Las interrupciones de Microsoft de hoy, vinculadas a una actualización de Crowdstrike, muestran el inmenso riesgo que enfrentamos si ponemos todos nuestros huevos en una enorme canasta que abarca todo el mundo.
Algunos colegas inicialmente sugirieron que esto era parte de un ataque coordinado a la infraestructura de Microsoft que, aunque resulta que lo más probable es que no sea el caso, era una primera suposición razonable dados los problemas continuos que experimenta con los persistentes piratas informáticos patrocinados por el estado.
Sin embargo, más que un evento de piratería masiva, el motivo de la interrupción son simplemente problemas administrativos y de parches de TI, que, de hecho, representan la mayoría de las interrupciones de Microsoft Azure y M365, aunque rara vez con un efecto tan generalizado. La ironía de este incidente en particular es que esta vez, los problemas no se deben a la actividad de Microsoft, sino a una actualización de seguridad de Crowdstrike Falcon que se encuentra en una alta proporción de computadoras de escritorio y servidores de Windows.
Por lo tanto, no se trata tanto de que Microsoft se haya disparado a sí mismo (otra vez), sino de que esta vez lo ha hecho un amigo cercano y de confianza. Dudo que esa distinción le dé mucho consuelo a Redmond.
Que una “medida de protección que haya salido mal” haya provocado un caos tan instantáneo en tantos países y sectores industriales podría sorprender a muchas personas, pero la realidad es que la infraestructura de la nube pública es muy compleja y sorprendentemente frágil.
Los problemas aparecieron por primera vez en la página de actualizaciones de Azure ayer por la noche con una interrupción en la región central de Azure EE. UU. alrededor de las 10 p.m. UTC, aunque no está 100% claro que este sea el mismo problema que estamos viendo actualmente, ya que más tarde se informó que esos problemas de Azure se solucionaron. a las 6:30 a. m., hora del Reino Unido, hoy. No pasó mucho tiempo antes de que el Reino Unido comenzara a despertar, conectarse y descubrir que de la noche a la mañana parece que hemos esquivado una bala bastante grande. Al Lejano Oriente e incluso partes de Europa, que operan en zonas horarias anteriores a la nuestra, no les ha ido tan bien, y múltiples aerolíneas, aeropuertos, servicios de transporte, bancos y servicios de procesamiento financiero se han visto afectados.
Incluso en el Reino Unido, se han informado impactos en trenes, NHS, servicios financieros y una variedad de servicios comerciales, así como una interrupción desconcertante y muy pública de las transmisiones de Sky News durante algunas horas. Sin embargo, al momento de escribir este artículo, la página de actualización de Azure ha comenzado a informar que los problemas residen principalmente en las propias máquinas virtuales. Microsoft recomienda que las empresas restablezcan las versiones respaldadas antes de las 7 p.m. UTC del 18 de julio.
Esto tiende a confirmar que el problema se debe a un parche automatizado o una implementación realizada después de ese momento, pero que ha podido extenderse globalmente a prácticamente todas las regiones globales de Microsoft, y solo México, el centro de España y China no mostraron interrupciones.
Además, el gobierno de EE. UU. parece haberse salvado esta vez, posiblemente porque utiliza una infraestructura de TI diferente: si bien puede usar la palabra ‘Azure’ en su nube, no es la misma que el resto del mundo (y el gobierno del Reino Unido). usos.
Riesgo para los servicios públicos del Reino Unido
Computer Weekly informó recientemente la revelación de Microsoft de que, a pesar de las garantías que ha hecho durante muchos años de que sus servicios están 100% alojados, operados y respaldados desde el Reino Unido, en realidad no es así.
La preocupación para los ciudadanos del Reino Unido debería ser que en los últimos 10 años el gobierno del Reino Unido ha trasladado servicios centrales directamente a las plataformas en la nube de Microsoft, que no están dedicadas al uso gubernamental, ni siquiera ubicadas 100% en el Reino Unido: es el mismo servicio disponible. literalmente a cualquier cliente de Microsoft que resida en cualquier parte del mundo.
Esto significa que el sector público del Reino Unido no tiene términos especiales, ni protecciones de seguridad específicas y, lo que es más importante, no tiene prioridad de servicio sobre la tienda de la esquina que tiene una suscripción anual a M365.
La policía, los servicios 999, la salud y, de hecho, el tejido mismo de nuestra sociedad pública se encuentran en la nube de Microsoft o tienen grados de dependencia de ella. Después de todo, los servicios en la nube comparten algunas conexiones, lo que explica también los informes limitados de problemas de AWS y Google Cloud en la actualidad; es casi seguro que están asociados con sus fuentes conectadas de Microsoft o dispositivos Windows.
Es importante que reconozcamos que las plataformas Azure y M365 nunca fueron diseñadas para el tipo de servicios para los que el gobierno anterior utilizó la nube de Microsoft. De hecho, sus términos de servicio advierten contra la dependencia de la disponibilidad de la plataforma Microsoft y prohíben estrictamente su uso para procesamiento de alto valor, donde la interrupción podría resultar en daños a las personas o pérdidas financieras significativas.
A pesar de esto, utilizando la agenda de la nube como prioridad de la última administración, los líderes de TI en todo el Gobierno de Su Majestad se han precipitado hacia la Nube de Microsoft y han hecho poca o ninguna diligencia para confirmar que realmente es adecuada para sus necesidades.
Este claro punto de desconexión podría usarse para eximir a Microsoft de responsabilidad si no hubiera estado muy feliz de permitir que se incorporaran servicios críticos de infraestructura nacional (CNI). Queda por ver si el nuevo gobierno continuará con esa práctica, pero al menos una de las medidas recientemente anunciadas desde el Discurso del Rey sería beneficiosa en nuestra posición actual, con la obligación de notificar los problemas cibernéticos.
Es muy poco probable que alguna vez comprendamos adecuadamente la naturaleza, escala e impacto de este incidente porque hay pocos incentivos y ningún imperativo para reportar esa información. Esto es un problema cada vez mayor, ya que nuestras responsabilidades nacionales y nuestra exposición al riesgo son imposibles de determinar sin esa información. En este momento realmente no sabemos qué información tenemos en la nube o en qué nube se encuentra.
Si bien al último gobierno le habría gustado pensar que la “agregación” podría ignorarse, hoy acabamos de descubrir que tener todos los huevos en una sola canasta podría ser una mala idea.
Como país, estamos expuestos como nunca antes, y este es un aviso al que sería prudente prestar atención. Si bien odio ser portador de malas noticias, ésta es otra posible área de crisis que el nuevo gobierno debe priorizar.