Incident CrowdStrike u 2024. pogodio je Veliku Britaniju poput uragana. Dok se prebacio po zemlji, prisiljavao je letove za mirovinu, prisilno bolnice da otkaže operacije i srušili računarske sisteme i web stranice stotinama poduzeća.
Od početka 1970-ih bilo je moguće predvidjeti štetu koja će vjerovatno biti uzrokovana uraganima pomoću ljestvice vjetra u pet tačaka.
Kategorija Jedan uragani mogu oštetiti krovove ili razbiti grane na drveću, a na drugom kraju ljestvice, mjesecima moglo bi ostaviti djelatnost petice u kategoriji pet godina.
Nema takvog načina da se razorni utjecaj cyber događaji poput ažuriranja CrowdStrike-a iznijeli Windows Computers Worldwide u julu 2024. godine – ali to je postavljeno na promjenu, kao inicijativa u toku ove godine za procjenu štete uzrokovane velikim cyber napadima na skali od pet bodova.
Cyber monitoring centar (CMC), prva organizacija njegove vrste osnovana je osiguravajuća industrija kao organizacija dužine oružja za procjenu utjecaja ozbiljnih cyber napada koji imaju sistemske implikacije na infrastrukturu i usluge Velike Britanije. Cilj mu je olakšati preduzećima kupiti cyber osiguranje, a tačno znati šta će biti pokriveno i šta neće.
Mnogo je načina za procjenu utjecaja cyber događaja. Moglo bi se mjeriti u gubitku života kroz otkazane bolničke operacije, poremećaju uzrokovane curenjem osobnih podataka o ljudima na internetu ili strateškim implikacijama gubitka klasificiranih vladinih podataka u neprijateljsku državu.
CMC će se fokusirati na samo jedan: ekonomski uticaj. Centar je imenovao tehnički odbor eminentnih stručnjaka za dodjeljivanje cyber događajima na skali od pet bodova u rasponu od poremećaja malih poremećaja koji su utjecali na stotine ljudi na katastrofalne napade koji utječu na stotine hiljada. Uticaji oštećenja raspon se raspona od manje od 100 miliona funti za kategoriju jedan događaj na više od 5 milijardi funti za kategoriju pet.
Centar planira nadgledati izvještaje za štampu i izvještaje poslovnih organizacija za identificiranje značajnih cyber napada s više žrtava. Ima partnerstva s pružateljima podataka za pružanje statistika o otkaziranim letovima i poremećajima datacentru i radi s NHS-om za prikupljanje podataka o otkazanim operacijama i bolničkim postupcima. Takođe ima pristup savetu pravnih stručnjaka i stručnjaka za cyber bezbednost koji odgovaraju na incidente, kako bi se pomoglo u izgradnji finansijskih modela svakog značajnog cyber događaja. Modeli su pregledani i testirani na stres. Konačno kaže da ide CMC-ovom tehničkom odboru
Centar ima za cilj proizvesti izvještaj o utjecaju u roku od 30 dana od cyber događaja koji će se fokusirati na neposredne financijske gubitke. Neće uzeti u obzir dugoročne gubitke uzrokovane, na primjer, rizik od parnica ili drugih odgođenih efekata.
Šta se računa kao cyber rat i ko odlučuje?
Cilj CMC-a je olakšati da kompanije kupuju cyber osiguranje i znaju kakvu veličinu cyber događaja na ljestvici pet bodova, mogu očekivati da će biti prekriveni, rekao je Ed Lewis, režiser i osnivač Centra i Centra Savjetodavni servis za rizik Cyxcel.
Industrija osiguranja dugo se borila sa osiguravanjem cyber rizika. Povratak 2022. godine, Lloyds iz Londona izdao je bilten koji se navodi isključenje “cyber ratnih incidenata” iz pokrića cyber osiguranja. Ali ko bi odlučio da li je cyber napad bio ratovan akcija neprijateljskog stanja? Vlada ili osiguravatelji?
