknolojileri (BT-IT) ekiplerine kritik bir işlev bozulmadan önce bir sitenin gerçek trafiği nasıl karşılayacağını simüle eden “sentetik testler” yapmalarını öneriyor.
Bu testlerin, şirketlere “sorunlar ortaya çıkma fırsatı bulmadan önce onları öngörebilmeleri için gerekli olan hayati öngörüyü sağlayacağını” belirtiyor.
Microsoft’un bir blog yazısında ise "sentetik izlemenin" kusursuz olmadığı ve her zaman “kullanıcı deneyimini temsil etmediği” ifade ediliyor; çünkü kuruluşlar sık sık yeni sürümler yayımlıyor ve bu da sistemin bütününde istikrarsızlığa yol açabiliyor.
Blog yazısında ayrıca, bir hata tespit edildiğinde bunu düzeltme süresini hızlandırabileceği de belirtiliyor.
Bir kesinti yaşandıktan sonra ise Haggerty, olayın neden gerçekleştiğine dair ayrıntılı bir bilgi deposu oluşturulmasını öneriyor. Böylece gelecekte benzer sorunlar ortaya çıkmadan önce potansiyel zorlukların öngörülebileceğini vurguluyor.
Chartered Institute for IT üyesi Steve Sands, bu raporların dayanıklılık ve toparlanma planlarını, ayrıca şirketin dış firmalara ne ölçüde bağımlı olduğuna dair bir değerlendirmeyi de içermesi gerektiğini söyledi.
Herhangi bir şirketin “dayanıklılık” inşa etmek istiyorsa bunu mümkün olduğunca erken yapması gerektiğini, çünkü sonradan eklemenin zor olduğunu vurguladı.
“Birçok şirket yaşananlardan sonra olay müdahale planlarını güncellemiş olacaktır,” diyen Sands, “Ancak tecrübeler gösteriyor ki çoğu, yaşananların nispeten kısa vadeli etkisini ve yarattığı kaosu çoktan unutmuş durumda ve neredeyse hiçbir şey yapmamış ya da çok az şey yapmıştır,” ifadelerini kullandı.
AB Avrupa Siber Yeterlilik Merkezi uzmanı Nathalie Devillier ise geçen yıl Euronews’e yaptığı açıklamada, Avrupa’daki bulut ve BT (bilgi teknolojileri) güvenlik sağlayıcılarının aynı kıtada yer alması gerektiğini söylemişti.
Devillier, “Her ikisi de Avrupa alanında olmalı ki yabancı teknoloji çözümlerine bağımlı kalmayalım; çünkü bugün gördüğümüz gibi bu çözümler makinelerimize, sunucularımıza ve verilerimize her gün etki ediyor,” demişti.
Kesintiden sonra Crowdstrike ne yaptı?
Crowdstrike, bu ay yayımladığı bir blog yazısında, “çökme döngülerini tespit edip sistemleri otomatik olarak güvenli moda geçirebilen” bir kendi kendini toparlama modu geliştirdiğini duyurdu.
Şirket ayrıca, müşterilerin sistem güncellemelerini test etme konusunda daha fazla esnekliğe sahip olmasına yardımcı olan yeni bir arayüz sundu. Örneğin, test sistemleri ve kritik altyapılar için farklı dağıtım takvimleri belirlenebiliyor; böylece güncellemeler aynı anda gerçekleşmiyor.
Bunun yanında, bir içerik sabitleme özelliği de getirildi. Bu özellik sayesinde müşteriler içeriklerinin belirli sürümlerini kilitleyebiliyor ve güncellemelerin ne zaman ve nasıl uygulanacağına kendileri karar verebiliyor.
CrowdStrike, artık bünyesinde bulunan Dijital Operasyon Merkezi sayesinde, teknolojisini kullanan milyonlarca bilgisayara yönelik “daha derin bir görünürlük ve daha hızlı bir yanıt” kapasitesine sahip olacağını belirtiyor.
Şirket ayrıca kodlarını, kalite süreçlerini ve operasyonel prosedürlerini düzenli olarak gözden geçiriyor.
“Bizi tanımlayan şey o an değildi, ondan sonra yaptığımız her şeydi,” diyen CrowdStrike CEO’su George Kurtz, bu hafta LinkedIn’de yaptığı paylaşımda şirketin artık “dayanıklılık, şeffaflık ve durmaksızın yürütülen icraat” temelleri üzerine kurulu olduğunu vurguladı.
Crowdstrike bazı değişiklikler yapmış olsa da Sands, bilgisayarların ve ağların "doğaları gereği çok sayıda bağımlılığa sahip oldukça karmaşık yapılar" olması nedeniyle aynı seviyede bir kesintinin daha önlenmesinin "imkansız bir istek" olabileceğine inanıyor.
Sands, “Yine de mimari ve tasarım açısından sistemlerimizin dayanıklılığını geliştirebiliriz ve kesintiler yaşandığında bunları tespit etmek, yanıt vermek ve toparlamak için daha iyi hazırlanabiliriz,” diye ekledi.