La data del 19 luglio 2024 sarà ricordata come un altro “venerdì nero” del Web, simile al 12 maggio 2017, quando il ransomware WannaCry colpì il mondo. Questo nuovo evento serve come un duro promemoria dell’importanza delle pratiche di sicurezza informatica, che nel 2024 dovrebbero essere una norma consolidata. Tuttavia, è evidente che ci sono ancora gravi lacune, prima tra tutte quella che gli aggiornamenti automatici non devono mai essere eseguiti su sistemi di produzione senza prima essere testati su sistemi di sviluppo.
La crisi del supercrash di Windows
Gli esperti hanno descritto l’interruzione globale delle attività informatiche come una crisi di portata significativa. Chris Dimitriadis, Chief Global Strategy Officer di ISACA, ha dichiarato: “Quando un fornitore di servizi nella catena di fornitura digitale viene colpito, l’intera catena può rompersi, causando interruzioni su larga scala”. Questo incidente di sicurezza informatica è stato paragonato a una pandemia digitale, con un singolo punto di guasto che ha avuto un impatto su milioni di vite a livello globale.
Che cosa è successo?
Dalle prime ore del mattino del 19 luglio, si sono moltiplicate le segnalazioni di problemi sui sistemi Microsoft Windows. Un malfunzionamento ha messo fuori uso numerosi sistemi critici, inclusi ospedali, banche e aeroporti, con la famigerata “schermata blu della morte” (BSoD) che compariva sui computer Windows.
Un’analisi preliminare ha indicato che il problema era legato al software di protezione dei dispositivi (XDR) dell’azienda CrowdStrike. Questa azienda americana, specializzata nella protezione dei dispositivi tramite una piattaforma centralizzata in cloud, ha confermato che l’impatto era limitato ai sistemi operativi Windows e ha rassicurato i clienti che non si trattava di un cyber attacco.
Dettagli tecnici e impatti
Secondo le informazioni disponibili, un aggiornamento del modulo di protezione Falcon di CrowdStrike ha causato un comportamento imprevisto sui sistemi Windows. Il risultato è stato un blocco totale del sistema e l’impossibilità di riavviare il sistema operativo, un problema di enorme impatto per utenti e aziende.
CrowdStrike ha pubblicato un comunicato stampa e aggiornamenti sui propri canali, fornendo istruzioni tecniche per far ripartire i sistemi. Tuttavia, queste procedure richiedono competenze tecniche elevate e accesso amministrativo, e spesso devono essere eseguite in loco, complicando ulteriormente il ripristino della normale operatività.
Riflessioni e lezioni da imparare
La causa del problema sembra essere legata a CrowdStrike, non a Microsoft, ma l’impatto ha riguardato esclusivamente i sistemi Windows. Il processo di rilascio di un aggiornamento dovrebbe seguire diverse fasi operative per minimizzare i rischi, come test in ambienti di sviluppo e rilascio graduale. Tuttavia, quanto accaduto suggerisce che questi passaggi non sono stati seguiti correttamente.
Questo incidente sottolinea l’importanza della resilienza operativa e della gestione della supply chain. Le aziende devono:
- Definire scenari di continuità operativa per eventi ad alto impatto.
- Evolvere i piani di Business Continuity e Disaster Recovery.
- Valutare, mappare e monitorare i fornitori in base alla loro criticità.
Le normative NIS 2 e DORA enfatizzano l’importanza di questi aspetti per un sistema di difesa centralizzato a livello europeo. Le aziende devono dotarsi di sistemi di protezione avanzata (XDR) e considerare gli impatti di malfunzionamenti dei loro sistemi di difesa.
Considerazioni finali
Il supercrash di Windows del 19 luglio 2024 è un monito sulle vulnerabilità della nostra infrastruttura digitale. Le aziende devono affrontare i temi della resilienza operativa con maturità, strutturando internamente ed esternamente strategie di difesa efficaci. La gestione proattiva della supply chain e l’adozione di migliori pratiche di sicurezza informatica sono fondamentali per prevenire e mitigare future crisi digitali.