ข่าวคราว Windows ทั่วโลกล่มเหตุจากอัปเดตใน Kernel ของ CrowdStrike กลายเป็นวิกฤตการณ์ไอทีครั้งใหญ่ที่สุดในหน้าประวัติศาสตร์ ยิ่งกว่า Y2K ที่กลัวกัน เพราะเกิดขึ้นจริงโดยไม่ได้ตั้งตัว แล้วอะไรจะเกิดขึ้นนับจากนี้? แล้วเหตุการณ์นี้จะเปลี่ยนแปลงโลกไอทีไปอย่างไรบ้าง?

เกิดอะไรขึ้น

ต้องเริ่มจากที่ต้นเหตุของวิกฤตนี้ ซึ่งเกิดจากการที่ตัวอัปเดตของ CrowdStrike ที่เป็นโซลูชันด้านการป้องกันภัยไซเบอร์บนระบบคลาวด์มีความผิดพลาดที่ทำให้อุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows ทั้งคอมพิวเตอร์และเครื่องเซิร์ฟเวอร์เกิดอาการบูตวนไปมา จอฟ้ากันทั่วบ้านทั่วเมือง ขณะที่อุปกรณ์ที่ใช้ macOS และ Linux ไม่ได้รับผลกระทบแต่อย่างใด

นั่นทำให้สนามบิน โรงพยาบาล สถาบันทางการเงิน สถานีโทรทัศน์ หน่วยงานรัฐ และองค์กรต่าง ๆ ทั่วโลกที่ใช้บริการของ CrowdStrike ต้องหยุดการให้บริการ สร้างความเสียหายเป็นวงกว้าง รวมถึงในไทยด้วย

จอร์จ เคิร์ตซ์ (George Kurtz) ซีอีโอของ CrowdStrike ออกมาแถลงขอโทษ โดยยืนยันว่าเหตุดังกล่าวไม่ได้เกิดจากภัยคุกคามทางไซเบอร์ และชี้ว่าบริษัทได้แก้ไขปัญหาที่เกิดขึ้น พร้อมมีการปล่อยตัวแก้ไขออกไปแล้ว

ใช้เวลาฟื้นตัวนานแค่ไหน

แม้ CrowdStrike จะบอกวิธีการแก้แบบคร่าว ๆ มาให้ลูกค้าได้นำไปใช้แก้ไปพลางก่อน แต่ความเจ็บปวดใจของแผนกไอทีในหลายบริษัท (ก่อนที่ CrowdStrike จะออกตัวแก้ถาวร) ก็คือการที่ต้องค่อย ๆ แก้ปัญหาไปในทีละอุปกรณ์

ผู้ดูแลระบบบางคนออกมาเผยว่าจะต้องนั่งแก้ด้วยตัวเองมากกว่า 1,000 อุปกรณ์ เนื่องจากคอมพิวเตอร์ เซิร์ฟเวอร์ส่วนใหญ่ที่ใช้ CrowdStrike เป็นเซิร์ฟเวอร์ที่ใช้ในโกดังสินค้าที่มีขนาดใหญ่ แถมกับต้องมานั่งปลดล็อกรหัสอุปกรณ์ที่ใช้ BitLocker (ซอฟต์แวร์ล็อกรหัสคอมพิวเตอร์) ล็อกทีละตัว ๆ ยิ่งบางบริษัทที่เก็บกุญแจสำหรับไขรหัส BitLocker ไว้ในแชร์เซิร์ฟเวอร์ต่างหากด้วยแล้ว ยิ่งต้องใช้เวลามากขึ้นอีก

แต่นั่นก็เป็นทางเดียวที่จะสามารถทำได้เพื่อให้ธุรกิจดำเนินต่อไป และรักษาความเชื่อมั่นของลูกค้าของตัวเอง โดยคาดว่าจะต้องใช้เวลานานหลายวันกว่าที่จะกลับมาฟื้นตัวได้

ด้าน สัตยา นาเดลลา (Satya Nadella) ซีอีโอของ Microsoft ออกมาเผยว่าบริษัทกำลังทำงานร่วมกับ CrowdStrike และองค์กรไอทีต่าง ๆ เพื่อให้คำแนะนำทางเทคนิคและความช่วยเหลือกับผู้ที่ได้รับผลกระทบให้ระบบไอทีกลับมาใช้งานได้โดยเร็วที่สุด

ความเชื่อมั่นหด

สิ่งที่เราเห็นได้ทันทีหลังเกิดเหตุก็คือความเชื่อมั่นของนักลงทุนที่มีต่อ CrowdStrike หุ้นตกทันที 14.5% ภายหลังจากตลาดหลักทรัพย์สหรัฐฯ เปิดทำการ สวนทางกับคู่แข่งอย่าง Palo Alto Networks และ SentinelOne ที่หุ้นขึ้นทันที 1.7% และ 3.6% ตามลำดับ

Microsoft ซึ่งเป็นหนึ่งในศูนย์กลางของปัญหาที่เกิดขึ้น ถึงแม้ว่าจะไม่ใช่ต้นเหตุ แต่ก็พลอยได้รับผลกระทบไปด้วย ราคาหุ้นตกไปแล้ว 0.5%

