גלובס - עיתון העסקים של ישראלאתר נגיש

ענקית הסייבר האמריקאית קראודסטרייק / צילום: Reuters, Rafael Henrique

מהי התקלה שהשביתה חברות כה רבות במשך שעות?

ראשית, יש להדגיש כי לא מדובר במתקפת סייבר אלא בתקלת אנוש שמקורה בחברת מוצרי אבטחת המידע האמריקאית קראודסטרייק (CrowdStrike) ששחררה בליל חמישי עדכון גרסה המכיל קוד שגוי. מדובר בעדכון לתוכנת ה-EDR שלה - מעין תוכנת סריקה הנמצאת על מכשירי קצה כמו מחשבים או שרתים וסורקת כל העת איומים חיצוניים במטרה להתריע על איומי סייבר או כניסות לא מורשות. עדכון התוכנה, שייועד למחשבי ווינדוס בלבד, כלל קוד שגוי הקורא לבצע פעולה בלתי אפשרית בזיכרון המחשב. הדבר הפעיל את דרייבר (תוכנת ניהול החומרה) המערכת שמתוכנת להגיב בקריסת מערכת ההפעלה, וכך הופיע מסך ברירת המחדל הכחול, המודיע כי קיימת בעיה וכי לא ניתן לבצע פעולה על אותו המחשב והשרת.

● תקלת מחשוב עולמית עם השלכות דרמטיות גם בישראל
● "יום כיפור של קראודסטרייק": אלה החברות שיכולות להרוויח מהתקלה העולמית

השגיאה השפיעה לא רק על מחשבים אישיים ומסופי עבודה, אלא גם על שרתים רבים - מחשבים חזקים הנמצאים בבסיס מערכות קריטיות כמו ניהול תשלומים וגבייתם - שגם הם הושבתו. כדי לפתור את התקלה נדרשו מנהלי האבטחה להעביר את המחשב או השרת ל"מצב בטוח" שבו הגישה אליו מוגבלת וכדי להתקדם יש לקבל אישור משרת אבטחת-מידע מיוחד שמחלק אישורים דיגיטליים להמשך פעולה. אלא שגם שרת האבטחה הזה נפל במקרים רבים.

האם קראודסטרייק הייתה יכולה למנוע את התקלה?

מומחי תוכנה טוענים שאם עדכון התוכנה לא היה כולל קוד בשפה פשוטה וותיקה כמו ++C, אלא בשפה מתקדמת יותר כמו "ראסט", ואם קראודסטרייק הייתה משתמשת בכלי פיתוח מתקדמים יותר בגרסה הנוכחית, ניתן היה לעלות על הקוד השגוי במהירות רבה יותר ולמנוע את כניסתו לעדכון התוכנה.

מה הנזק שנגרם?

עיקר הנזק נגרם לחברות תעופה שדיווחו על בעיות תקשורת ולשדות תעופה שהושבתו. סך הכל בוטלו 3,300 טיסות בעולם בחברות כמו ריינאייר, בריטיש, יונייטד, דלתא, אמריקן איירליינס, ו-ווירג'ין, ופעילותן של כמה נמלי תעופה כמו ניו דלהי וברלין הושבתו למשך שעות, שם עברו לניהול ידני של כל מערכות המידע. עיכובים נרשמו גם בשדות התעופה גטוויק וסטנדטד בבריטניה. גם שירותי רכבות באירופה ובבריטניה הודיעו לנוסעיהם על עיכובים צפויים, שירות 911 הושבת באלסקה, וערוץ סקיי הורד משידור למשך מספר שעות.

בישראל, הודיע משרד הבריאות כי התקלה השפיעה על רוב בתי החולים במדינה, בהם שיבא, וולפסון, רמב"ם, שמיר אסף הרופא וכן על קופת חולים מאוחדת, ובמוסדות אלה עברה העבודה לידנית.

