Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Microsoft Hariç 500 Büyük ABD Şirketinin 5,4 Milyar Dolarlık Zarar Tahmini
Mathew J. Schwartz (euroinfosec) •
25 Temmuz 2024
Windows sistemlerini çökerten hatalı bir CrowdStrike yazılım güncellemesinin neden olduğu küresel kesintiler sonucunda, ABD’de doğrudan en büyük kayıpların sağlık ve bankacılık sektörlerinde yaşanması bekleniyor.
Ayrıca bakınız: Splunk, SIEM için Gartner® Magic Quadrant™’da 10 Kez Lider Olarak Adlandırıldı
Bulut kesintisi risk modellemesi ve taahhüt ajansı Parametrix Solutions’ın analizi, en kârlı 500 ABD halka açık şirketinin 125’inin kesintiler yaşadığını ve toplu olarak 5,4 milyar dolar doğrudan kayıp göreceğini tahmin ediyor. Bu tahmin, Microsoft’un sorunu gidermeye yardımcı olması sonucunda yaşayabileceği doğrudan kayıpları içermiyor.
Parametrix, Fortune 500 şirketlerinin yaklaşık yarısının CrowdStrike’ın Falcon uç nokta tespit ve yanıt yazılımını kullandığını, ancak bunların yalnızca dörtte birinin ciddi kesintiler yaşadığını söyledi.
Parametrix Solutions, kayıpların ağırlıklı ortalamasının, bir üretim firması için 6 milyon dolardan bir havayolu için 143 milyon dolara kadar sektöre göre değiştiğini söyledi. Sağlık firmaları için toplam kayıpların tahmini 1,9 milyar dolara, bankacılık firmaları içinse 1,1 milyar dolara ulaşacağı tahmin ediliyor. Şirket, “Bu sektörlerdeki şirketler kaybın %57’sini üstleniyor ancak olayın iş sektörleri üzerindeki eşitsiz etkisi nedeniyle Fortune 500 gelirlerinin yalnızca %20’sini oluşturuyor” dedi.
Fortune 500 listesinde yer alan altı halka açık havayolunun tahmini zararı 860 milyon dolara ulaşacak ve bu da şirketlerin toplam yıllık gelirinin (187,1 milyar dolar) %0,46’sına denk geliyor.
Rusya’nın 2018’deki NotPetya kötü amaçlı yazılım saldırısının neden olduğu küresel kesintinin maliyetinin 10 milyar dolar olduğu tahmin ediliyor.
Sadece Kısmi Sigorta Kapsamı
Parametrix, siber sigorta poliçelerinin kayıpların ancak küçük bir kısmını, hatta belki %10 veya %20’sini karşılayacağını, bunun “birçok şirketin yüksek risk tutma oranları ve potansiyel kesinti kayıplarına kıyasla düşük poliçe limitleri” nedeniyle olduğunu söyledi.
Hukuk uzmanları, kesintiler nedeniyle sigorta tazminatına ilişkin anlaşmazlıklarla ilgili davaların mahkemelerde sonuçlanmasının yıllar alabileceğini söylüyor.
Parametrix’in kurucu ortağı ve CEO’su Jonathan Hatzor, S&P Global’e yaptığı açıklamada, siber sigortacılar için kayıpların yine de “büyük bir kayba” neden olacağını söyledi.
Hatzor, iş kesintileri söz konusu olduğunda “finansal kaybı kanıtlamanın oldukça zor olduğunu ve gerçekten toparlanıp toparlanamayacağınızı görmenin zaman aldığını” söyledi ve UnitedHealth Group’un Change Healthcare birimine yönelik Şubat ayında gerçekleşen ve büyük bir kesintiye neden olan fidye yazılımı saldırısıyla ilgili taleplerin sigorta şirketlerine ancak şimdi iletilmeye başlandığını sözlerine ekledi.
Tam ‘Kök Neden Analizi’ Sözü Verildi
Microsoft Cumartesi günü 8,5 milyon Windows ana bilgisayarının hatalı güncellemeden etkilenmiş gibi göründüğünü söyledi. Bazı sistemler yeniden başlatılarak kurtarılabilirken, birçoğu BT ekipleri tarafından elle müdahale gerektiriyor. Hem Microsoft hem de CrowdStrike yardımcı olmak için ücretsiz yardımcı programlar yayınladı.
