Derfor er det datatrøbbel over hele verden
Nei, det er ikke et angrep.
Fredag morgen våknet landet opp til dataproblemer over hele verden. Men dette er ikke et cyberangrep. Det hele skyldes en programvareoppdatering som slo helt feil.
Sikkerhetsoppdatering gikk galt
Feilen stammer fra en oppdatering sendt ut av sikkerhetselskapet Crowdstrike. Crowdstrikes programvare brukes av en rekke store selskaper og institusjoner over hele verden for å beskytte dem mot ulike typer dataangrep.
Men denne gangen var det Crowdstrikes egen programvare som skapte problemer.
Oppdateringen førte til at Windows-maskiner gikk helt i stå. Det er rapporter om alt fra «boot loops», hvor maskinen går inn i en evig omstarts-loop, eller at de bare låses helt og møter såkalte «blåskjermer».
Moderne «antivirus»
Vanlige privatpersoner har ikke programvare fra Crowdstrike installert. Men det brukes av store selskaper til å sikre alt fra ansatt-PC-er til andre deler av nettverket.
Kort fortalt er dette en mer proaktiv utgave av «fortidens» antivirusløsninger for PC-er. Endepunktsikkerhet analyserer alt fra filer og nettlogger til andre typer oppførsel på en datamaskin, og slår ned på mistenkelig aktivitet.
Blant måtene slik aktivitet kan slås ned på er ved å sperre tilgang til nettverk, eller ved å nekte maskinen å starte i det hele tatt. Kort fortalt kan Falcon, som det spesifikke programmet heter, ha «alle rettigheter» på maskinene det kjører på.
En kjede av problemer
Når mange, eller alle, av maskinene deres nå krasjer, skaper det en hel kjede av problemer som også rammer oss «vanlige» brukere. Flyplasser, banker, butikker og andre institusjoner over hele verden melder om trøbbel.
Så selv om maskinen din fortsatt fungerer fint, kan det hende at nettstedene du prøver å besøke sliter litt. For eksempel Biltema har hatt trøbbel hele fredag morgen.
Mulig løsning
Crowdstrike sier de har identifisert problemet, og har en løsning for de som er rammet. Løsningen er kort fortalt å finne og slette den oppdaterte filen de sendte ut natt til fredag, og deretter starte maskinen på nytt.
Løsningen krever både admin-tilgang på datamaskinen, og at noen fysisk er nær den for å fikse. Ingen av delene er selvsagt for maskiner som har fått problemer med oppdateringen.
For det første er Falcon-programvaren ofte en del av såkalt «zero trust»-strategier for nettverkssikkerhet. Som navnet antyder er det svært ofte at sluttbrukeren ikke selv har rettighetene til å starte maskinen i sikkermodus i det hele tatt.
Er det et menneske i denne serverhallen?
Og som endepunktsikkerhet - betyr det at maskiner rammet av dette er i hendene til alle typer mennesker. Både de mest og de minst tekniske kan ha en Falcon-klient som ikke oppfører seg helt som planlagt i dag. Og det er neppe alle som kan finne frem til en systemfil med et kryptisk navn helt selv.
Ikke minst vil en del av de viktigste maskinene som er rammet - servere og annen infrastruktur - være satt opp utelukkende for fjernstyring. De har normalt ikke mennesker i nærheten av seg.
Er Norge mindre rammet enn andre?
Mens det meldes om enorme systemkrasj over hele verden, er det tilsynelatende ikke like ille i Norge. Flyplasser som Gardermoen er for eksempel upåvirket, og flytrafikk går som det skal. Så hva er årsaken?
Trolig så enkelt som at Crowdstrike ikke er like utbredt i Norge som i resten av verden. Globalt sett har Crowdstrike en markedsandel på 24 prosent i såkalt endepunkts-beskyttelse.
Så store er de neppe i det relativt lille norske markedet. I stedet bruker vi andre sikkerhetssystemer i Norge, som ikke har hatt de samme problemene.
En annen årsak kan også være større andel av maskiner som bruker MacOS i Norge, og ikke Windows.