Dodajte u to, složene klauzule za isključenje koje je razvila Londonsko tržište za cyber osiguranje, a to je bio “advokat”, rekao je Lewis.
Postalo je jasno da je ono što je bilo važno većina nije bila koja je zemlja bila odgovorna za čin cyber ratovanja, već obimu i ozbiljnosti napada. Ako je cyber napad imao digitalne otiske prstiju kako bi pokazali da je bio usmjeren protiv više ciljeva, imao je oznake “sistemskog napada”.
Neki osiguratelji, posebno oni koji osiguravaju više malih i srednjih preduzeća, ne pokrivaju sistemske rizike. To je da se izbjegne veliki gubici ako se više klijenata pogodi isti katastrofalni incident. Međutim, preduzeća mogu dobiti osiguranje za zaštitu od sistemskih rizika od drugih specijalističkih osiguravatelja.
Tokom ljeta 2022. godine, Lewis je otišao sa timom pravnika iz svoje firme, utega, radeći sa osiguravateljem CFC-om, u Francusku šest tjedana da se prepusti rješenje. Oni su se pojavili sa idejom da se kreiraju kompaniju ograničena garancijom da djeluju kao nezavisni centar stručnosti na sistemskim cyber napadima.
Tim je proveo prvu polovinu 2023. godine razvijajući metodologiju za procjenu financijskog utjecaja cyber napada na petoč.
Najčešće govore o cyber napadama nisu najkomičniji
Centar je pregledao tri cyber napada u suđenju 2024. godine, a rezultati su bili iznenađujući. Neki od najviše govornih cyber napada nisu nužno bili najteža ekonomije u Velikoj Britaniji.
Uzmite napad na uslugu prijenosa datoteke, pomaknite se, u maju 2023. godine. Na to je pogodilo preko 2.000 organizacija i izložio lične podatke od oko 64 miliona ljudi.
Iako je generirao naslove širom svijeta i očarao pažnju zajednice cyber sigurnosti, ekonomski utjecaj napada na potezanje na Veliku Britaniju bio je kao “blizu zanemarivog”, jer je moguće doseći u CMC-ovu skalu “uragan”.
U junu 2024. godine, još jedna grupa za preskoroma na patološkom laboratoriju Synovis, koja procesuira testove krvi za NHS organizacije u Londonu. Napad je doveo do velikih poremećaja za GP operacije i NHS povjerenja, što dovodi do kašnjenja u medicinskim procedurama, otkazanim sastancima i nedostatkom krvnih zaliha.
Uprkos privlačenju masovnog interesa, CMC je procijenio ekonomski uticaj kao relativno nizak, između 100 miliona funti i 1 mirn, sa manje od 0,1% pogođenog stanovništva. To je osvojilo ocjenu kategorije dvije na skali od pet bodova.
Neuspjeh ažuriranja za sigurnosni softver CrowDStrikea u julu izazvao je poremećaj širom svijeta na Windows računaru, ali nakon početnog rafala presvlake, nije uspio uhvatiti kontinuirani interes u javnosti. Međutim, CMC-ovi stručnjaci su ocijenili CrowDStrike kao kategoriju tri incidenta – značajno su učinkovniji od pomeranja i sinnova.
Potreba za povjerenjem i neovisnošću
Procjene CMC-a možda nisu nepogrešivi, ali dolaze s jasnom metodologijom i koriste podatke za informiranje o odlukama tehničkog odbora, a sve će biti objavljeno i otvoreno za javni nadzor.
Ideja je da će se centar postupiti vrlo kao neovisan arbitar. Kompanije koje nude osiguranje i onih kupoprodajnih osiguranja moći će se pristati na njegovu odluku u bilo kojem sporu nad osiguranjem.
To znači da će Centar morati biti viđen kao potpuno neovisan o osiguravajućoj industriji i vladi i da će to morati izgraditi ugled za pouzdane odluke ako treba biti uspješan.
