خسائر بمليارات الدولارات: ما فعلته بنا «الشاشة الزرقاء»

«بينما كنا نعالج حالة نوبةٍ قلبية، تسبب هذا العطل في شل قسم الطوارئ بأكمله. خدمة الطوارئ 911 كانت متوقفة في ولايتنا. المستشفيات المجاورة كانت تعاني نفس المشكلة أيضًا؛ وبالتالي لم نستطع تحويل المرضى إليها. من الصعب تخيل كم الملايين، إن لم يكن مليارات الدولارات التي تسبب فيها هذا التحديث السيء».

— طبيب طوارئ متحدثًا عن عُطل CrowdStrike العالمي

مستشفيات، مطارات، بنوك، مؤسسات إعلامية، وشبكات قطارات؛ كلها منشآت تضررت صبيحة الجمعة 19 يوليو نتيجة عطلٍ فني عالمي شلَّ أنظمة التشغيل التابعة لشركة ميكروسوفت مُتسببًا بظهور ما يُعرف بشاشة الموت الزرقاء بشكل مفاجئ.

الضرر مهول وغير مسبوق، لا سيما وأن أنظمة تشغيل ميكروسوفت (ويندوز) تُقوّم أكثر من 90% من أجهزة الحاسوب المكتبية وفقًا لآخر الإحصائيات.

ميكروسوفت لم تكن المُسبب الرئيسي لهذه المشكلة، وإنما شركة الأمن السيبراني الشهيرة CrowdStrike، والتي من المتوقع أن تخسر قرابة الـ20 مليار دولار -حوالي خمس قيمتها- دُفعة واحدة جرّاء ما حدث، وربما أكثر لأن المشكلة قد تستمر لأيام!

ماذا حدث بالضبط؟

على عكس ما قد يتوقعه البعض، فإن المشكلة ليس لها علاقة بالهجمات السيبرانية أو الثغرات الأمنية.

الأمر بدأ عندما سألت شركة CrowdStrike المستخدمين على موقع Reddit عما إذا كانوا يواجهون مشكلة شاشة الموت الزرقاء على أجهزتهم العاملة بنظام ويندوز، والتي تعتمد بشكلٍ أساسي على منصة الحماية -ضد جميع أنواع البرمجيات الخبيثة- التابعة لها Falcon.

وبالفعل، أفاد مستخدمون كُثر أن أجهزتهم قد تضررت ولخص أحدهم المشكلة قائلًا: «لقد علق جهازي في حلقة مُفرغة من عملية إعادة التشغيل».

وشاشة الموت الزرقاء (Blue Screen of Death - BSOD)، هي نوعٌ من رسائل الخطأ التي تظهر مباشرةً قبل انتهاء عملية إقلاع الويندوز أو أثناء استخدامه، وذلك للدلالة على أن نظام التشغيل يواجه مشكلة لا يمكنه التعامل معها مما يتسبب في انهياره بالكامل.

بالعودة للمشكلة، سنجد أنها حدثت بسببِ تحديث برمجي مَعيب من شركة CrowdStrike المكلفة بتأمين العديد من الحواسيب العاملة بنظام ويندوز حول العالم. التحديث كان يهدف إلى تعزيز الأمان، ولكن ما حدث كان عكس ذلك تمامًا، إذ دمر الأمان السيبراني لخطوط الطيران، والبنوك، والوسائل الإعلامية، ومحطات القطارات حتى وصلت المشكلة إلى خطوط الطوارئ الأمريكية نفسها.

قالت شركة ميكروسوفت لشبكة CBS News: إن «تحديث CrowdStrike تسبب بانهيار عددٍ من أنظمة تكنولوجيا المعلومات عالميًا».

