Sự cố của CrowdStrike ảnh hưởng chưa tới 1% máy tính chạy Windows nhưng đã khiến thế giới hỗn loạn

Microsoft hôm 20.7 công bố hôm sự cố này ảnh hưởng đến ít hơn 1%, tương đương khoảng 8,5 triệu, máy tính chạy hệ điều hành Windows trên toàn thế giới.

Trong một bài đăng trên blog, Microsoft cho biết tác động của sự cố trên toàn thế giới phản ánh "việc sử dụng phần mềm CrowdStrike của các doanh nghiệp để vận hành nhiều dịch vụ quan trọng."

Sự cố sập máy tính lớn này cũng chỉ ra sự thống trị thị trường của Microsoft và CrowdStrike. Dữ liệu từ Statista cho thấy Windows của Microsoft chiếm khoảng 72% thị phần hệ điều hành toàn cầu tính đến tháng 2, trong khi một ước tính chỉ ra thị phần của CrowdStrike trong danh mục bảo mật "bảo vệ điểm cuối" là gần 24%.

Microsoft cho hay: “Sự cố này chứng minh bản chất liên kết hệ sinh thái rộng lớn của chúng ta — các nhà cung cấp đám mây toàn cầu, những nền tảng phần mềm, nhà cung cấp bảo mật và phần mềm khác cùng khách hàng. Đó cũng là lời nhắc nhở tất cả chúng ta về tầm quan trọng của việc ưu tiên vận hành với triển khai an toàn và khắc phục thảm họa bằng cách sử dụng các cơ chế hiện có".

Hôm 19.7, CrowdStrike đã phát hành bản cập nhật nhật phần mềm Falcon Sensor bị lỗi, dẫn đến sự cố sập máy tính trên diện rộng nhất trong lịch sử. CrowdStrike thông báo bản cập nhật ảnh hưởng đặc biệt đến Windows, còn các máy chạy Mac và Linux không bị tác động.

Sự hỗn loạn sau đó khiến các hãng hàng không, khách sạn phải dùng bút và giấy để lấy thông tin của khách hàng. Một số bệnh viện tại châu Âu phải hủy bỏ các dịch vụ y tế. Hình ảnh từ nhiều sân bay và cửa hàng cho thấy hàng loạt màn hình màu xanh chết chóc trên máy tính và bảng thông tin chuyến bay.

Hôm 19.7, Giám đốc điều hành CrowdStrike - George Kurtz cho biết vấn đề được “xác định, cô lập và bản sửa lỗi đã được triển khai”. Bản sửa lỗi này bao gồm cả việc xóa thủ công file cập nhật trên các máy tính bị ảnh hưởng.

Dù cách khắc phục có vẻ đơn giản nhưng các chuyên gia nói với trang Insider rằng các công ty có ít nhân viên CNTT hơn phải mất hàng tuần để giải quyết màn hình xanh chết chóc trên mọi thiết bị. Điều này đồng nghĩa một số ngành phải chịu ảnh hưởng một thời gian.

Andrew Peck, chuyên gia an ninh mạng tại Đại học Loughborough (Anh), nói với đài CNN rằng việc khắc phục sự cố ở nhiều công ty khắp thế giới có thể tiêu tốn hàng tỉ USD.

CrowdStrike và Microsoft không trả lời ngay lập tức khi được đề nghị bình luận.

Hành khách chờ tại quầy ở Sân bay Quốc tế Hồng Kông khi hệ thống máy tính ngừng hoạt động - Ảnh: Reuters

Falcon Sensor của CrowdStrike có chức năng theo dõi một cách chi tiết những hoạt động đang diễn ra trên máy tính, giúp tìm kiếm những hoạt động bất thường, độc hại và chặn các mối đe dọa này.

Theo hãng tin Bloomberg, Falcon Sensor mang đến sự khác biệt với các phần mềm bảo mật cũ. Phần mềm chống virus kiểu truyền thống tỏ ra rất hữu ích trong thời khai sinh của máy tính và internet nhờ khả năng truy lùng các dấu hiệu của phần mềm độc hại. Tuy nhiên, chúng không còn được ưa chuộng khi các cuộc tấn công ngày càng tinh vi.

Giờ đây, các phần mềm “phát hiện và phản hồi các mối nguy hại điểm cuối” mà CrowdStrike phát triển có nhiều tiềm năng hơn. Chúng liên tục quét máy tính để tìm tất cả dấu hiệu hoạt động đáng ngờ và tự động phản hồi. Song để làm được điều này, các phần mềm này phải được cấp quyền truy cập, đi sâu vào bên trong hệ điều hành máy tính, tìm các lỗi bảo mật. Quyền truy cập này chính là con dao 2 lưỡi bởi cũng có thể phá hỏng chính những hệ thống đang được bảo vệ. Đây cũng chính là cách hệ thống máy tính Windows đồng loạt sập diện rộng vào ngày 19.7.

