Dünya çapındaki işletmeler, milyonlarca Windows bilgisayarının korkunç mavi ölüm ekranını göstererek çökmesinin ardından 19 Temmuz’da durma noktasına geldi. Suçlu: güvenlik satıcısı CrowdStrike’ın platformunda, bazıları için saatlerce kesintiye yol açan ve diğerleri için günler süren bir yazılım güncellemesi.
BT kesintisi ülke çapındaki havayollarının uçuşlarını durdurdu ve bankacılık uygulamalarını çökertti. Bu durum, kötü bir kod parçasının BT’ye bağlı herhangi bir operasyonda yaratabileceği somut etkileri gösterdi.
CrowdStrike kesintisinin ardından analistler, CIO’lara ve diğer teknoloji liderlerine otomatik yazılım güncellemeleri üzerinde daha yakın inceleme yapılması gerektiğini vurguladı. Sorunun bir kısmı, daha geniş BT otomasyonuna doğru istikrarlı bir itme ve sektörün merkezi tedarikçi güncellemelerine orantısız bir şekilde güvenmesidir.
“Son beş yıldır SaaS’ın otomasyonuna doğru neredeyse çılgınca bir yönelim var” dedi HFS Research CEO’su ve baş analisti Phil Fersht.
“Bu, tüm BT sektörünün her şeyin sadece yükseltileceğine dair körü körüne bir güvene aşırı güvenmesine karşı büyük, büyük bir uyanış çağrısıdır,” dedi Fersht. “Oldukça küçük kod sorunları, az önce gördüğümüz gibi, büyük sonuçlara yol açabilir.”
CrowdStrike’ın küresel kesintisini tetikleyen hatalı güncelleme yayındaydı bir saatten biraz fazlaancak otomatik güncellemeler erişimini genişletti. Fortune 500 şirketleri kesintiden kaynaklanan 5,4 milyar doları aşan mali kayıplarla boğuşuyor, bir tahmine göre.
“Bence bu sadece biraz rehavet,” dedi Fersht. “Büyük teknolojiye aşırı güven, örneğin Microsoft’u satın aldığımız sürece her şey yoluna girecek.”
Otomasyon hayal kırıklığı
CrowdStrike kesintisi, kritik bir yazılım arızasının otomatik güncellemeler yoluyla yaygın olarak benimsenen çözümlere nasıl yansıdığını gösterdi.
Forrester’da araştırma direktörü olan Charles Betz, Unix ve daha sonra Linux’ta paket yöneticisi yardımcı programlarının kullanılabilirliğiyle BT güncellemelerinin otomatikleştirilmesinin yavaş yavaş popülerlik kazandığını söyledi. Merkezi yama yönetimi kısa sürede dizüstü bilgisayar filosu yönetimi için ortaya çıktı ve ardından Microsoft’un Microsoft 365 gibi bulut tabanlı çözümlere geçişi bir dönüm noktası sağladı.
Betz, “Kolaylığın baştan çıkarıcı olduğunu düşünüyorum” dedi.
Uygun kalite güvence mekanizmaları olmadan, otomatik tedarikçi güncellemelerine körü körüne güvenilmesi, kritik sistemlerde yaygın sorunlara yol açabilir.
“Otomasyon, o sonucun erdemine bakılmaksızın, o sonucu hızlı ve tutarlı bir şekilde çoğaltır” dedi Info-Tech Research’te araştırma direktörü John Annandbir e-postada. “Kötü bir değişiklik, iyi bir değişiklik kadar hızlı yayılır.”
BT kesintisi, kök nedeni ne olursa olsun, operasyonları ve yakıt müşteri hayal kırıklığıAyrıca yüksek bir etiket fiyatıyla geliyor: Durma süresi ABD’deki işletmelere yılda 400 milyar dolardan fazla maliyete neden oluyor, Splunk verilerine göre.
Annand’a göre, gelecekteki hatalı yazılım güncellemelerinin etkilerini önlemek için güvenlik önlemleri almak teknoloji liderlerinin elinde. BT kuruluşları yapay zeka ve otomasyona yönelirken, kesinti dahili denetim ve dengelere olan ihtiyacı vurguladı, dedi Annand.
Bir sonraki büyük felaketi önlemek
Analistler bunun önemini vurguladılar risk azaltma teknikleri örneğin kanarya konuşlandırması gibi – daha geniş konuşlandırmalardan önce kontrollü koşullar altında yapılan ön konuşlandırmalar.
Kesintiden sonra CrowdStrike, şu adımları attığını duyurdu: Müşteri güvenini yeniden sağlamakÖrneğin, ek doğrulama testleri eklemek ve kademeli bir dağıtım stratejisiyle yeni güncellemeleri yayınlamak gibi.
“Kalite güvencesi ve regresyon testi kritik öneme sahiptir,” dedi TEKsystems’daki Microsoft küresel ortaklık direktörü Jen Kling. “Yayınlanan güncellemelere körü körüne güvenemezsiniz.”
Yöneticiler, kritik sistem ve uygulamaların sürüm döngülerine hemen uyup uymamaları gerektiğini veya operasyonel güvenlikleri doğrulanana kadar güncellemeleri geciktirmenin uygun olup olmadığını değerlendirmelidir.
“İş sürekliliğinizi ve felaket kurtarma planlamanızı yaptığınızda, bu güncellemeleri ne kadar çabuk kabul edeceğinizi düşünmelisiniz,” dedi Kling. “Çıkartılanları hemen kabul eden birçok şirket vardı.”
CrowdStrike sonrası dünyada, bakış açısında bir değişim zaten yaşanıyor.
“Test yükseltmeleri konusunda daha fazla sıkılık olacak ve zaten var,” dedi Fersht. “Dijital ikiz modelleri, sentetik verilerin daha fazla ve daha iyi kullanımı, bunlar gerçekleşmeden önce daha iyi testler yapabilirsiniz.”
Bu habere Matt Ashare katkıda bulundu.