Crash informatico: cosa rischia Crowdstrike, le reazioni di competitor e analisti mentre Microsoft polemizza con la UE.
Il famigerato bug del Falcon Sensor update di Crowdstrike (qui il racconto di cosa è capitato e di come ha messo ko i sistemi Microsoft) rischia di avere effetti a coda lunga ben più deleteri di quelli che il mondo sta attualmente affrontando per via del tilt di molte infrastrutture critiche, tra cui aeroporti che hanno dovuto annullare diversi voli, così come ospedali che hanno dovuto rinviare interventi o sospendere trattamenti medici fondamentali come le chemioterapie.
L’impatto sui sistemi e la rilevanza mediatica offerta a questa crisi hanno provocato l’immediato tracollo del valore delle azioni di Crowdstrike, che nella sola giornata di venerdi 19 luglio, giorno in cui si è verificato l’incidente, sono passate da 345 a 294 dollari, nonostante tutte le rassicurazioni offerte dall’AD e fondatore George Kurtz in merito alla risoluzione del problema in tempi brevi.
Gli investitori del security brand texano potrebbero non essere gli unici a risultare scontenti, qualora i clienti di Crowdstrike, al di là di valutare possibili azioni di rivalsa, qualora auspicabili sulla base dei contratti e degli SLA stipulati, dovessero valutare possibili alternative tecnologiche.
L’aggiornamento di CrowdStrike di Microsoft ha generato un disservizio globale
Crash informatico e Crowdstrike: chi sono i suoi competitor?
Nelle ore successive al global tilt causato da Crowdstrike (qui il commento esclusivo dei massimi esperti di cyber security in Italia), alcuni suoi competitor diretti, come Sentinel One e Palo Alto Networks, hanno registrato guadagni sul proprio valore azionario superiori al 10%, un indice di evidente variazione nella fiducia da parte degli investitori, anche se gli analisti finanziari non escludono significativi rimbalzi a favore per l’azienda diretta da George Kurtz nell’arco delle settimane successive all’evento, quando i problemi man mano verranno progressivamente risolti.
Crowdstrike opera in un settore della cybersecurity connotato da un livello di concorrenza piuttosto agguerrito. Secondo il Magic Quadrant tematico di Gartner (2023), CrowdStrike deteneva il 14,8% di market share per quanto riguarda il software per la cybersecurity, per un fatturato equivalente di poco più di due miliardi di dollari. Numeri che, ironia della sorte, la vedono dietro alla sola Microsoft, azienda che forse più di ogni altra è stata danneggiata, anche impropriamente, dal bug che ha causato l’arresto con schermata blu di Windows (40,2% market share, 5,49 miliardi ricavi nel 2023).
Al terzo posto, secondo i dati riportati da Gartner, figura invece Trellix (6,6% market share, 906 milioni ricavi 2023). Nella top ten figurano, tra gli altri, anche Trend Micro e Sophos.
Crowdstrike e crash informatico, cosa è successo, come intervenire
Crash informatico. I clienti lasceranno Crowdstrike? Gli analisti si dividono tra tolleranza zero e nulla di fatto. Il precedente di Okta.
Per comprendere cosa succederà a Crowdstrike nelle prossime settimane e alla scadenza degli attuali accordi con i clienti, l’autorevole media americano Techcrunch ha coinvolto una serie di analisti per ottenere un parere utile a comprendere quali siano effettivamente i rischi per la società con sede a Austin (Texas, USA).
Gartner
Secondo Eric Grenier (Gartner): “Ci saranno alcune organizzazioni che adotteranno una tolleranza zero per quello che è successo, cercando soluzioni alternative”, tra cui vengono espressamente citate Microsoft e SentinelOne. Inoltre, Grenier fa notare come: “Ogni volta che il team di vendita di un concorrente si trova di fronte a un cliente di Crowdstrike potrebbe far notare le ragioni per cui scegliere il brand da lui rappresentato, tirando in ballo l’incidente e le sue ragioni. Per questo credo che CrowdStrike subisca perdite di affari nei prossimi periodi”.
