18 listopada br. znacząca część internetu przestała działać na kilka godzin. Powodem była poważna awaria w Cloudflare - jednym z najważniejszych, choć zazwyczaj niewidocznych elementów globalnej infrastruktury sieciowej. Problemy zgłaszali użytkownicy i firmy na całym świecie, a nieprawidłowości pojawiły się m.in. w serwisach X, ChatGPT, Spotify, Canvie, w części mediów internetowych oraz w usługach płatniczych. Eksperci ostrzegają, że podobne zdarzenia w przyszłości mogą stać się efektem celowych działań cyberprzestępców. Cloudflare obsługuje ok. jedną piątą światowego ruchu www i dostarcza kluczowe usługi: CDN, DNS, ochronę przed atakami DDoS, zarządzanie certyfikatami SSL/TLS oraz zaawansowane mechanizmy kontroli ruchu. Funkcjonuje jako wspólna warstwa, z której korzystają zarówno globalne platformy, jak i lokalni wydawcy, sklepy internetowe oraz aplikacje SaaS. Gdy firma potwierdziła na swojej stronie statusowej szeroko rozpowszechnione błędy 500, stało się jasne, że problem nie dotyczy jednego komponentu, lecz infrastruktury obsługującej miliony usług. W czasie prac naprawczych chwilowo wyłączono m.in. dostęp do usługi WARP w Londynie, co dodatkowo uderzyło w użytkowników korzystających z VPN. Według wstępnych informacji, źródłem incydentu był wewnętrzny błąd związany z nietypowym skokiem ruchu, który zaburzył trasowanie w sieci Cloudflare. Firma wdrożyła poprawki i stopniowo przywracała działanie swoich systemów, jednak podwyższony poziom błędów utrzymywał się przez długi czas. Skala skutków ponownie zwróciła uwagę na stopień centralizacji globalnej sieci - awaria pojedynczego dostawcy sparaliżowała jednocześnie cały ekosystem usług, z których korzystają setki milionów użytkowników. Jak podkreśla Wojciech Głażewski, dyrektor zarządzający Check Point Software Technologies w Polsce, tego typu zdarzenia uderzają w fundamentalną warstwę internetu: „Kiedy platforma tej skali się potyka, skutki rozchodzą się błyskawicznie, szeroko i wszyscy odczuwają je jednocześnie. To nie jest seria pojedynczych awarii po stronie organizacji, ale problem z jedną warstwą, z której wszyscy korzystają”. Rosnące ryzyko w świecie scentralizowanej infrastruktury Choć nic nie wskazuje na to, by listopadowa awaria była cyberatakiem, eksperci zwracają uwagę, że takie zdarzenia zawsze tworzą „okno chaosu”, które potrafią wykorzystać cyberprzestępcy. Nieprzewidziana przerwa w działaniu usług zwiększa podatność użytkowników oraz zespołów IT, które w pierwszej kolejności koncentrują się na przywracaniu dostępności. W takim momencie rośnie ryzyko ataków phishingowych - np. fałszywych powiadomień o blokadzie konta spowodowanej awarią - a także prób socjotechnicznych wymierzonych w helpdeski i administratorów. Wzmożony ruch sieciowy ułatwia również ukrycie nietypowych lub złośliwych działań. Obecne wydarzenia wpisują się w szerszy trend obserwowany już przy poprzednich problemach AWS czy Microsoft Azure. Współczesne firmy, państwa i użytkownicy w coraz większym stopniu polegają na niewielkiej grupie dostawców infrastruktury, a pojedynczy incydent po ich stronie potrafi na wiele godzin zatrzymać dziesiątki usług - od komunikacji, przez aplikacje AI, po systemy płatnicze. "Wiele organizacji wciąż prowadzi cały ruch jedną trasą, bez realnego planu awaryjnego. Gdy ta trasa zawodzi, nie ma dokąd przełączyć usług. To powtarzająca się słabość, którą ciągle obserwujemy" - mówi Wojciech Głażewski. Z biznesowego punktu widzenia koncentracja na jednym dużym dostawcy jest zwykle racjonalna: zapewnia niższe koszty, dostęp do zaawansowanych narzędzi bezpieczeństwa i wydajność, której mniejsze organizacje nie mogłyby osiągnąć samodzielnie. Jednocześnie skala staje się nowym punktem ryzyka - awaria jednej platformy może sparaliżować tysiące firm i instytucji jednocześnie, a przerwy odczuwają także użytkownicy końcowi, którzy widzą jedynie lakoniczny komunikat o błędzie. Zdaniem ekspertów takie zdarzenia pokazują, że globalna infrastruktura wymaga większej różnorodności oraz nadmiarowości. Dopóki dominować będą pojedyncze, ogromne platformy, każda awaria – niezależnie od tego, czy spowodowana błędem technicznym, czy działaniem cyberprzestępców - będzie uderzać w gospodarkę cyfrową mocniej, niż powinna.