ככל שנודע הנזק לגופים הפיננסיים בישראל היה מינורי, יחסית וההשפעות התמקדו, באתרי אינטרנט, בבעיות מחשוב בכמה סניפים ובמשיכת מזומן בבנקטים, בעיות שנפתרו תוך שעות ספורות ולא גרמו לנזק רב, ומספר רשתות תחנות דלק בישראל דיווחו על קשיי תקשורת וסליקה. גם מערכים קריטיים כמו נמל אשדוד או מערך הכבאות הושפעו במידה זו או אחרת.

מדוע נגרם נזק רק במדינות העולם המערבי?

עיקר הנזק הצטבר במדינות השייכות לגוש הליברלי המערבי, בהן מדינות אירופה, ארה"ב, אוסטרליה, הודו, יפן וישראל. פריסה גאוגרפית שכזו יצרה את הרושם כאילו מדובר במתקפת סייבר של אחת ממדינות הציר האוטוקרטי - רוסיה, סין, איראן או צפון קוריאה. אלא שהסיבה לכך היא פרוזאית יותר: קראודסטרייק, כחברה אמריקאית, מוכרת את תוכנות אבטחת המידע שלה לשוק המערבי ולמדינות הנחשבות לבת ברית בארה"ב. חברת התוכנה הרוסית קספרסקי חגגה על הכשלון של החברה האמריקאית, למרות שכשלה להזכיר תקלות שאירעו בגין התוכנה שלה שאירעו בעבר.

מה זה בעצם EDR, סגמנט המוצרים שבו התגלתה התקלה?

אי.די.אר הוא הגרסה המתקדמת לתוכנות האנטי-וירוס שבעבר ניטרו איומים מבחוץ. מדובר במערכת מבוססת ענן המנטרת ומגינה באופן מתמשך על מכשירי קצה כמו מחשבים ניידים, מחשבים נייחים ושרתים מפני איומים חיצוניים כמו נוזקות (תוכנה זדונית כגון "סוס טרויאני"), גישה של משתמשים לא מורשים ומתקפות סייבר, וזאת על ידי סריקה מתמשכת של התקשורת שלהם עם העולם החיצוני. התרעות על איומים מועברים לצוותי סייבר אנושיים שבדרך כלל מנתחים את האיום בזמן אמת. בניגוד לתוכנות אנטי וירוס המסוגלים לנטר רק איומים שזוהו בעבר, תוכנות EDR כוללות מרכיבי בינה מלאכותית המסוגלים לזהות איומים על ידי ניתוח דפוסי פעילות.

איך קרה שכל מערכת הבריאות הושפעה מהתקלה, וזאת לאחר שנים של מתקפות סייבר חמורות?

לאחר מספר מתקפות סייבר ששיתקו חלק מפעילות בתי חולים שונים, כמו המתקפה על הלל-יפה בחדרה שאירעה בשנת 2021 וחייבה את הצוות הרפואי לעבור לעבודה ידנית במשך שעות, החליטו במשרד הבריאות לעבור לניהול מערכות מידע (IT) מרכזי. מערכת הבריאות החליטה להכפיף נהלי סייבר אחידים לכל רוחבה, ולהחליט על רכש המערכות שיאבטחו את כל בתי החולים. אז הוחלט גם לרכוש מערכות של קראודסטרייק, שנחשבות ליקרות בתעשייה וזכו עד כה לאמינות גבוהה. ההחלטה להכפיף את כל מערכת הבריאות לרכש מרכז בתחום מערכות המידע זכתה לשבח על כך שיצרה סטנדרט אחיד לכלל בתי החולים, אך גם לביקורת על כך שהיא עיקרה את יכולתם של מנהלי ה-IT בכל אחד מבתי החולים לשדרג את המערכות ולהעניק הגנה גבוהה אפילו יותר, אם רצה בכך. כעת, התברר ההימור המרכזי על קראודסטרייק שחשף את כלל מערכת הבריאות לתקלות לאורך יום שישי האחרון.

איך זה שהמשק הישראלי יצא ללא הרבה נזק?

