Incydent Crowdstrike w 2024 roku trafił do Wielkiej Brytanii jak huragan. Gdy przetoczył się po całym kraju, przelewa się do zatrzymania, zmusiło szpitale do anulowania operacji i sprowadzili systemy komputerowe i strony internetowe setek firm.
Od wczesnych lat siedemdziesiątych możliwe było przewidzenie szkód, które mogą być spowodowane przez huragany dzięki Pięciopunktowa skala wiatru.
Kategoria pierwsza huragany mogą uszkodzić dachy lub łamać gałęzie na drzewach, a na drugim końcu skali kategoria Huragan piąty może pozostawić obszary niezniszczalne przez miesiące.
Nie ma takiego sposobu kategoryzacji destrukcyjnego wpływu cyberprzestrzeni, takich jak aktualizacja Crowdstrike, która sprowadziła komputery Windows na całym świecie w lipcu 2024 r. – ale to się zmieni, ponieważ w tym roku rozpocznie się inicjatywa, aby ocenić szkody spowodowane poważnymi atakami cybernetycznymi w inspirowanej huraganem pięciopunktowym skali.
. Centrum monitorowania cybernetycznego (CMC), pierwsza tego typu organizacja, została utworzona przez przemysł ubezpieczeniowy jako organizacja o długości broni w celu oceny wpływu poważnych cyberataków, które mają systemowe implikacje dla infrastruktury i usług w Wielkiej Brytanii. Ma na celu ułatwienie firmom zakupu cyberbezpieczeństwa i wiedza dokładnie, co zostanie objęte ubezpieczeniem, a co nie.
Istnieje wiele sposobów oceny wpływu zdarzenia cybernetycznego. Można to zmierzyć w trakcie utraty życia poprzez anulowane operacje szpitalne, zakłócenia spowodowane przeciekami osób osobowych ludzi w Internecie lub strategicznych implikacji utraty informacji o niejawności rządowej w wrogim państwie narodowym.
CMC skupi się tylko na jednym: na wpływie ekonomicznym. Centrum wyznaczyło komitet techniczny wybitnych ekspertów do przypisywania cyberprzestrzeni do pięciopunktowej skali, od zakłóceń na małą skalę wpływających na setki ludzi po katastrofalne ataki wpływające na setki tysięcy. Wpływ na szkody wahają się od mniej niż 100 mln GBP dla zdarzeń kategorii do ponad 5 mld GBP dla kategorii piątej.
Centrum planuje monitorować raporty prasowe i raporty organizacji biznesowych w celu zidentyfikowania znaczących cyberataków z wieloma ofiarami. Posiada partnerstwa z dostawcami danych w celu zapewnienia statystyk dotyczących anulowanych lotów i zakłóceń centrum danych oraz współpracuje z NHS w celu zebrania danych na temat anulowanych operacji i procedur szpitalnych. Ma również dostęp do porad ekspertów prawnych i specjalistów ds. Bezpieczeństwa cybernetycznego, którzy reagują na incydenty, aby pomóc w budowaniu modeli finansowych każdego znaczącego wydarzenia cybernetycznego. Modele są sprawdzane i przetestowane stresem. Ostatnie słów trafia do komitetu technicznego CMC
Centrum ma na celu Wydaj raport wpływu w ciągu 30 dni od wydarzenia cybernetycznego To koncentruje się na natychmiastowych stratach finansowych. Nie uwzględni to strat długoterminowych spowodowanych na przykład przez ryzyko postępowania sądowego lub innych opóźnionych efektów.
Co liczy się jako wojna cybernetyczna i kto decyduje?
Celem CMC jest ułatwienie firmom zakupu cyberbezpieczeństwa i wiedza o wielkości wydarzenia cybernetycznego w pięciopunktowej skali, na którą mogą się spodziewać, powiedział Ed Lewis, dyrektor i założyciel Centrum.
Branża ubezpieczeniowa od dawna walczy z tym, jak zapewnić cyber ryzyko. W 2022 r. Lloyds z Londynu wydał biuletyn, który nakazuje wykluczenie „incydentów cybernetycznych” z cyberbezpieczeństwa. Ale kto zdecydowałby, czy cyberatak był aktem wojny wrogiego państwa? Rząd czy ubezpieczyciele?
Dodaj do tego złożone klauzule wykluczające opracowane przez londyński rynek ubezpieczeń cybernetycznych i był to „marzenie prawnika”, powiedział Lewis.
