Buggen välte halva internet: ”Kan det bli värre? Svar: Ja”

Det var i fredags som Windows-system plötsligt fick fnatt och låste sig. Och det var inte bara en eller två datorer som frös – sammanlagt beräknas minst 8,5 miljoner Windows-enheter över stora delar av världen ha berörts. Visserligen motsvarar det bara runt 1 procent av alla enheter och system som körs med Windows, men den procenten råkade innefatta en rad mer eller mindre samhällsviktiga tjänster.

Tusentals flyg världen över fick stanna på marken, när system för allt från flygledning till biljettbokningar fallerade. Sjukhus i bland annat USA och Storbritannien blev utelåsta från journal- och vårdsystem. I en del amerikanska delstater rapporterades även problem med att komma fram på nödnumret 911. Internationella bank- och betalningssystem och finansiella institutioner havererade, vilket bland annat ledde till att människor världen över inte fick sina löneutbetalningar i tid.

Inte heller mediebolag skonades, och bland annat det brittiska mediehuset Sky News nyhetssajt slogs ut.

Till en början var det oklart exakt vad som pågick, och det fanns viss oro för att det handlade om en attack av något slag. 79 minuter efter att haveriet startade insåg Crowdstrike att det var en av deras uppdateringar som låg bakom debaclet och publicerade en guide för hur drabbade kunder kunde åtgärda problemet.

På söndagen – närmare två dygn efter haveriet – släppte Microsoft en skräddarsydd uppdatering som letade upp Crowdstrike-buggen och löste den.

Men en del av de berörda enheterna måste startas om manuellt. Det skapade utdragna problem för bland annat det amerikanska flygbolaget Delta, vars interna it-system beskrivs som närmast stenålders. Det har lett till hundratals inställda Delta-flyg även under måndagen och tisdagen, rapporterar amerikanska medier.

Boven i dramat var som sagt en bugg i Crowdstrikes mjukvara som rullades ut. Den nya uppdateringen skulle göra kundernas it-system mer säkra mot hackerattacker, var tanken. I stället råkade alltså miljontals Windows-enheter ut för den så kallade ”blue screen of death” – en blå skärm som meddelar att systemet har kraschat.

Enligt säkerhetsexperter som Reuters talade med under helgen fanns buggen i en uppdatering av den kod som styr vilka typer av hot som systemet ska kunna upptäcka. Sådana uppdateringar rullas ut i princip hela tiden – och därför kanske Crowdstrike inte kvalitetstestade just den här internt innan man rullade ut den till kunderna.

– Helst hade man velat rulla ut den här uppdateringen till ett begränsat antal kunder först. Det är ett säkrare sätt att undvika ett stort debacle som det här, säger säkerhetsanalytikern John Hammond till nyhetsbyrån.

Det måhända något ironiska med uppdateringen var att den skulle öka säkerheten mot hackare, men i stället öppnade buggen dörren för illvilliga aktörer på vid gavel. Bedragare var nämligen snabba med att försöka utnyttja kaoset, genom att bland annat ta kontakt via mejl och telefon och utge sig för att komma från Crowdstrikes kundtjänst i syfte att lura av kunderna pengar, skriver Computer Weekly.

Även om det inte är första gången det händer beskrivs fredagens it-haveri som det största i historien. Bland Crowdstrikes kunder finns över hälften av bolagen som räknas till USA:s 500 största, plus en rad regeringsfunktioner – däribland den amerikanska myndigheten för cybersäkerhet.

Crowdstrikes grundare och vd George Kurtz sa i ett uttalande att han var ”otroligt ledsen” för olägenheterna buggen skapat. Bolagets säkerhetschef Shawn Henry gick ännu längre. I ett inlägg på plattformen Linkedin skrev Henry på måndagen att bolaget ”svikit sina kunder”.

”Det förtroende vi har byggt upp genom åren kördes i botten på några timmar, och det var en käftsmäll”, skrev han bland annat, enligt Bloomberg.

Kritiker har använt haveriet för att göra en poäng av de risker som kommer med att världen förlitar sig på en handfull techbjässar för sin it-infrastruktur.