Đại diện của CrowdStrike đã xác nhận rằng một bản cập nhật Falcon Sensor đã đánh sập hàng triệu máy tính Windows của các công ty và chính phủ trên khắp thế giới, gây ra “màn hình xanh chết chóc”.

CrowdStrike khẳng định sự cố không phải do tấn công mạng hay xâm phạm an ninh.

CrowdStrike là hãng công nghệ an ninh mạng Mỹ có trụ sở tại thành phố Austin (bang Texas), cung cấp các giải pháp bảo mật cho người dùng và doanh nghiệp. Công ty được thành lập năm 2011 bởi George Kurtz, Dmitri Alperovitch và Gregg Marston, hoạt động trong lĩnh vực lĩnh vực bảo mật mạng, bảo vệ điểm cuối (endpoint security), bảo mật đám mây (cloud security), phản ứng tấn công mạng (cyber incident response).

CrowdStrike được biết đến với các giải pháp bảo mật điểm cuối tiên tiến, sử dụng công nghệ trí tuệ nhân tạo (AI) để phát hiện và ngăn chặn các mối đe dọa mạng một cách hiệu quả.

Falcon Sensor của CrowdStrike từng được dùng để điều tra vụ hack Sony Pictures vào năm 2014, dẫn đến việc tiết lộ loạt dữ liệu bí mật từ hãng phim. Falcon Sensor còn xuất hiện khi điều tra vụ hack Ủy ban Quốc gia đảng Dân chủ vào năm 2016, làm lộ email của bà Hillary Clinton...

CrowdStrike phục vụ khoảng 29.000 khách hàng và có doanh thu hàng năm khoảng 4 tỉ USD.

Các nhà cung cấp nền tảng đám mây lớn hợp tác với CrowdStrike gồm Microsoft Azure, Google Cloud của Alphabet và Amazon Web Services.

CrowdStrike phải đền bù cho hàng chục ngàn khách hàng gặp sự cố máy tính toàn cầu thế nào?

Theo các điều khoản và điều kiện hợp đồng của CrowdStrike, hầu hết khách hàng chỉ được hoàn lại tiền do sự cố ngừng hoạt động lớn, luật sư an ninh mạng cho biết.

Sự cố máy tính toàn cầu nghiêm trọng từ bản cập nhật bảo mật bị lỗi của CrowdStrike hôm 19.7 khiến nhiều chuyến bay bị gián đoạn, các đường dây cuộc gọi 911 gặp sự cố và bệnh nhân không thể truy cập hồ sơ y tế của họ. Song theo các điều khoản và điều kiện của mình, CrowdStrike không cần phải chi thêm gì ngoài việc hoàn tiền đơn giản nếu bị yêu cầu bồi thường.

Các điều khoản dành cho phần mềm bảo mật Falcon Sensor của CrowdStrike, được hàng chục ngàn công ty và cơ quan chính phủ trên toàn thế giới sử dụng, giới hạn trách nhiệm ở "phí đã thanh toán". Điều đó đồng nghĩa là nếu một công ty có yêu cầu bồi thường với CrowdStrike vì thiệt hại hoặc doanh thu bị mất cho doanh nghiệp của mình thì số tiền tối đa mà họ có thể thu hồi chỉ bằng số tiền từng trả cho CrowdStrike, theo Elizabeth Burgin Waller - Chủ tịch bộ phận Thực hành An ninh mạng & Quyền riêng tư dữ liệu tại hãng Woods Rogers. Theo đó, những người dùng CrowdStrike đã ký các điều khoản và điều kiện tiêu chuẩn không thể mong đợi nhận được nhiều hơn một khoản hoàn lại từ hãng an ninh mạng Mỹ này, Elizabeth Burgin Waller nói.

"Ngay cả khi CrowdStrike có đền bù cho doanh thu bị mất hoặc thời gian ngừng hoạt động, số tiền mà khách hàng có thể yêu cầu CrowdStrike bồi thường bị giới hạn ở mức phí mà khách hàng trả cho CrowdStrike. Nói cách khác, nếu đã trả khoản tiền nhất định cho CrowdStrike, mức tối đa mà các công ty có thể nhận được từ CrowdStrike chỉ bằng số tiền đó, không hơn. Đây là giới hạn trách nhiệm được quy định trong các điều khoản và điều kiện của CrowdStrike", Elizabeth Burgin Waller nói.

Các công ty lớn hơn sử dụng phần mềm của CrowdStrike, chẳng hạn một số hãng hàng không hoặc chuỗi bệnh viện bị ảnh hưởng, có thể đã đàm phán hợp đồng với điều khoản và điều kiện khác với hãng an ninh mạng Mỹ này. Những hợp đồng đó không được công khai và có thể có các điều khoản mà sẽ khiến CrowdStrike chịu trách nhiệm về nhiều thiệt hại hơn, Waller nói.

