News

เหตุ CrowdStrike ทำ Windows ทั่วโลกล่มจะนำไปสู่อะไรบ้าง

20/07/2024

Table of Content :

Table of Content

ข่าวคราว Windows ทั่วโลกล่มเหตุจากอัปเดตใน Kernel ของ CrowdStrike กลายเป็นวิกฤตการณ์ไอทีครั้งใหญ่ที่สุดในหน้าประวัติศาสตร์ ยิ่งกว่า Y2K ที่กลัวกัน เพราะเกิดขึ้นจริงโดยไม่ได้ตั้งตัว แล้วอะไรจะเกิดขึ้นนับจากนี้? แล้วเหตุการณ์นี้จะเปลี่ยนแปลงโลกไอทีไปอย่างไรบ้าง?

เกิดอะไรขึ้น

ต้องเริ่มจากที่ต้นเหตุของวิกฤตนี้ ซึ่งเกิดจากการที่ตัวอัปเดตของ CrowdStrike ที่เป็นโซลูชันด้านการป้องกันภัยไซเบอร์บนระบบคลาวด์มีความผิดพลาดที่ทำให้อุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows ทั้งคอมพิวเตอร์และเครื่องเซิร์ฟเวอร์เกิดอาการบูตวนไปมา จอฟ้ากันทั่วบ้านทั่วเมือง ขณะที่อุปกรณ์ที่ใช้ macOS และ Linux ไม่ได้รับผลกระทบแต่อย่างใด

นั่นทำให้สนามบิน โรงพยาบาล สถาบันทางการเงิน สถานีโทรทัศน์ หน่วยงานรัฐ และองค์กรต่าง ๆ ทั่วโลกที่ใช้บริการของ CrowdStrike ต้องหยุดการให้บริการ สร้างความเสียหายเป็นวงกว้าง รวมถึงในไทยด้วย

Today was not a security or cyber incident. Our customers remain fully protected.

We understand the gravity of the situation and are deeply sorry for the inconvenience and disruption. We are working with all impacted customers to ensure that systems are back up and they can…
— George Kurtz (@George_Kurtz) July 19, 2024

จอร์จ เคิร์ตซ์ (George Kurtz) ซีอีโอของ CrowdStrike ออกมาแถลงขอโทษ โดยยืนยันว่าเหตุดังกล่าวไม่ได้เกิดจากภัยคุกคามทางไซเบอร์ และชี้ว่าบริษัทได้แก้ไขปัญหาที่เกิดขึ้น พร้อมมีการปล่อยตัวแก้ไขออกไปแล้ว

ใช้เวลาฟื้นตัวนานแค่ไหน

แม้ CrowdStrike จะบอกวิธีการแก้แบบคร่าว ๆ มาให้ลูกค้าได้นำไปใช้แก้ไปพลางก่อน แต่ความเจ็บปวดใจของแผนกไอทีในหลายบริษัท (ก่อนที่ CrowdStrike จะออกตัวแก้ถาวร) ก็คือการที่ต้องค่อย ๆ แก้ปัญหาไปในทีละอุปกรณ์

ผู้ดูแลระบบบางคนออกมาเผยว่าจะต้องนั่งแก้ด้วยตัวเองมากกว่า 1,000 อุปกรณ์ เนื่องจากคอมพิวเตอร์ เซิร์ฟเวอร์ส่วนใหญ่ที่ใช้ CrowdStrike เป็นเซิร์ฟเวอร์ที่ใช้ในโกดังสินค้าที่มีขนาดใหญ่ แถมกับต้องมานั่งปลดล็อกรหัสอุปกรณ์ที่ใช้ BitLocker (ซอฟต์แวร์ล็อกรหัสคอมพิวเตอร์) ล็อกทีละตัว ๆ ยิ่งบางบริษัทที่เก็บกุญแจสำหรับไขรหัส BitLocker ไว้ในแชร์เซิร์ฟเวอร์ต่างหากด้วยแล้ว ยิ่งต้องใช้เวลามากขึ้นอีก

แต่นั่นก็เป็นทางเดียวที่จะสามารถทำได้เพื่อให้ธุรกิจดำเนินต่อไป และรักษาความเชื่อมั่นของลูกค้าของตัวเอง โดยคาดว่าจะต้องใช้เวลานานหลายวันกว่าที่จะกลับมาฟื้นตัวได้

Yesterday, CrowdStrike released an update that began impacting IT systems globally. We are aware of this issue and are working closely with CrowdStrike and across the industry to provide customers technical guidance and support to safely bring their systems back online.
— Satya Nadella (@satyanadella) July 19, 2024

ด้าน สัตยา นาเดลลา (Satya Nadella) ซีอีโอของ Microsoft ออกมาเผยว่าบริษัทกำลังทำงานร่วมกับ CrowdStrike และองค์กรไอทีต่าง ๆ เพื่อให้คำแนะนำทางเทคนิคและความช่วยเหลือกับผู้ที่ได้รับผลกระทบให้ระบบไอทีกลับมาใช้งานได้โดยเร็วที่สุด

ความเชื่อมั่นหด

สิ่งที่เราเห็นได้ทันทีหลังเกิดเหตุก็คือความเชื่อมั่นของนักลงทุนที่มีต่อ CrowdStrike หุ้นตกทันที 14.5% ภายหลังจากตลาดหลักทรัพย์สหรัฐฯ เปิดทำการ สวนทางกับคู่แข่งอย่าง Palo Alto Networks และ SentinelOne ที่หุ้นขึ้นทันที 1.7% และ 3.6% ตามลำดับ