BT varlık yönetimi izleme platformu Sevco Security, Çarşamba günü itibarıyla müşteri tabanındaki hizmetlerin %95 oranında geri yüklendiğini bildirdi. Bu oran Pazartesi günkü %93’ten fazlaydı. Bu da toplamda yaklaşık 425.000 sistemin hala onarılması gerektiği anlamına geliyor.
Sevco Security CEO’su JJ Guy, LinkedIn’e yaptığı paylaşımda, “Yavaş ilerleme, sıkıcı, manuel iyileştirme prosedürlerini açıkça yansıtıyor” dedi.
CrowdStrike, kesintiye ilişkin tam bir “kök neden analizi” yayınlama sözü verdi. Satıcı Salı günü bir ön rapor yayınlayarak kesintinin, mevcut test prosedürlerinin düzgün bir şekilde teşhis edemediği hatalı bir güncellemeye dayandığını söyledi. Güncelleme, Falcon EDR yazılımını çalıştıran Windows PC’leri, sunucuları ve sanal sunucuları çökerterek, bunları Windows “mavi ölüm ekranı” ve yeniden başlatma döngüsüne mahkum etti (bkz: CrowdStrike, Microsoft Kesintisi Büyük Dayanıklılık Sorunlarını Ortaya Çıkardı).
Şirket ayrıca yapmayı planladığı bir dizi test, izleme ve yazılım dağıtımı iyileştirmesini de ayrıntılı olarak açıkladı.
Kesintinin CrowdStrike için uzun vadede nasıl bir etki yaratacağı henüz bilinmiyor; müşteri çekme veya elde tutma açısından ya da şirketin hisse senedi fiyatının değeri açısından (bkz: CrowdStrike’ın Kesintiye Yanıtı İş Kaybını En Aza İndirecek).
Kesintiden önce şirketin değeri yaklaşık 83 milyar dolar olarak hesaplanmıştı ve internet sitesinde Fortune 1000 şirketlerinden 538’iyle çalıştığı belirtiliyordu.
CrowdStrike Pazartesi günü ABD Menkul Kıymetler ve Borsa Komisyonu’na yaptığı Form 8-K başvurusunda, “Etkilenen müşterilerimizle sistemlerini tamamen eski haline getirmek için çalışmaya devam ediyoruz,” dedi. “Bu gelişen bir durum. Olayın işimiz ve operasyonlarımız üzerindeki etkisini değerlendirmeye devam ediyoruz.”
ABD Temsilciler Meclisi İç Güvenlik Komitesi’ndeki Cumhuriyetçi üyeler, pazartesi günü CrowdStrike CEO’su George Kurtz’a bir mektup göndererek, 48 saat içinde Siber Güvenlik ve Altyapı Koruma Alt Komitesi’nde ifade vermek üzere bir tarih belirlemesini talep etti.
“CrowdStrike’ın yanıtını ve paydaşlarla koordinasyonunu takdir ederken, bazılarının tarihin en büyük BT kesintisi olduğunu iddia ettiği bu olayın büyüklüğünü göz ardı edemeyiz,” Başkan Mark Green, R-Tenn. ve komite üyesi Andrew Garbarino, RN.Y., mektupta şunları söyledi. “Bir günden kısa bir sürede havacılık, sağlık, bankacılık, medya ve acil servisler de dahil olmak üzere küresel ekonominin temel işlevlerinde büyük etkiler gördük.”
Ayrı olarak, Temsilci Ritchie Torres, DNY, ABD İç Güvenlik Bakanlığı’nı kesintiyi araştırmaya çağırdı, Politico bildirdi. Pazartesi günü, ABD Siber Güvenlik İnceleme Kurulu’nu kanunlaştırmak için yasa teklifi sunacağına söz verdi ve The Hill’e, yasanın “hiçbir gelecekteki başkanlık yönetiminin bunu ortadan kaldıramayacağını” garantileyeceğini söyledi.
Austin, Teksas merkezli uç nokta güvenlik devinin sözcüsü Information Security Media Group’a “CrowdStrike ilgili kongre komiteleriyle aktif olarak iletişim halindedir” dedi. “Brifingler ve diğer katılım zaman çizelgeleri üyelerin takdirine bağlı olarak açıklanabilir.”