แน่นอนว่าหุ้นตกเป็นเพียงมิติหนึ่งของความเชื่อมั่นที่ลดลงเท่านั้น ความผิดพลาดที่เกิดขึ้นทำให้หลายองค์กรที่เคยมั่นใจในบริการของ CrowdStrike คงต้องกลับมาคิดใหม่ เพราะซอฟต์แวร์ที่ควรจะปกป้องธุรกิจจากภัยไซเบอร์กลับมาทำให้ธุรกิจหยุดชะงัก สูญเสียโอกาสทางธุรกิจและความเชื่อมั่นของผู้รับบริการหรือลูกค้าขององค์กรนั้น ๆ

บริษัทอันดับแรก ๆ ที่ต้องซวยก็คือบริษัทที่เป็นตัวแทนขายผลิตภัณฑ์ หรือใช้ CrowdStrike ในโซลูชันที่ตัวเองให้บริการ เพราะลูกค้าคงจะหันไปใช้ตัวเลือกคู่แข่งอย่าง SentinelOne หรือ ESET อย่างหลีกเลี่ยงไม่ได้

โจรไซเบอร์ฉวยโอกาส

แน่นอนว่าเหตุการณ์ลักษณะนี้เป็นพื้นที่ในการออกลวดลายของบรรดามิจฉาชีพที่พลิกโอกาสให้เป็นวิกฤต โดยเริ่มมีการปลอมแปลงอีเมลส่งไปยังผู้ได้รับผลกระทบว่า CrowdStrike มาเสนอทางแก้ไขปัญหาบ้างแล้ว

โยฮันเนส อุลล์ริก (Johannes Ulrich) หัวหน้าฝ่ายวิจัยของสถาบันเทคโนโลยี SANS และผู้ก่อตั้ง Internet Storm Center เผยว่ามีรายงานที่ชี้ว่าอาจมีอีเมลฟิชชิ่งที่อ้างว่ามาจากฝ่ายสนับสนุนหรือฝ่ายความมั่นคงปลอดภัยของ CrowdStrike มาเสนอแก้ปัญหาเพื่อหลอกเอาเงินหรือข้อมูล

คนยังสับสน

หลายคนยังสับสนว่าเหตุการณ์ที่เกิดขึ้นมีต้นเหตุมาจากตัวระบบปฏิบัติการ Windows ถึงกับมีมุกตลกว่าคนที่ใช้ Windows เถื่อนคงไม่ได้รับผลกระทบแน่นอน

แต่ถ้าอ่านมาถึงตรงนี้แล้วยังงง ก็ขอบอกว่าเหตุการณ์นี้เกิดขึ้นจากความผิดพลาดของตัวอัปเดต CrowdStrike ที่เป็นเหมือนซอฟต์แวร์แอนตีไวรัสที่สร้างปัญหากับตัว Windows

ไม่ว่าจะอย่างไรก็ตามนี่ถือเป็นบทเรียนครั้งใหญ่ในประวัติศาสตร์วงการไอทีที่สะท้อนให้เห็นถึงความเปราะบางทางเทคโนโลยีที่สามารถนำไปสู่หายนะภายในเพียงช่วงอึดใจได้

เจก มัวร์ (Jake Moore) ที่ปรึกษาด้านความมั่นคงปลอดภัยระหว่างประเทศของ ESET ระบุว่าเหตุการณ์ที่เกิดขึ้นทำให้เห็นถึงความเสี่ยงที่เกิดจากการที่มี ‘ความหลากหลาย’ ในระบบไอทีที่น้อย การที่มีความหลากหลายน้อยทำให้ปัญหาที่เกิดขึ้นจะยิ่งร้ายแรงมากกว่าการใช้ระบบไอทีจากผู้ให้บริการที่หลากหลาย

แนวทางในอนาคต

หลังจากเหตุการณ์นี้ถูกบันทึกในหน้าประวัติศาสตร์วงการคอมพิวเตอร์ เชื่อว่าจะมีกระบวนการป้องกันไม่ให้เกิดเหตุการณ์ซ้ำรอยบังคับออกมาในระบบไอทีขององค์กร โดยเฉพาะมาตรการการปล่อยอัปเดตซอฟต์แวร์ต่าง ๆ (Rollout Update) ที่น่าจะเปลี่ยนเป็นแบบทยอยอัปเดต เพื่อไม่ให้เกิดปัญหาในตู้มเดียว นอกจากนี้องค์กรยังต้องปรับปรุงแผน IT Business Continuity Plan กันใหม่ เพื่อรองรับเหตุการณ์ลักษณะนี้

และแน่นอนว่าบริษัทที่เกี่ยวข้องกับระบบแบบ CrowdStrike ทุกบริษัทต้องกลับไปเข้มงวดกับกระบวนการทดสอบซอฟต์แวร์ของตัวเองก่อนที่จะปล่อยอัปเดตออกมาให้ลูกค้าใช้ยิ่งกว่าเดิม