Stało się jasne, iż najważniejsze nie było to, który kraj był odpowiedzialny za akt cybernetyki, ale skala i ciężkość ataku. jeżeli cyberatak miał cyfrowe odciski palców, aby pokazać, iż był on skierowany do wielu celów, miał cechy „ataku systemowego”.
Niektórzy ubezpieczyciele, szczególnie ci, którzy ubezpieczają wiele małych i średnich firm, nie obejmują ryzyka systemowego. To znaczy uniknąć dużych strat, jeżeli wielu klientów zostanie uderzonych tym samym katastrofalnym incydentem. Jednak firmy mogą uzyskać ochronę ubezpieczeniową w celu ochrony przed ryzykiem systemowym ze strony innych specjalistycznych ubezpieczycieli.
Latem 2022 r. Lewis poszedł z zespołem prawników ze swojej firmy, ciężarów, pracując z ubezpieczycielem CFC, do Francji przez sześć tygodni, aby wykluczyć rozwiązanie. Wpadli na pomysł stworzenia firmy ograniczonej przez gwarancję, iż będzie niezależne centrum wiedzy specjalistycznej w sprawie cyberataków systemowych.
Zespół wydał pierwszą połowę 2023 r. Opracowując metodologię oceny finansowego wpływu cyberataków na pięciopunktową skalę inspirowaną huraganem, aw październiku tego roku włączyła CMC jako spółkę ograniczoną gwarancją.
Najbardziej rozmawiane cyberataki nie są najbardziej szkodliwe
Centrum dokonało przeglądu trzech cyberataków w okresie próbnym w 2024 r., A wyniki były zaskakujące. Niektóre z najczęściej opowiadanych cyberataków niekoniecznie były najbardziej szkodliwe dla brytyjskiej gospodarki.
Weź atak na usługę przesyłania plików, MoveIt, w maju 2023. Wpłynęło to na ponad 2000 organizacji i ujawniło dane osobowe około 64 milionów ludzi.
Chociaż wygenerował nagłówki na całym świecie i urzekł uwagę społeczności cyberbezpieczeństwa, wpływ ekonomiczny ataku na przeprowadzkę na Wielką Brytanię był tak „bliski do znikomych”, jak możliwe jest dotarcie do skali „huraganu” CMC.
W czerwcu 2024 r., Kolejny grou ransomwareP uderzył Synnovis laboratorium patologiiktóry przetwarza badania krwi dla organizacji NHS w całym Londynie. Atak doprowadził do poważnych zakłóceń operacji GP i trustów NHS, co prowadzi do opóźnień w procedurach medycznych, anulowanych wizyt i niedoborów zapasów krwi.
Pomimo przyciągania masowych odsetek, CMC oceniło wpływ gospodarczy za stosunkowo niski, od 100 do 1 mld GBP, przy mniejszej niż 0,1% populacji. To zdobyło ocenę kategorii drugiej w pięciopunktowej skali.
Niepowodzenie aktualizacji Oprogramowanie bezpieczeństwa Crowdstrike W lipcu 2024 r. Spowodowało światowe zakłócenia komputerów z systemem Windows, ale po początkowej serii zasięgu prasowego nie uchwycił ciągłego zainteresowania opinii publicznej. Jednak eksperci CMC ocenili Crowdstrike jako incydent kategorii trzeciej – znacznie bardziej wpływowy niż Moveit i Synnovis.
Potrzeba zaufania i niezależności
Oceny CMC mogą nie być nieomylne, ale mają one jasną metodologię i wykorzystują dane do informowania o decyzjach komitetu technicznego, z których wszystkie zostaną opublikowane i otwarte na kontrolę publiczną.
Chodzi o to, iż centrum będzie działać bardzo podobnie do niezależnego arbitra. Firmy oferujące ubezpieczenie i osoby kupujące ubezpieczenie będą mogły zgodzić się na związanie decyzją w każdym sporze o ochronę ubezpieczeniową.
Oznacza to, iż centrum będzie musiało być postrzegane jako całkowicie niezależne od branży ubezpieczeniowej i rządu oraz iż będzie musiało zbudować reputację zaufanych decyzji, jeżeli ma się to udać.