من جانبه، اعترف الرئيس التنفيذي لشركة CrowdStrike، جورج كورتز، بأنه على الرغم من إمكانية حل هذه المشكلة المشؤومة أوتوماتيكيًا، فإن بعض الأجهزة ستتطلب حلًا يدويًا، وذلك عن طريق: الدخول إلى الويندوز من خلال الوضع الآمن Safe Mode، ثم التوجه إلى المسار الآتي (C:\ Windows\ System32\ drivers\ CrowdStrike)، وأخيرًا حذف ملف C-00000291*.sys الذي تسبب بكل هذه الأزمة ومن ثم إعادة تشغيل الجهاز وكل شيء سيعود إلى سابق عهده، وفقما يدعي أحد الموظفين بشركة CrowdStrike.

من هي CrowdStrike لتحدث كل هذا الجلل؟

هي شركةٌ للأمن السيبراني توفر برامج الأمان للعملاء والشركات المُنتشرين حول العالم، وهذا يتضمن كبرى المنصات والخدمات السحابية العالمية مثل Microsoft Azure، وGoogle Cloud، وAmazon Web Services (AWS)، وهذه المنصات السحابية بدورها تدخل في الكثير من الصناعات والخدمات بما يُفسر حجم الضرر الذي حدث والذي سنسلط عليه الضوء بعد قليل.

وتأسست CrowdStrike في عام 2011 ويقع مقرها الرئيسي في مدينة أوستن بولاية تكساس. وتشتهر الشركة بمنصة الحماية خاصتها Falcon، والتي على الرغم من الخلل الذي حدث بها، فإنها أثبتت كفاءتها في ردع البرمجيات الخبيثة والتهديدات السيبرانية، ولهذا لا عجب من شراكاتها المنعقدة مع عمالقة التكنولوجيا.

ويعمل بـCrowdStrike أكثر من 8 آلاف موظف، وتحقق ربحًا يُقدر بـ 3.28 مليار دولار سنويًا بصافي 131.66 مليون دولار. أما قيمتها السوقية الحالية -بعد الأزمة- فتُقدر بـ 86.38 مليار دولار (وقت كتابة هذا التقرير).

تأثيرات عالمية وخسائر فادحة

قال جورج كورتز، إن المشكلة أدت إلى اضطرابات على مستوى مختلف الصناعات، غير أن ما حدث كان أكثر من مجرد اضطرابات بكثير.

التوصيف الجيد لمشكلة CrowdStrike العالمية أنها أزمة غير مسبوقة، أزمة لم نر شيئًا مثلها من قبل على حد قول ساتنام نارانغ؛ كبير الباحثين في شركة الأمن السيبراني Tenable لشبكة الـCNBC.

«الانقطاع الأكبر في تاريخ تكنولوجيا المعلومات»، على حد وصف نفس الشبكة، آذى العديد من مستخدمي أنظمة الويندوز بدايةً من شركات الطيران وحتى تجار التجزئة الذين يعتمدون على أساليب الدفع الرقمية. كبرى شركات الطيران الأمريكية مثل American Airlines، وDelta Airlines، وUnited Airlines، واجهت تحديات تشغيلية كبيرة أدت إلى توقف الكثير من الرحلات الجوية وتسببت في تأخيرات واسعة النطاق.

مطارات أخرى من سنغافورة وهونج كونج وأمستردام وغيرهم على مستوى العالم، واجهت مشكلات مماثلة، وبسببها راجت مشاهد المسافرين في المطارات وهم يقفون أمام شاشات الموت الزرقاء هو مشهد مثير للذهول لم يسبق أن رأيناه.

القطاع المصرفي هو الآخر تأثر بشدة، حيث أبلغت مؤسسات تمتد من أستراليا إلى ألمانيا إلى الولايات المتحدة (وتحديدًا بنك أمريكا Bank of America) أنها تواجه مشكلات كبيرة في تنفيذ المعاملات. الشيء نفسه ينطبق على القطاع الطبي، إذ واجهت مؤسسة مرموقة بحجم هيئة الخدمات الصحية الوطنية NHS بالمملكة المتحدة انقطاعات في الخدمة.

على الفور تراجعت أسهم شركة CrowdStrike بنسبة 9.39% مُسجلة 309.38 دولارًا للسهم الواحد مع توقعات بخسارة 20 مليار دولار إذا استمرت الأزمة لأيام قليلة، في حين تراجعت أسهم ميكروسوفت 0.53% لتعكس حذر المستثمرين.

