Fa una setmana, una actualització automàtica que no havia passat tots els controls de qualitat de CrowdStrike, una de les empreses de ciberseguretat més a escala mundial, va provocar una caiguda informàtica sense precedents. Donat que el problema afectava directament el nucli del sistema Microsoft Windows, va provocar conseqüències arreu del món i a milions de ciutadans. Però Microsoft, malgrat que en alguns mitjans de comunicació no s'expliqui correctament, només és una víctima més de la fallada d'un sistema, un error que alguns experts han intentat explicar tècnicament en, per exemple, fils a X com aquest de Sergio de los Santos.
Altres no saben explicar com és possible que una empresa de la magnitud de CrowdStrike, que factura milers de milions de dòlars cada any i 400.000 clients i serveix a les empreses més grans del planeta, hagi pogut cometre un error humà i tècnic d'aquestes característiques. Per això, més enllà de la vulnerabilitat que ha mostrat l'incident, la caiguda ha fet aflorar situacions diverses que cal revisar, també a escala mundial, per evitar que es repeteixin en un futur o que, si passa, les errades i es seus efectes siguin menors.
Un dels punts més importants que s'ha començat a qüestionar, creu René Serral, president del grup de treball de Cibserseguretat d'Enginyers Industrials de Catalunya, és el model que segueix CrowdStrike a l'hora d'instal·lar aquestes actualitzacions. Algunes empreses ja han començat a dubtar del model d'actualitzacions automàtiques, alhora que s'espera que moltes comencin a fer litigis pertinents per compensar les pèrdues econòmiques que els ha suposat que la tecnològica no fes el control de qualitat "prou exhaustiu".
"Comprovar que el que s'ha fet és correcte és primordial", diu Serral. Per això, creu que l'empresa ha de millorar el protocol de QA, l'assegurament de qualitat.
Però aquesta no és l'única reflexió que deixa la situació. Serral reconeix que cal tenir en compte la dependència d'una sola empresa en aquesta seguretat. "Mig món s'ha vist afectat per l'error que ha comès una sola persona, o un sol equip", recalca l'enginyer, "tens un sistema que depèn d'un únic punt de fallada".
L'enginyer reivindica que CrowdStrike té un sistema molt bo, i entre altres coses, es deu al fet que centralitza al núvol tot el seu coneixement que serveix per millorar la detecció dels atacs. Ara bé, aquesta mateixa extensió provoca que quan l'empresa s'equivoca, l'afectació també és més gran. Conscient que diversificar, en un món de lliure mercat, no és una possibilitat, Serral aposta més per reduir el nombre d'actualitzacions.
Confiança malgrat el "toc d'alerta"
Un altre punt que s'ha comprovat que és crític amb aquesta caiguda ha estat la capacitat de reacció de les empreses afectades. Per Jordi Ruppmann, vicepresident de la Comissió de Transformació Digital d'Enginyers Industrials de Catalunya, s'ha destapat que moltes companyies no tenien ben actualitzat el pla de seguretat, de contingència i de continuïtat. "Això és greu", destaca l'enginyer, "AENA, per exemple, va trigar a prendre determinades decisions". Per això, creu que l'episodi ha de servir de "toc d'alerta" per aquestes empreses que han de revisar i actualitzar els plans de recuperació de negoci.
Malgrat tot, Ruppmann demana mantenir la confiança en les tecnològiques perquè, com en tots els temes de ciberseguretat, hi ha moltes variables a tenir en compte i sobretot demana "no oblidar que ens ajuden en molts casos". "Crec que les empreses estan fent la seva feina", diu Ruppmann. Per això, insisteix que cal que ni les empreses ni la ciutadania no desconfiïn del núvol.
I de positiu?
Una caiguda d'aquesta magnitud no només deixa entreveure mancances i debilitats, com ara que moltes empreses no feien les revisions de la documentació i processos en situacions de crisi i que molts casos era per motius econòmics –tal com assenyala Ruppmann. L'episodi també obre la porta a noves oportunitats. Serral també considera que les empreses ho aprofitaran per començar a protegir-se molt més i a impulsar canvis interns per tal que la resiliència de les empreses davant de situacions com aquesta passi a ser una qualitat efectiva.
