Łączna bezpośrednia strata finansowa, jaką poniosły firmy z listy Fortune 500 w wyniku 19 lipca awaria Microsoft – CrowdStrike ustalono na poziomie około 5,4 mld dolarów (4,18 mld funtów), przy średniej ważonej stracie 44 mln dolarów na organizację, która wzrośnie do blisko 150 mln dolarów w przypadku podmiotów najbardziej dotkniętych, takich jak linie lotnicze.
Tak twierdzi dostawca usług monitorowania, modelowania i ubezpieczeń w chmurze Parametriksw którym stwierdzono, iż w przypadku wielu organizacji z listy Fortune 500 wpływ będzie większy, ponieważ ich wysokie retencje ryzyka i niskie limity polisy w stosunku do potencjalnych strat oznaczają, iż część objęta polisy ubezpieczeniowe cybernetyczne nie wyniesie prawdopodobnie więcej niż 10% do 20% całkowitej straty.
Analiza Parametrix wykazała, iż największa bezpośrednia strata finansowa prawdopodobnie spadnie na sektor opieki zdrowotnej – spadek o 1,94 mld USD łącznie, a następnie na sektor bankowy – spadek o 1,15 mld USD. Stanowi to 57% całkowitej straty, ale tylko 20% przychodów Fortune 500 ze względu na nierównomierny wpływ wydarzenia.
Analitycy firmy stwierdzili na przykład, iż sektor produkcyjny, będący największym segmentem listy Fortune 500 pod względem przychodów, poniesie stosunkowo niewielką stratę w wysokości zaledwie 36 mln USD w porównaniu do rocznych przychodów w wysokości 3,4 bln USD w 130 organizacjach, podczas gdy sześć linii lotniczych uwzględnionych na liście straci 860 mln USD przy całkowitych przychodach w wysokości 187,1 mld USD.
Parametrix powiedział, iż około jedna czwarta organizacji z listy Fortune 500 została dotknięta incydentem, spowodowanym błędem kodowania w aktualizacji CrowdStrike, który wrzucił komputery w pętlę rozruchową i spowodował awarię systemów. Dotyczy to wszystkich sześciu linii lotniczych z listy Fortune 500 i 43% sprzedawców detalicznych. Tymczasem trzy czwarte firm z branży ochrony zdrowia i bankowości poniesie bezpośrednie koszty.
„Nasza analiza awarii CrowdStrike pokazuje nie tylko możliwy rozmiar systemowej cyberstraty, ale także jej granice” — powiedział Jonatan Hatzor, współzałożyciel i dyrektor generalny Parametrix.
„Mówi nam więcej o sposobach, w jakie ubezpieczyciele i reasekuratorzy mogą dywersyfikować swoje portfele ryzyka cybernetycznego, aby zminimalizować potencjalny wpływ systemowego ryzyka cybernetycznego.
„Jednakże” – ostrzegał Hatzor – „nasza analiza nie pokazuje całego obrazu dywersyfikacji. Cyberubezpieczyciel skoncentrowany na bardzo dużych firmach z pewnością poniesie znacznie większą stratę CrowdStrike w stosunku do składki niż ten z dużym portfelem MŚP”.
Oprócz strat finansowych, przestój w świadczeniu kluczowych usług spowodował wyraźnie widoczną serię opóźnień operacyjnych w firmach z listy Fortune 500 i podmiotach z niższego szczebla łańcucha dostaw.
Firma Parametrix stwierdziła, iż w kontekście odzyskiwania systemów prawdopodobne jest, iż te branże, które przez cały czas w dużym stopniu polegają na komputerach fizycznych, będą musiały zmierzyć się z dłuższym czasem odzyskiwania, co przemawia na korzyść usług w chmurze.
Firma poinformowała, iż ogólny wpływ awarii stał się wyraźniejszy ze względu na wdrożenie rozwiązania CrowdStrike zarówno lokalnie, jak i w środowiskach chmurowych.
Na tej podstawie firma prognozuje, iż ubezpieczyciele cybernetyczni niekoniecznie powinni opierać się wyłącznie na zdarzeniach przy modelowaniu przyszłych awarii w chmurze, ale mogą starać się lepiej zarządzać ryzykiem systemowych przerw w działaniu poprzez dywersyfikację między sektorami przemysłu, dostawcami usług i wielkością firm.
„Zapobieganie jest ważne, ale przewoźnicy ryzyka mają ograniczoną kontrolę nad przebiegiem zdarzeń i praktykami dostawców usług” – powiedział.
„Branża powinna skupić się na kontrolowanych obszarach, takich jak mapowanie i zarządzanie ryzykiem agregacji. Rozumiejąc te punkty, możemy ocenić najważniejsze narażenia i złagodzić zarówno złośliwe, jak i niezłośliwe zagrożenia. To proaktywne podejście umożliwia lepsze decyzje dotyczące ubezpieczeń i skuteczne rozwiązania transferu ryzyka w celu zarządzania ryzykiem systemowym”.
Pojedynczy punkt awarii
W szerszym ujęciu Hatzor powtórzył obawy, które już podzielali inni obserwatorzy w następstwie globalnej awarii – mianowicie powszechność ściśle powiązanych rozwiązań technologicznych, które stwarzają ryzyko tworzenie pojedynczych punktów awarii.
„W dzisiejszym cyfrowym krajobrazie wiele firm w dużym stopniu polega na zintegrowanych systemach i usługach, które, choć wydajne, mogą również sprawić, iż będą podatne na ataki. Gdy krytyczny komponent w ściśle powiązanym rozwiązaniu ulegnie przestojowi lub awarii, może to wywołać kaskadę zakłóceń w całym systemie” – powiedział.
„Ta współzależność oznacza, iż awaria w jednym obszarze może prowadzić do poważnych zakłóceń operacyjnych, wpływając na wszystko, od obsługi klienta po zarządzanie danymi i transakcje finansowe”.
Hatzor podniósł dalsze obawy, iż zarówno regulatorzy, jak i cyberubezpieczenia nie są naprawdę przygotowani do radzenia sobie ze złożonością i ryzykiem takich systemów. Jak to często bywa, zauważył, szybka ewolucja technologii wyprzedziła rozwój ram regulacyjnych i modeli oceny ryzyka, co naraża przedsiębiorstwa na luki w zakresie ubezpieczenia lub wsparcia regulacyjnego, gdy dochodzi do najgorszego.
„Ten brak przygotowania może pogorszyć skutki… narażając firmy na dłuższe przestoje i straty finansowe” – powiedział.