I en opinionstext i Los Angeles Times anklagade advokaten och författaren Heidi Boghosian techjättarna för att använda sina vinster för att betala av diverse säkerhetsrelaterade böter i stället för att investera pengarna i förbättrad cybersäkerhet.

Anil Khurana, professor vid Georgetown-universitetes ekonomiinstitution, säger till CNN att det i sig inte är dåligt att samhällets cybersäkerhet står och faller med en handfull jättebolag. Fler kockar gör faktiskt soppan sämre, när det gäller att hitta och fixa buggar av det här slaget, menar han.

Däremot har världens regeringar sovit på sin post när det gäller att hantera it-säkerhetsrisker. Man har liksom inte pallat sätta press på techjättarna att skärpa sig i frågan. It-system är verkligt samhällskritisk infrastruktur, påpekar han.

– De borde genomgå samma typ av noggrannhet, testning och övervakning som vi ser hos företag som Boeing eller JP Morgan, säger han.

Med 8,5 miljoner utslagna datasystem var fredagens haveri att klassa som ganska illa.

– Kan det bli värre? Svaret är ja, det kan det, säger it-professorn Stuart Madnick vid MIT till CNN.

Axios konstaterar att it-haverier av större dignitet har inträffat tidigare – och då inte alltid på grund av oskyldiga mjukvarufel. Sajten tar Solarwinds-attacken 2020 som exempel, då ryska statligt sanktionerade hackare pekades ut som skyldiga till intrång i ett hundratal bolagsnätverk.

Fredagens Crowdstrike-haveri gav ett smakprov på hur stora problem illvilliga aktörer från andra länder skulle kunna ge upphov till, om de bara lyckas slå till på rätt ställe. Det noterades även av ett antal amerikanska kongressledamöter, bland annat republikanerna Mark Green och Andrew Garbarino.

I ett öppet brev som publicerades på måndagen kräver de båda ledamöterna att Crowdstrikes vd George Kurtz ska förhöras i kongressen:

”Illvilliga cyberaktörer som stöttas av stater som Kina och Ryssland bevakar noggrant hur vi agerar kring den här incidenten.”

Men dagens it-tunga system är inte bara av ondo, framhåller Stuart Madnick.

– Dessa teknologier ger oss en massa fördelar som verkligen betalar sig, 99 procent av gångerna. Det gäller bara att förbereda sig för den där sista procenten när det går fel, säger han till CNN.

Crowdstrikes aktie rasade 11 procent på fredagen och ytterligare 13,5 procent på måndagen, för att sedan avsluta tisdagens handel upp nära två procent.

Det resulterade i att blankare i aktien kunde kamma hem närmare en miljon dollar på raset, skriver Bloomberg och hänvisar till data från S3 Partners.

En rad analytiker justerade ner sina rekommendationer och riktkurser för aktien under helgen, däribland Guggenheim,

”Vi tycker att det är svårt att säga till investerare att de måste köpa CRWD just nu”, skrev Guggenheims analytiker John DiFucci i ett analysbrev på måndagen, där han slopade sitt tidigare köpråd för aktien till förmån för en neutral rekommendation.

Även Scotiabank stämplade om aktien från outperform till sector perform och beskrev haveriet som ”en plump i ett annars fläckfritt protokoll”.

Trots justeringarna är Wall Streets analytikerkår i stort sett ändå positivt inställd till aktien, som har 41 köpråd, åtta behåll och två säljråd.

Analyshuset Morningstar tycker att börsen har straffat aktien lite väl hårt och bedömer att Crowdstrike gav ett ”trovärdigt svar” på det massiva avbrottet. Kurstappet innebär därför en ”bra köpmöjlighet för långsiktiga investerare som letar efter högkvalitativ säkerhets-/mjukvaruexponering”, skrev Morningstar i en analys på tisdagen.

En som uppenbarligen är av samma åsikt är techinvesteraren Cathie Wood. Hon passade på att köpa sammanlagt 20 000 Crowdstrike-aktier till ett värde av totalt 5,3 miljoner dollar till två av sina Ark-fonder under fredagens ras, skriver Yahoo Finance.