La interrupción del servicio de Crowdstrike y el problema de un único punto de fallo del software global
La frecuencia de los ataques a gran escala a los sistemas informáticos de las empresas está aumentando, lo que no es inusual ni inesperado, ya que las empresas invierten mucho en ciberdefensa en una guerra asimétrica contra los piratas informáticos que pueden encadenar unas pocas líneas de código y causar estragos.
Pero el La mayor interrupción de TI de la historia el viernesresultante de Un error de software de CrowdStrike El hecho de que se carguen virus en los sistemas operativos de Microsoft en lugar de cualquier ataque malicioso muestra un tipo de amenaza tecnológica que ha ido aumentando junto con los ataques informáticos, pero que recibe menos atención: la falla de punto único, un error en una parte de un sistema que crea un desastre técnico en industrias, funciones y redes de comunicaciones interconectadas; un efecto dominó masivo.
A principios de este año, AT&T sufrió una interrupción del servicio a nivel nacional atribuida a una actualización técnica. El año pasado, la FAA tuvo una interrupción que se produjo después de que una sola persona reemplazara un archivo crítico en una actualización de ruta (ahora la FAA tiene un sistema de respaldo para evitar que eso vuelva a suceder).
«Es más frecuente incluso cuando se trata simplemente de parches y actualizaciones de rutina», dijo a CNBC el viernes Chad Sweet, cofundador y director ejecutivo de The Chertoff Group y exjefe de gabinete del Departamento de Seguridad Nacional.
Se observan vallas publicitarias digitales Debido a la interrupción global de las comunicaciones provocada por CrowdStrike, que brinda servicios de ciberseguridad a la empresa estadounidense de tecnología Microsoft, se observó que algunas vallas publicitarias digitales en Times Square en la ciudad de Nueva York, Estados Unidos, mostraban una pantalla azul y algunas pantallas se volvieron completamente negras el 19 de julio de 2024.
Selcuk Acar | Anatolia | Getty Images
La gestión del riesgo de fallo de un solo punto es una cuestión que las empresas deben abordar. planificar y protegerse contraNo existe ningún software en el mundo que se lance al mercado y luego no necesite parches o actualizaciones, y existen prácticas de seguridad recomendadas que se aplican durante mucho tiempo después de un lanzamiento de producción y que cubren el mantenimiento continuo del software, dijo Sweet.
Las empresas con las que trabaja el Grupo Chertoff están revisando de cerca el desarrollo de software y los estándares de actualización tras la interrupción del servicio de CrowdStrike. Sweet señaló un conjunto de protocolos que el gobierno ya proporciona, el SSDF (Secure Software Development Framework), que puede dar al mercado una idea de qué esperar cuando el Congreso comience a analizar el tema más de cerca. Es probable que esto ocurra después de la reciente serie de incidentes, desde AT&T hasta la FAA y CrowdStrike, ya que se ha demostrado que este tipo de falla técnica afecta las vidas de los ciudadanos y las operaciones de infraestructura crítica de forma generalizada.
«Prepárense en el aspecto corporativo», dijo Sweet.
Aneesh Chopra, director de estrategia de Arcadia y ex director de tecnología de la Casa Blanca, dijo a la CNBC el viernes que sectores críticos como la energía, la banca, la atención médica y las aerolíneas tienen regulaciones separadas que supervisan el riesgo, y las medidas pueden ser únicas en los sectores más regulados. Pero para cualquier líder empresarial la pregunta ahora es: «Suponiendo que los sistemas fallen, ¿cuál es el plan B? Veremos mucha más planificación de escenarios y si esta no es la tarea número 1, es la tarea número 2 o 3 tener esos escenarios delineados», dijo.
A diferencia de muchos temas en Washington, Chopra señaló que existe un compromiso bipartidista con las cuestiones de infraestructura crítica y riesgo sistémico, y que las normas técnicas son un «sello distintivo» del sistema estadounidense. Ahora puede haber esfuerzos que, según él, están diseñados con el objetivo de «mejorar la competencia» como un medio para fortalecer la rendición de cuentas.
«Si existe un mecanismo para actualizar de una manera más abierta y competitiva, podría haber presión para asegurarse de que se haga de manera que todos los aspectos estén perfectamente definidos», dijo Chopra.
Sweet dijo que esto inevitablemente generará inquietudes en el mundo empresarial sobre el riesgo de una regulación excesiva. Si bien no hay forma de saber con certeza ahora si había una manera de que CrowdStrike operará utilizando un proceso más abierto que permitió detectar la falla de un solo punto, dijo que es una pregunta legítima.
Según Sweet, el mejor método para evitar una regulación excesiva es recurrir a mecanismos que refuercen el mercado, como el sector de los seguros. «La respuesta breve es: dejemos que lo haga el libre mercado, a través de mecanismos como el sector de los seguros, que recompensará a los buenos actores con primas más bajas», afirmó.
Sweet también dijo que más empresas deberían adoptar la idea de organizaciones «antifrágiles», como él hace con sus clientes, un término acuñado por el analista de riesgos Nassim Nicholas Taleb. «No sólo una organización que sea resistente después de una disrupción, sino una que prospere, innove y supere a sus competidores», dijo. En su opinión, cualquier legislación o regulación tendría dificultades para mantenerse al día con los ataques maliciosos y las actualizaciones técnicas que se implementan con consecuencias no deseadas.
«Es una llamada de atención, sin duda», dijo Chopra.