IDC
Tuttavia, altri analisti non si dimostrano troppo preoccupati in merito alle sorti di CrowdStrike, nonostante il drammatico ritorno negativo derivante dall’incidente. È il caso di Mike Jude (IDC) che fa notare come, di fronte ad un’analisi lucida, i concorrenti di CrowdStrike affrontano i medesimi rischi, dovuti soprattutto alla rapidità con cui si è chiamati a rilasciare aggiornamenti di sicurezza: “Non credo – spiega Jude – che dovremmo pensare a una situazione di vittoria/sconfitta. A differenza di altri casi, non credo che troveremo molti concorrenti di CrowdStrike a festeggiare per questo incidente […] Penso che questa interruzione dimostri quanto siamo diventati dipendenti dalle soluzioni di sicurezza informatica“.
Constellation Research
Gli fa eco Chirag Metha (Constellation Research), che ritiene i competitor di CrowdStrike soltanto più fortunati in una circostanza che presenta continue situazioni di agguato: “Altri fornitori sono fortunati a non essere stati colpiti questa volta. Ora hanno l’opportunità di valutare la profondità della loro integrazione con i sistemi operativi. […] L’eccesso di fiducia può essere più che mai pericoloso“.
Goldman Sachs
Alcuni analisti di Goldman Sachs, nel contesto di una nota rilasciata agli investitori per suggerire come comportarsi, hanno precisato di non attendersi grandi cambiamenti nel mercato della endpoint security, nonostante la gravità dell’incidente causato da CrowdStrike, precisando inoltre come non si sia trattato di un problema di sicurezza e che l’atteggiamento corretto e trasparente nella comunicazione assunto da Kurtz nell’affrontare la crisi contribuirà a mantenere un buon livello di fiducia da parte dei clienti colpiti dall’incidente.
Secondo Goldman Sachs, il nocciolo della questione sarebbe un altro: “In un certo senso, crediamo che questo downtime rafforzerà la barriera all’ingresso nel settore e la necessità di protocolli di aggiornamento e servizio clienti migliori“. Un problema che non riguarderebbe dunque soltanto CrowdStrike.
Moody’s Ratings
Raj Joshi, senior VP di Moody’s Ratings, ha inoltre citato un precedente, relativo ad una violazione subita da Okta a fine 2023, a causa di una vulnerabilità di un suo sistema IAM (Identity and Access Management). Dopo una serie di auditing approfonditi, per verificare il livello di risposta all’incidente di sicurezza informatico, pochissimi clienti hanno deciso di rinunciare ai sistemi di Okta. Come molti suoi colleghi, anche Joshi ribadisce come: “Questo incidente mette certamente in discussione le procedure di ingegneria del software di CrowdStrike, ma sottolinea anche le crescenti vulnerabilità nell’infrastruttura cloud a livello globale“.
Crash informatico. Microsoft accusa la UE per aver reso obbligatoria la disponibilità delle API di Windows (2009), creando problemi di sicurezza
Nelle ore successive all’incidente, Microsoft ha rilasciato al Wall Street Journal una nota che riporta come nel 2009 la UE, per favorire una maggior interoperabilità, abbia obbligato il rispetto della seguente clausola di accordo:
Microsoft garantirà costantemente e in modo tempestivo che le API del sistema operativo Windows Client PC e del sistema operativo Windows Server richiamate dai prodotti software di sicurezza Microsoft siano documentate e disponibili per l’uso da parte di prodotti software di sicurezza di terze parti eseguibili nel sistema operativo Windows Client PC e/o nel sistema operativo Windows Server.
Secondo Microsoft, questa condizione avrebbe permesso a sviluppatori come CrowdStrike un livello di integrazione talmente profondo da mettere a rischio la stabilità del sistema operativo stesso, al verificarsi di un guasto anche banale, come accaduto nel caso del bug al driver del Falcon Sensor.
Secondo le intenzioni del legislatore europeo, la misura era utile a garantire che i provider di sicurezza di terze parti potessero sviluppare nelle stesse condizioni di Microsoft, per garantire una maggior concorrenza tecnologica, nell’interesse del consumatore. Windows non è infatti l’unico sistema operativo che consente ai software di terze parti di interagire ad un livello così basso da mandare in crash il kernel.
La nota sigla l’ennesimo capitolo di un braccio di ferro infinito tra le big tech e la UE, negli stessi giorni in cui Apple ha deciso di non rilasciare Apple Intelligence in prossimità dell’uscita delle nuove versioni dei suoi sistemi operativi, attesa per l’autunno, per via delle imposizioni del DMA (Digital Market Act), penalizzando di per sé i consumatori europei.