Mondo nel caos
Down informatico, perché la colpa non è di Microsoft: è stato CrowdStrike e il suo “Falcon Sensor”
Un aggiornamento del sensore Falcon ha creato un conflitto con Windows: i dispositivi sono andati in crash. Ora si rifletta sulla fragilità delle infrastrutture IT globali: nessun sistema è infallibile
Ieri centinaia di migliaia, forse milioni, di computer e server in tutto il mondo sono stati colpiti dalla famigerata “Blue Screen of Death” (BSOD), la schermata blu che appare quando Windows si blocca e si riavvia, segnalando un errore catastrofico. Non conosciamo esattamente il numero di dispositivi coinvolti, ma l’impatto è stato globale.
Tra le aziende maggiormente colpite ci sono stati i vettori aerei, con Ryanair costretta a cancellare alcuni voli e British Airways che ha subìto cancellazioni multiple. Anche le compagnie aeree statunitensi United, Delta e American Airlines hanno dovuto fermare i voli in tutto il mondo. In Australia Virgin Australia e Jetstar hanno affrontato ritardi e cancellazioni, con gli schermi di partenza oscurati all’aeroporto di Sydney. Gli aeroporti di Tokyo, Amsterdam e Delhi hanno riportato problemi nei servizi. Il settore ferroviario nel Regno Unito ha registrato ritardi e diffusi problemi IT. Non solo: anche istituzioni finanziarie come la National Australia Bank sono state colpite. Nel settore sanitario 15 ospedali in Israele sono passati a processi manuali e alcune cliniche in Inghilterra hanno riscontrato problemi con le prenotazioni. Tra i broadcaster, Sky News nel Regno Unito è rimasta fuori onda per diverse ore.
Down mondiale, colpa di CrowdStrike e Falcon Sensor
Gli occhi di tutti – ovviamente – puntati su Microsoft, che in questo caso però ha ben poche colpe. Il colpevole è CrowdStrike, uno dei leader mondiali nella gestione della sicurezza informatica per sistemi complessi e in particolare il suo “Falcon Sensor” un software EDR. Gli EDR sono sistemi installati sugli endpoint, ovvero i computer degli utenti finali, per monitorare il funzionamento corretto e prevenire infezioni da agenti esterni. Un aggiornamento del sensore Falcon ha creato un conflitto con Windows, causando il crash dei dispositivi. Un problema non si risolve semplicemente riavviando il sistema; richiede interventi manuali specifici, come l’accesso in modalità “safe” o “recovery” e la modifica di alcuni file.
Le conseguenze dell’errore
Anche se Microsoft non ha colpe in questa situazione, pare ci siano state delle problematiche interne a Microsoft 365 – con disservizi legati a Power BI e Microsoft Teams – a causa di cambiamenti di alcune configurazioni, ma non è ancora chiaro se questi eventi siano correlati. Le conseguenze di questo errore sono state gravi: molte grandi aziende hanno subìto interruzioni nei loro servizi, con ripercussioni significative sui loro clienti e utenti. Le banche hanno visto blocchi nei loro sistemi, causando disagi ai clienti che non potevano accedere ai loro conti. Gli ospedali hanno affrontato difficoltà nell’accedere ai dati dei pazienti, mettendo a rischio la salute e la sicurezza. Le compagnie aeree hanno dovuto cancellare voli e gestire ritardi, con migliaia di passeggeri bloccati negli aeroporti.
Perché è ingiusto criticare
Affrontare critiche verso le aziende che hanno scelto di utilizzare questo EDR sarebbe ingiusto: implementare tali soluzioni significa tentare di migliorare la sicurezza dei sistemi, nonostante il rischio di conflitti tra software. È interessante notare come, nonostante tutte le precauzioni adottate, possano comunque verificarsi problemi. Il ripristino dei sistemi è sicuramente un’operazione articolata e, soprattutto, lunga: rendere nuovamente funzionanti i dispositivi colpiti richiede un intervento manuale. Gli amministratori di sistema devono accedere ai computer in modalità “safe” o “recovery“, navigare nella directory specifica di CrowdStrike e rimuovere o rinominare il file difettoso. Questa operazione deve essere eseguita su ogni singolo dispositivo colpito, rendendo il processo lungo e complesso, soprattutto per le grandi organizzazioni con migliaia di dispositivi.
L’altro problema: la fiducia
La natura di questo errore solleva una domanda importante: si è trattato di un attacco criminale? Al momento sembra improbabile, ma solo ulteriori analisi nelle prossime ore e nei prossimi giorni offriranno maggiore chiarezza. In mezzo al problema c’è un altro problema, quello della fiducia: le aziende coinvolte devono affrontare non solo l’impatto immediato e le potenziali vulnerabilità nei loro sistemi di sicurezza, ma anche le conseguenze reputazionali. Pensiamo agli uffici stampa di Microsoft delle filiali internazionali, che dovranno gestire il contraccolpo mediatico di questo incidente, pur non essendone responsabili. La gestione della comunicazione sarà cruciale per mitigare l’impatto reputazionale e rassicurare clienti e utenti. Inoltre questo incidente colpisce duramente l’intero settore della sicurezza informatica, per cui aziende e governi stanno aumentando gli investimenti in cybersecurity per proteggersi da minacce sempre più sofisticate: in un momento in cui la prudenza dovrebbe essere massima, dato il complesso scenario geopolitico attuale, eventi come questo mettono in discussione la fiducia nelle soluzioni di sicurezza avanzate.
Quanto accaduto invita anche a una riflessione sulla complessità e la fragilità delle infrastrutture IT globali e sull’importanza di una gestione proattiva dei rischi associati agli aggiornamenti software. Ed è importante ricordare che non esiste un sistema infallibile e che le falle possono sempre emergere: il lavoro degli informatici è sempre e solo quello di tentare di prevenirle e di minimizzare i potenziali impatti.
© Riproduzione riservata