هل تُسأل ميكروسوفت عن الأزمة؟

تحمّل الرئيس التنفيذي لشركة CrowdStrike المسؤولية بشكلٍ كامل وأشار إلى أن المشكلة قد تحتاج بعض الوقت لحلها، ولكن الأمور ليست بهذه البساطة.

يقول عمر جروسمان لرويترز، وهو كبير مسؤولي المعلومات في شركة CyberArk، إننا على الأرجح سنحتاج وقتًا لنرى هذه المشكلة تُحل، والسبب في ذلك يرجع للتحديثات التقنية الكبيرة المتمثلة في أنظمة "اكتشاف نقطة النهاية والاستجابة لها- EDR"، وهي مجموعة من الأدوات تراقب التهديدات السيبرانية باستمرار، وفي الوقت الفعلي real-time، للاستجابة لها في أسرعٍ وقت ممكن. ونظرًا لأن المشكلة قد حدثت بالفعل وأنظمة الـ "EDR" فشلت في التعامل معها، فلا مفر من التدخل اليدوي، وهذا يحتاج وقتًا.

لماذا لم يتأثر حاسوبك دونًا عن الحواسيب العالمية؟

بصياغةٍ أخرى: لماذا واجهت المشكلة بعض مستخدمي أنظمة الويندوز بينما لم تؤثر على البعض الآخر من مستخدمي نفس أنظمة التشغيل؟

الجواب يكمن في عدد من العوامل، ولكن خلاصة الأمر أن جميع الأجهزة القائمة على الويندوز ليست مُهيئة بنفس الطريقة أو الإعدادات، فضلًا عن أن الكثير من هذه الأجهزة لم تتلق التحديث المشؤوم الذي تسبب في كل هذا. علاوة على ذلك، لا يجب أن ننسى أن المشكلة لم تمس الأجهزة العاملة بالأنظمة الأخرى المنافسة أو غير المنافسة للويندوز، مثل نظام الماك بأجهزة أبل والنظام الغني عن التعريف لينكس.

وبحسب CrowdStrike، فإن المشكلة كلها حدثت بسبب ملف الـC-00000291*.sys، والذي أُنشئ في التاسع من أبريل المنصرم في الساعة الرابعة وتسع دقائق بالتوقيت العالمي، وهذه المعلومة مهمة للغاية لتشابه أسماء الملفات التقنية واختلاط الأمر على البعض. على سبيل المثال، الملف الذي يحمل الاسم نفسه C-00000291*.sys، ولكنه أنشئ في توقيت مختلف، وتحديدًا في السابع والعشرين من مايو في تمام الساعة 5:27 دقيقة، لم يتسبب بالمشكلة.

كذلك تلعب تواريخ وإصدارات أنظمة الويندوز نفسها دورًا محوريًا فيما إذا كانت ستتأثر بهذه النوعية من المشاكل أم لها، فبعض إصدارات ويندوز 7 وويندوز 8 -على سبيل المثال- تأثرت، بينما لم تتأثر إصدارات أخرى أقدم رغم أنها من نفس أنظمة التشغيل.

ختامًا، أظهرت هذه المشكلة العالمية مدى هشاشة الأنظمة التكنولوجية بالكثير من القطاعات، والنتيجة كانت صادمة، بالأخص في القطاع الطبي. قطاعٌ كهذا لا بد وأن يمتلك أكثر من خيار ويستعد لجميع السيناريوهات التي لن يطيق فيها المرضى الانتظار.

من ناحيةٍ أخرى، على CrowdStrike أن تتحرك سريعًا لتتدارك هذه المشكلة، فصحيحٌ أننا لم نشهد مثلها في تاريخ تكنولوجيا المعلومات، أقله ليس بنفس الدرجة وليس لنفس السبب، ولكن لا حل أسلم من التحرك سريعًا وإلا ستخسر الشركة أكثر وأكثر وتنتهي مع هذه المشكلة.