Användare som är stressade på grund av ett IT-avbrott

CrowdStrike publicerar sin orsaksanalys

Så har då CrowdStrike publicerat sin ”root cause analysis”, eller grundorsaksanalys över vad som faktiskt hände den 19 juli då deras Falcon-sensor fick fnatt och kraschade miljontals datorer värden över.

Det är en hyfsat utförlig analys som pekar på, snabbt sammanfattat, att man tagit med en testparameter för mycket i sin definition – men detta upptäcktes inte under testerna bland annat eftersom man använt wildcard för att matcha.

Så vad var det som hände?

På dagen D den 19 juli lade man till ytterligare två parametrar men utan wildcard-matchning mot en av dessa. Detta tillägg av parametrar testades inte specifikt innan publicering vilket resulterade i att system som tog emot uppdateringen av filen försökte komma åt en testparameter som helt enkelt inte fanns, vilket resulterade i minnesläsning utanför tillåtet område med systemkrasch som följd.

Mitt syfte med inlägget är emellertid inte att du ska förstå vad det var som hände rent tekniskt, för det är egentligen strunt samma såvida du inte arbetar på CrowdStrike och är del i att säkra kvalitén på företagets produkter och releases. Syftet är att reflektera kring frågan:

Vad betyder då detta?

Till att börja med: CrowdStrike är inget litet pytteföretag, tvärtom. Andra kvartalet 2024 rapporterade man en omsättning på 921 miljoner dollar och en vinst på 58,1 miljoner dollar EBITDA. Man har 8 429 anställda. Vid börsens öppning den 19 juli handlades deras aktie för 343,05 dollar. Falcon-sensorn är installerad på tillräckligt många datorer för att, enligt Microsofts bedömning, 8,5 miljoner datorer kraschade. Åtta och en halv miljon. 8 500 000… Det är en hejdlöst massa datorer där, oturligt nog, servrar i massvis med kunders datahallar står för en stor del av dessa.

Hur blir det för kunderna då? Ja, än så länge är det för tidigt att säga men klart är i alla fall att avbrott orsakade av detta i många fall inte täcks av cyberförsäkringar helt enkelt eftersom avbrottet inte orsakades av cyberkriminalitet. Klart är att många drabbades – såväl CrowdStrikes kunder som kundernas kunder i flera led. Vi nåddes exempelvis under dagen och dagarna efter om rapporter om många inställda flyg – i USA ville flygbolag gå så långt att FAA skulle stänga hela det amerikanska luftrummet. Det blev, som tur är, inte så.

Och för CrowdStrike? Ja man kan konstatera att den 2 augusti handlades aktien för 217,89 dollar. En skillnad på hissnande 36,5%. CrowdStrike har en stor fallhöjd och kommer naturligtvis inte gå under på grund av detta. Aktieägarna tycker naturligtvis att det är sådärkul och stämmer bolaget då man anser att bolaget agerat bedrägligt. Kanske har de en poäng, inte minst eftersom det rent krasst nu visade sig att det (föga förvånande) var dålig testning som låg bakom incidenten.

Kuriosa

Det är inte första gången dylikt händer. Jag kom direkt att tänka på en väldigt liknande incident orsakad av McAfee under 2010 där en felaktig uppdatering av en virusdefinitionsfil kraschade en stor mängd Windows-datorer – då för att virusskyddet, felaktigt, identifierade en systemfil som ett virus… Jag kan lova att det blev stora mängder extraarbete tack vare detta.

Och vems är ansvaret?

Och precis just detta är den intressanta frågan. Det är så lätt att göra sig beroende av IT-system och att köpa tjänster och mjukvaror till syfte att skydda och säkra systemen och därmed information och verksamhet. Vi tänker gärna att det är låg risk att lägga större delen av våra ägg i korgen på vilken det står exempel Microsoft, IBM, Oracle eller Hewlett-Packard på – för det är stora och trygga bolag. Men vi måste komma ihåg att inte ens Microsofts tjänster är fria från avbrott, tvärtom. Vi måste komma ihåg att vi är och förblir sårbara för liknande incidenter i samtliga fall där vi har beroenden mot andra aktörer – som trots allt till syvende och sist är människor som faktiskt begår fullt mänskliga misstag.

För hur var det nu – vems är egentligen ansvaret för att vår verksamhet fungerar och att de som i sin tur är beroende av oss inte råkar illa ut? Jo, vi själva. Och bara vi. Vi kan vare sig vi vill eller inte skjuta ifrån oss det ansvaret – så vi måste alltid ta höjd för det oväntade. Skapa de planer som krävs för att vi ska kunna upprätthålla vår verksamhet även om våra leverantörer råkar ut för, eller själva skapar bekymmer som vi drabbas av.

Mattias Sjödin

Jag arbetar till vardags som CISO inom finansvärlden med bakgrund både som CISO inom IT-branchen och som konsult inom informations- och cybersäkerhet, med bevisad kompetens och erfarenhet i ryggen genom bland annat CISA- och CISSP-certifieringar. Privat grottar jag gärna ner mig i hemautomation och allt som hör till. Jag kör Home Assistant (supervised), och blandar friskt mellan enheter som kör Zigbee, Z-Wave, 433MHz och Wi-Fi. Att leka med microcontrollers som kör ESPhome och Tasmota är hur kul som helst.

Kommentarer, frågor, funderingar?

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.