Obecne plany centrum są zebranie funduszy poprzez opłaty członkowskie, a organizacja ma nadzieję przyciągnąć członków z szerokiej gamy branż, profesjonalnych usług, produkcji i detalicznych oraz ubezpieczycieli. Lewis podkreślił jednak, iż ubezpieczyciele i rząd nie będą miały wpływu na oceny CMC.
„Jesteśmy bardzo jasne, iż praca komitetu technicznego musi być niezależna od rządu i niezależna od ubezpieczycieli” – powiedział. „Muszą być tak daleko, jak to możliwe, poza potencjałem impeachmentu”.
CMC może wpłynąć na politykę rządową
Praca CMC prawdopodobnie wpłynie na kierunek polityki rządowej w zakresie cyber ryzyka. Wielu ma nadzieję, iż pomoże przenieść równowagę regulacji z wycieków danych policyjnych na awarie cybernetyczne, które powodują utratę niezbędnych usług.
Ciaran Martin cytował jako przykład atak grupy Conti Ransomware w irlandzkiej służbie zdrowiaktóre zakłóciły opiekę zdrowotną na miesiące w 2021 r.
Kiedy państwo irlandzkie odmówiło natychmiastowego zapłaty okupu, Grupa Conti Crime podniosła presję, uwalniając dane medyczne w Internecie. Dopiero w tym momencie dyrektor ds. Zdrowia w Irlandii był zobowiązany powiadomić organów regulacyjnych o incydencie.
„To tak wyraźna ilustracja tego, iż cały krajowy system opieki zdrowotnej, w tym operacje raka, musiał się zatrzymać, a to nie jest naruszenie obowiązków, ale utrata niewielkiej ilości danych medycznych [was considered a breach]- powiedział Computer co tydzień.
To może się zmienić w Wielkiej Brytanii, jeżeli Rachunek za bezpieczeństwo cybernetyczne i odporność przechodzi przez Parlament zgodnie z oczekiwaniami. Wprowadza obowiązki dla organizacji w celu utrzymania krytycznych usług i może prowadzić do obowiązkowego zgłaszania ataków ransomware.
„Nie mówię:„ Uchylmy regulację danych i narzućmy zamiatanie obowiązków usługowych na małe salony fryzjerskie ”, ale mówię:„ Pomyślmy o tym uważnie ” – powiedział Martin.
Dodał, iż jeżeli dasz ofiarę wybór między dwiema złymi sytuacjami – jeden to utrata krytycznych usług zdrowotnych, a drugą jest utrata ich danych osobowych, większość ludzi zdecydowałaby się na utratę danych osobowych niż utraty dostępu do opieki medycznej.
Lewis zgadza się. „Wydaje się, iż istnieje nieproporcjonalny nacisk na incydenty cybernetyczne, które obejmują również naruszenie danych” – powiedział. „Myślę, iż prawdopodobnie uczciwe jest powiedzieć, iż było sporo krytyki biura komisarza ds. Informacji i tego, jak te uprawnienia zostały wykorzystane w ostatnim czasie”.
Trzeba poradzić sobie z „piętnem ofiary”
Ma nadzieję, iż CMC może usunąć to, co nazywa „piętnem ofiary”, w którym strach przed złym rozgłosem lub sporem sądowym mogą prowadzić organizacje dotknięte cyberatakami, aby wybrać tajemnicę, a nie otwartość.
Są oznaki, iż tak się dzieje. Biblioteka Brytyjska, która stanęła w obliczu poważnych zakłóceń po ataku gangu Ransomware Rhysida, opublikowała Kompleksowy raport wycenionyktóry był powszechnie oklaskiwany w społeczności bezpieczeństwa cybernetycznego.
Federacja HarrisSieć szkół w Londynie i południowym wschodzie, która straciła e -mail i dostęp do telefonu po Atak ransomware w 2021mówił o swoich doświadczeniach w serii podcastów, aby pomóc innym w poprawie własnej cyberprzestępczości.
Dla Martina głównym celem CMC jest dostarczenie lepiej funkcjonującego rynku ubezpieczeniowego i lepszego przepisu dla firm, które chcą ubezpieczyć się od cyberataków.
Chciałby, aby CMC z czasem zyskuje wiarygodność jako źródło informacji faktycznych dla dokumentów akademickich, rządowych i branżowych.
A jeżeli CMC wykonuje swoją pracę, powiedział, iż media będą w stanie lepiej poradzić sobie z tym, jakie incydenty cybernetyczne są poważne i co może mieć niewielki wpływ ekonomiczny.
