CrowdStrike i l’efecte papallona
- Pau Vila
- BARCELONA. Dimarts, 23 de juliol de 2024. 05:30
- Actualitzat: Dimarts, 23 de juliol de 2024. 10:06
- Temps de lectura: 3 minuts
En la teoria del caos, una de les aportacions més conegudes és l’anomenat efecte papallona. Segons aquest fenomen, un petit canvi en un context d’equilibri sensible pot crear un efecte de bola de neu que generi conseqüències sobre geografies o sectors que poc o res tenen a veure amb l’origen del desequilibri. L’efecte papallona és un gran exemple per recordar la fragilitat del món que ens envolta: ho vam viure durant la pandèmia del Coronavirus, quan una intoxicació alimentària per un pangolí infectat en un mercat de Wuhan va acabar provocant el major xoc sanitari, social i econòmic de les darreres dècades. També amb la invasió d’Ucraïna per part de Rússia: una escalada diplomàtica entorn de determinats territoris com Crimea, que la majoria de nosaltres no hauria sabut ubicar en un mapa ni considerava rellevants en cap dimensió, va acabar afegint un zero al darrere de les nostres factures de gas i electricitat.
El passat divendres vam viure un nou recordatori d’aquesta fragilitat. Un programador de l’empresa de seguretat informàtica nord-americana CrowdStrike va equivocar-se en el codi d’una actualització: en el llenguatge de programació utilitzat per aquest antivirus, anomenat ‘C’, quan es vol llegir un determinat contingut gravat a la memòria de l’ordinador cal comprovar primer que aquella direcció no estigui buida. Si la direcció està buida, el sistema no sap resoldre-ho i col·lapsa: no em pots demanar que accedeixi a una adreça que no existeix, on hi ha el no-res. Aquesta limitació del llenguatge C és ben coneguda, i s’explica a la primera classe de primer curs de programació. Però tots som susceptibles de cometre un error humà. Per raons que caldrà dirimir al llarg de les properes setmanes, aquest error de programació humà no va ser supervisat per ningú més, ni es va testejar a petita escala: l’actualització defectuosa es va propagar directament a tots els dispositius, amb la poca fortuna que els clients de CrowdStrike són, en gran mesura, indústries d’infraestructura crítica: aeroports, defensa, borses, institucions bancàries i mèdiques… així doncs, el caos estava servit.
A mesura que les nostres societats s'han anat globalitzant, els riscos que abans haurien afectat un país, ara també són globals
L’impacte econòmic, social i operatiu del que va passar divendres és extens. Milers de vols cancel·lats a diversos països d’arreu del món —entre els quals els operats per Aena, que va haver de fer els embarcaments i facturació de passatgers amb una llibreta i un bolígraf. La borsa de Londres no podia actualitzar el valor de les cotitzacions, el telèfon de CatSalut 061 no podia atendre trucades, la televisió Sky News va perdre el senyal d’emissió… Algunes geografies, com Austràlia, estaven tan exposades a aquest sistema de seguretat sobre infraestructures crítiques que van acabar convocant el gabinet d’emergència del govern per valorar si calia activar algun protocol de crisi d’estat.
La gravetat de les conseqüències fa difícil pensar que el gegant de seguretat informàtica CrowdStrike pugui superar aquesta relliscada —les accions de l’empresa auguren un col·lapse absolut a l’obertura del mercat el proper dilluns, i la seva desaparició a partir d’aquests fets no seria cap exageració. No hi ajuda que el director general tingui un passat professional com a director tècnic de l’antivirus McAffee entre els anys 2007 i 2011, període en el qual hi va haver un gravíssim incident amb reminiscències al que ha passat ara.
La volatilitat actual només es pot afrontar amb valentia i pragmatisme, assumint que som vulnerables a que una organització caigui d’un dia a un altre
Com dèiem, no estem davant de la primera materialització d’un risc que ni tan sols havíem contemplat. Amb major o menor gravetat, duem un ritme gairebé d’incident anual: el Coronavirus, Rússia i el Nord Stream, la situació de CrowdStrike… Són escenaris absolutament exògens, que depenen de tercers; també imprevisibles, pels quals no té sentit que ens preparem o tractem d’anticipar perquè ni tan sols imaginàvem que serien possibles. Aquesta dinàmica no és casual: a mesura que les nostres societats han evolucionat en el procés de globalització i integració dels fluxos comercials, però també intel·lectuals i de serveis (per exemple, d’estratègia de seguretat informàtica, com hem vist ara), posem en comú els riscos que fa unes dècades haurien causat un maldecap intern d’un determinat país, ara a nivell global.
Aquest context ens hauria de fer reflexionar sobre l'actitud de les nostres organitzacions i institucions sobre la gestió de riscos: té sentit fer microgestió de riscos, dedicant temps i recursos a lligar petites exposicions econòmiques de desenes de milers d’euros amb garanties i avals? Té sentit mirar amb lupa els comptes empresarials per intentar fer una projecció acurada del pla de negoci, quan aquests comptes poden saltar pels aires la propera vegada que una papallona mogui les ales a l’altra punta del món? La volatilitat del nostre present només es pot afrontar amb valentia i pragmatisme, assumint que efectivament som vulnerables al fet que una organització caigui d’un dia a un altre per un esdeveniment exogen i imprevisible, i que aspirar a una previsibilitat detallada del que passarà a les nostres organitzacions forma part d’una altra època.