"Nếu là công ty lớn, bạn có thể đã đàm phán về điều đó", bà cho hay.

Đại diện CrowdStrike đã không ngay lập tức trả lời về cách hãng sẽ bồi thường ra sao theo các điều khoản và điều kiện của mình.

Muốn trang trải tất cả chi phí được trả để xử lý hậu quả do CrowdStrike gây ra (gồm thuê nhân viên CNTT cài đặt một bản cập nhật khác khắc phục sự cố trên các máy chạy Windows, năng suất lao động bị mất, khắc phục sự cố cho khách hàng và các chi phí pháp lý có thể xảy ra với công ty đại chúng cần nộp báo cáo chứng khoán liên quan các nhà đầu tư), hầu hết công ty sẽ phải chuyển sang nhà bảo hiểm mạng, Waller nói.

Theo Waller, hầu hết công ty dạng này đều có chính sách bảo hiểm "gián đoạn kinh doanh phụ thuộc". Những chính sách này cho phép các công ty thu hồi thiệt hại từ một số nhà bảo hiểm với các công ty an ninh mạng bên thứ ba mà họ phụ thuộc. Nếu sử dụng phần mềm Falcon Sensor để giám sát các mối đe dọa trên máy tính và gặp sự cố do bản cập nhật lỗi của CrowdStrike, các công ty có thể đủ điều kiện yêu cầu bồi thường từ hãng bảo hiểm của mình theo các chính sách này.

"Nếu các điều khoản và điều kiện của CrowdStrike đặt ra rào cản lớn, như việc chỉ có thể nhận được khoản hoàn lại tiền từ CrowdStrike, công ty cần xem xét đến chính sách bảo hiểm mạng của mình để tìm kiếm sự bồi thường", Waller nói.

Nhiều chính sách như vậy chỉ bảo hiểm các sự kiện độc hại như tấn công mạng, bà cho hay.

"Chúng ta chỉ gặp một sự cố phần mềm. Vì vậy, tôi nghĩ chúng ta sẽ thấy các vụ kiện chống lại các nhà bảo hiểm an ninh mạng trong nhiều năm tới về sự máy tính toàn cầu này. Đây là một vấn đề lớn. Từ quan điểm bảo hiểm mạng, tôi nghĩ điều đó cũng sẽ tạo ra nhiều tranh chấp pháp lý về những gì được bảo hiểm và những gì được dự định theo các chính sách khác nhau này", Waller nói.

CrowdStrike có thể đối mặt các vụ kiện từ cổ đông, khách hàng muốn cố gắng bồi thường nhiều hơn và có khả năng là cuộc điều tra từ Ủy ban Giao dịch và Chứng khoán Mỹ (SEC), Waller nói.

CrowdStrike sẽ phải nộp báo cáo 8-K trong vài ngày tới với SEC, trong đó trình bày điều gì đã xảy ra với bản cập nhật Falcon Sensor. Báo cáo 8-K (báo cáo sự kiện hiện hành) là loại báo cáo bắt buộc được nộp lên SEC bởi các công ty đại chúng, tiết lộ các sự kiện quan trọng có thể ảnh hưởng đến tình hình tài chính hoặc giá trị cổ phiếu của công ty.

Thật trùng hợp khi sự cố của CrowdStrike diễn ra một ngày sau khi phán quyết lớn từ một thẩm phán liên bang ở quận Manhattan (thành phố New York, Mỹ) có lợi cho SolarWinds (hãng an ninh công nghệ bị hack trong một chiến dịch gián điệp mạng của Nga vào năm 2020) ở vụ kiện do SEC khởi xướng.

SEC cáo buộc SolarWinds không cập nhật đủ thông tin cho các nhà đầu tư và công chúng về quy mô lớn của hậu quả từ vụ hack này. Thế nhưng, thẩm phán Paul Engelmayer đã phán quyết hôm 18.7 rằng SolarWinds không cần cung cấp "mức độ chi tiết tối đa" mà SEC yêu cầu.

Phán quyết đó mang lại một chút thời gian cho CrowdStrike (công ty với vốn hóa thị trường 74,22 tỉ USD, phục vụ gần 30.000 khách hàng toàn cầu) có trách nhiệm cập nhật cho các nhà đầu tư và công chúng về những gì đã xảy ra, nhưng lo lắng ít hơn về việc cung cấp chi tiết bao nhiêu.

"Bạn cần truyền đạt mức độ nghiêm trọng của những gì đang xảy ra, nhưng chúng ta không cần quá lo lắng đến các chi tiết cụ thể hoặc những gì chúng ta không biết", Waller nói.

Sơn Vân