Microsoft ซึ่งเป็นหนึ่งในศูนย์กลางของปัญหาที่เกิดขึ้น ถึงแม้ว่าจะไม่ใช่ต้นเหตุ แต่ก็พลอยได้รับผลกระทบไปด้วย ราคาหุ้นตกไปแล้ว 0.5%

แน่นอนว่าหุ้นตกเป็นเพียงมิติหนึ่งของความเชื่อมั่นที่ลดลงเท่านั้น ความผิดพลาดที่เกิดขึ้นทำให้หลายองค์กรที่เคยมั่นใจในบริการของ CrowdStrike คงต้องกลับมาคิดใหม่ เพราะซอฟต์แวร์ที่ควรจะปกป้องธุรกิจจากภัยไซเบอร์กลับมาทำให้ธุรกิจหยุดชะงัก สูญเสียโอกาสทางธุรกิจและความเชื่อมั่นของผู้รับบริการหรือลูกค้าขององค์กรนั้น ๆ

บริษัทอันดับแรก ๆ ที่ต้องซวยก็คือบริษัทที่เป็นตัวแทนขายผลิตภัณฑ์ หรือใช้ CrowdStrike ในโซลูชันที่ตัวเองให้บริการ เพราะลูกค้าคงจะหันไปใช้ตัวเลือกคู่แข่งอย่าง SentinelOne หรือ ESET อย่างหลีกเลี่ยงไม่ได้

โจรไซเบอร์ฉวยโอกาส

แน่นอนว่าเหตุการณ์ลักษณะนี้เป็นพื้นที่ในการออกลวดลายของบรรดามิจฉาชีพที่พลิกโอกาสให้เป็นวิกฤต โดยเริ่มมีการปลอมแปลงอีเมลส่งไปยังผู้ได้รับผลกระทบว่า CrowdStrike มาเสนอทางแก้ไขปัญหาบ้างแล้ว

โยฮันเนส อุลล์ริก (Johannes Ulrich) หัวหน้าฝ่ายวิจัยของสถาบันเทคโนโลยี SANS และผู้ก่อตั้ง Internet Storm Center เผยว่ามีรายงานที่ชี้ว่าอาจมีอีเมลฟิชชิ่งที่อ้างว่ามาจากฝ่ายสนับสนุนหรือฝ่ายความมั่นคงปลอดภัยของ CrowdStrike มาเสนอแก้ปัญหาเพื่อหลอกเอาเงินหรือข้อมูล

คนยังสับสน

หลายคนยังสับสนว่าเหตุการณ์ที่เกิดขึ้นมีต้นเหตุมาจากตัวระบบปฏิบัติการ Windows ถึงกับมีมุกตลกว่าคนที่ใช้ Windows เถื่อนคงไม่ได้รับผลกระทบแน่นอน

แต่ถ้าอ่านมาถึงตรงนี้แล้วยังงง ก็ขอบอกว่าเหตุการณ์นี้เกิดขึ้นจากความผิดพลาดของตัวอัปเดต CrowdStrike ที่เป็นเหมือนซอฟต์แวร์แอนตีไวรัสที่สร้างปัญหากับตัว Windows

ไม่ว่าจะอย่างไรก็ตามนี่ถือเป็นบทเรียนครั้งใหญ่ในประวัติศาสตร์วงการไอทีที่สะท้อนให้เห็นถึงความเปราะบางทางเทคโนโลยีที่สามารถนำไปสู่หายนะภายในเพียงช่วงอึดใจได้

เจก มัวร์ (Jake Moore) ที่ปรึกษาด้านความมั่นคงปลอดภัยระหว่างประเทศของ ESET ระบุว่าเหตุการณ์ที่เกิดขึ้นทำให้เห็นถึงความเสี่ยงที่เกิดจากการที่มี ‘ความหลากหลาย’ ในระบบไอทีที่น้อย การที่มีความหลากหลายน้อยทำให้ปัญหาที่เกิดขึ้นจะยิ่งร้ายแรงมากกว่าการใช้ระบบไอทีจากผู้ให้บริการที่หลากหลาย

แนวทางในอนาคต

หลังจากเหตุการณ์นี้ถูกบันทึกในหน้าประวัติศาสตร์วงการคอมพิวเตอร์ เชื่อว่าจะมีกระบวนการป้องกันไม่ให้เกิดเหตุการณ์ซ้ำรอยบังคับออกมาในระบบไอทีขององค์กร โดยเฉพาะมาตรการการปล่อยอัปเดตซอฟต์แวร์ต่าง ๆ (Rollout Update) ที่น่าจะเปลี่ยนเป็นแบบทยอยอัปเดต เพื่อไม่ให้เกิดปัญหาในตู้มเดียว นอกจากนี้องค์กรยังต้องปรับปรุงแผน IT Business Continuity Plan กันใหม่ เพื่อรองรับเหตุการณ์ลักษณะนี้

และแน่นอนว่าบริษัทที่เกี่ยวข้องกับระบบแบบ CrowdStrike ทุกบริษัทต้องกลับไปเข้มงวดกับกระบวนการทดสอบซอฟต์แวร์ของตัวเองก่อนที่จะปล่อยอัปเดตออกมาให้ลูกค้าใช้ยิ่งกว่าเดิม