CrowdStrike BSOD: Přerušení provozu Windows platformy VIG CZ
Dne 19. 7. 2024 v 6:30 došlo k bezpečnostnímu incidentu, který způsobil přerušení provozu Windows platformy VIG CZ. Incident byl způsoben chybou v aktualizaci softwaru CrowdStrike, který chrání naše počítače a servery před kybernetickými útoky. Chyba způsobila modrou obrazovku smrti (BSOD) na všech zařízeních s Windows, která měla nainstalovaný CrowdStrike.
Autoři
Tomáš Říha a Petr Hejda
Jak jsme na incident reagovali?
Naše týmy IT a bezpečnosti ihned po zjištění incidentu zareagoval a začal intenzivně pracovat na obnově provozu. Byla svolána krizová schůzka, kde byly průběžně společně domluveny jednotlivé kroky a časový plán pro zvládnutí situace. Prvním krokem bylo zajištění obnovení vzdáleného přístupu a základní infrastruktury, což umožnilo rychlé zprovoznění klíčových obchodních systémů. Tento kritický krok se podařilo dokončit v 9:30.
Následně jsme postupně obnovovali další systémy a začali také aktivovat ochranné politiky k zabezpečení celého prostředí.
Celý proces trval přibližně 10 hodin a úspěšně jsme ho dokončili v 19:00. Během této doby byla také k dispozici uživatelská podpora pro všechny zaměstnance, jejichž stanice nebyly funkční.
Jak jsme během incidentu zajistili bezpečnost?
Byli jsme v neustálém kontaktu s výrobcem softwaru CrowdStrike, který nám poskytl klíčové informace klíčové informace ve formě technických poznámek (Technote).
Současně jsme sledovali rostoucí hrozbu a zprávy o tom, že kyberkriminálníci se snaží využít situace k šíření falešných oprav a malwaru pod záminkou legitimních aktualizací od CrowdStrike. Abychom předešli jakémukoli riziku kompromitace, okamžitě jsme informovali všechny zaměstnance, aby byli maximálně opatrní při otevírání podezřelých e-mailů, souborů nebo odkazů.
Velice důležitým krokem bylo rovněž provedení zálohy všech důležitých dat a kontrola toho, zda nebyla poškozena nebo zneužita.
Jak jsme se poučili?
Tento incident nám jasně ukázal, jak zásadní je rychlá a efektivní reakce na bezpečnostní hrozby. Týmy IT a bezpečnosti společně prokázaly vysokou úroveň profesionality a jejich spolupráce byla klíčová pro úspěšné zvládnutí situace. Oba týmy si zaslouží velké uznání za skvělou práci.
Zároveň jsme si uvědomili, že je nezbytné neustále aktualizovat naše plány obnovy, CMDB (konfigurace správy dat) a BIA (analýzu dopadů na podnikání), abychom mohli lépe prioritizovat naše systémy a procesy.
Důležité je také to, že jsme si potvrdili nezbytnost dodržování bezpečnostních pravidel a opatrnost při práci s neznámými zdroji informací.
Tento incident nám poskytl cenné zkušenosti, které využijeme pro další zlepšení našich bezpečnostních opatření.