קראודסטרייק היא שחקן אמריקאי יקר בשוק הסייבר, ללא רקע ישראלי, לפחות עד שהחל לבצע רכישות בישראל בשנים האחרונות, ומשום כך פופולריים בישראל פתרונות זולים יותר, וכן כאלה המשויכים לחברות ישראליות מתחרות כמו סנטינל וואן ופאלו אלטו נטוורקס. בנוסף, צוותי סייבר והתאוששות מאסון מנוסים פעלו החל מרגע גילוי התקלה והצליחו לפתור אותה ברובה בזמן קצר. ארגונים טכנולוגיים כמו בנקים וחברות ביטוח הצליחו להתגבר על תקלת תקשורת וחיבור לאזור האישי בתוך שעות ספורות. תחנות דלק ברחבי הארץ וכמה ארגונים כמו מערך הכבאות ומוקד התקשורת של חברת החשמל התאוששו בתוך זמן ממושך יותר.

מי אשם בתקלה?

אך ורק קראודסטרייק. ככל הנראה, לא מדובר בעובד בכיר שביצע את הטעות, אלא במהנדס ששלח עדכון תוכנה שגרתי, אם כי קריטי, בסוף יום העבודה בליל חמישי. "התסריט ההגיוני ביותר הוא שעובד שרצה לסיים את היום לחץ על הכפתור מבלי לבדוק שגיאות תוכנה שאמנם לא היו גדולות, אך התבררו כקריטיות", אומר מומחה מערכות מידע בעילום שם. עיתוי שחרור גרסת התוכנה החדשה היה אומלל ולא שכיח: לרוב עדכונים קריטיים משוחררים לשוק בימי שני או שלישי, כך שאם מתרחשת קטסטרופה, היא מטופלת לאורך השבוע ולא בסוף השבוע.

ומיקרוסופט איננה אחראית? הרי התקלה הובילה למסך וינדוס שגוי.

לא. למיקרוסופט אין יד ורגל באחריות על התקלה, היא קורבן בדיוק כמו חברות התעופה, הדלק והבנקים שסבלו ממנה, למרות שהיא כבר משלמת את מחיר התקלה. עם זאת, טוענים מומחי פיתוח תוכנה, עליה לדאוג שתקלות בדרייברים (מנהלי התקנים) יטופלו בדרך אחרת ולא בהחשכת מסכים והשבתת פעילות. מניית החברה ירדה אמש (ו') בקרוב לאחוז, ומומחי אבטחת מידע, בהם חברת ESET, למשל, ממליצים בעקבות התקלה שלא להיות תלוי בכלל מערכות המידע בארגון במערכת הפעלה אחת.

כיצד קראודסטרייק תתמודד עם המשבר שפקד אותה?

קראודסטרייק תיאלץ לבצע שינויים פרסונליים, לפטר את האחראים לתקלה, ככל שמדובר בטעות של עובד זוטר, ולהמשיך הלאה. היא תיאלץ להתנצל ולנהל את המשבר באופן שקוף אם ברצונה להשתקם. החברה צפויה לחוות תקופה קשה של שנה או שנתיים, במסגרתם תתמודד עם תביעות משפטיות על נזקים - בעיקר מצדן של חברות תעופה וגופים פיננסיים, ולסבול מקמפיינים שיווקיים של מתחרים שהחלו ברגע שהתגלתה התקלה. אולם ההערכה היא כי קראודסטרייק תשרוד את התקופה הקשה ותמשיך לאחר מכן במסלול הצמיחה הרגיל. אמש התרסקה מניית קראודסטרייק ב-11% בבורסה בניו יורק, בעוד המרוויחה הגדולה מן המשבר היא המתחרה האמריקאית בעלת השורשים הישראליים סנטינל וואן, שמנייתה עלתה בקרוב ל-8%. גם פאלו אלטו נטוורקס של היזם הישראלי ניר צוק טיפסה ב-2.1%, וטרנד מיקרו היפנית שעלתה ב-1.5%. גם מיקרוסופט עצמה משווקת מוצר EDR, והיא עלולה להשתמש בתקלה כדי לשווק מוצר שנמצא בסנכרון טוב יותר עם מערכת ההפעלה וינדווס.