Trenutni planovi Centra trebaju pokrenuti sredstva putem članarina, a organizacija se nadaju privlačenju članova iz širokog spektra industrije, profesionalne usluge, proizvodnje i maloprodaju i osiguravatelja. Međutim, Lewis je naglasio da osiguravatelji i vlast neće imati utjecaja na CMC procjene.
“Ono što smo vrlo jasno je da rad Tehničkog odbora mora biti neovisan o vladi i neovisno o osiguravateljima”, rekao je. “Oni moraju biti onoliko koliko je praktično moguće, izvan potencijala za impaćanje.”
CMC može utjecati na vladinu politiku
Rad CMC-a vjerovatno će utjecati na smjer vladine politike nad cyber rizicima. Mnogo se nadaju da će pomoći u prebacivanju ravnoteže regulacije od proučavanja policijskih podataka na policiju cyber neuspjeha koji rezultiraju gubitkom esencijalnih usluga.
“To je takva slična ilustracija točke da je morao zaustaviti čitav nacionalni zdravstveni sistem, uključujući kršenje obaveza, već gubitak male količine medicinskih podataka [was considered a breach]”” Rekao je kompjuterskom nedelju.
To bi se moglo promijeniti u Velikoj Britaniji ako naplata cyber sigurnosti i otpornosti prolazi kroz parlament kako se očekivalo. Uvodi obveze za organizacije za održavanje kritičnih usluga i mogle bi dovesti do obaveznog izvještavanja o napadama za ransomware.
“Ne kažem:” Otkaćimo regulaciju podataka i namećemo obveze za brisanje usluga na malim frizerskim salonima “, ali kažem:” Razmislimo o tome pažljivo “,” rekao je Martin.
Ako date žrtvu izbor između dvije loše situacije – jedan je gubitak kritičnih zdravstvenih usluga, a drugi je gubitak njihovih ličnih podataka, većina ljudi bi se odlučila za gubitak ličnih podataka, a ne da je izgubila pristup medicinskoj njezi, a ne da je izbacila pristup medicinskoj nezi, dodao je.
Lewis se slaže. “Čini se da postoji nesrazmjeran fokus na cyber incidente koji uključuju i prekršaj podataka”, rekao je. “Mislim da je verovatno fer za reći da postoji prilično kritika Ureda za informacije komesara i kako su te ovlasti korištene u poslednjim vremenima.”
Treba se boriti sa “žrtvom stigmom”
Nada se da CMC može ukloniti ono što on naziva “žrtvom Stigma”, gdje se od straha od lošeg publiciteta ili parnice može dovesti do organizacija koje su pogođene cyber napadima da se odluče za tajne, a ne o otvorenosti.
Postoje znakovi da se to već događa. Britanska biblioteka, koja se suočila sa velikim poremećajem nakon napada bande Rhysidi Ransomware, objavila je sveobuhvatni izveštaj naučene lekcije koji je bio široko aplaudiran u zajednici cyber bezbednosti.
Federacija Harrisa, mreža škola u Londonu i jugoistočnoj istoku koja je izgubila e-poštu i telefon nakon napada za otkucaje 2021. godine, razgovarala je o svom iskustvu u nizu podcasta kako bi pomogli drugima da poboljšaju svoju sopstvenu cyber otpornost.
Za Martin, glavni cilj CMC-a je pružiti bolje funkcionalno tržište osiguranja i bolju odredbu za kompanije koje žele osigurati u cyber napadima.
Želio bi vidjeti CMC-a s vremenom dobiva vjerodostojnost kao izvor činjeničnih informacija za akademske, vladine i industrijske radove.
A ako CMC radi svoj posao, rekao je, mediji će moći dobiti bolju ručku na ono što su cyber incidenti ozbiljni i šta će vjerovatno imati manji ekonomski utjecaj.