CrowdStrike Kesinti Güncellemeleri, Siber Sigorta, Yönetim ve Risk Yönetimi
Moody’s Derecelendirmeleri, Taleplerin Çoğunun ‘Sistem Arızası’ Kapsamında Yapılacağını Söyledi
Mathew J. Schwartz (euroinfosec) •
29 Temmuz 2024
19 Temmuz’da hatalı bir CrowdStrike yazılım güncellemesinin tetiklediği küresel BT kesintisi, siber sigortacıların 1,5 milyar dolara kadar tazminat ödemesine yol açabilir.
Ayrıca bakınız: Fidye Yazılımı Yanıtı Temel: İlk Erişim Vektörünü Düzeltme
Bu, siber risk analitiği platformu CyberCube’un Perşembe günkü raporunda sigortacı kayıplarının 400 milyon ila 1,5 milyar dolar arasında değiştiğini söylemesiyle varılan sonuçtur. Bu rakamlar, bugün tutulan 15 milyar dolarlık küresel siber primlerin %3 ila %10’unu temsil etmektedir.
Son sigorta ödeme toplamının ortaya çıkması için zamana ihtiyaç olacak. Moody’s Reports Pazartesi günkü raporunda “Siber sigorta poliçesi dili standartlaştırılmadığı için sektör için son kayıpları belirlemek muhtemelen uzun bir süreç olacak” dedi. “Sigortacıların kesintiden hangi müşterilerin zarar gördüğünü ve bu zararların karşılanıp karşılanmadığını belirlemesi zaman alacak.”
Çoğu iddia, “siber olaylardan kaynaklanan kayıplara birincil katkıda bulunan iş kesintisi” nedeniyle oluşan kayıplara odaklanacak. “Bu kayıplar bir siber saldırıdan kaynaklanmadığı için, siber sigorta poliçeleri içinde standart kapsam haline gelen ‘sistem arızası’ kapsamı altında talepler yapılacak.” Ancak, bazı poliçelerin kötü amaçlı olmayan olayları hariç tutması veya tetiklenmeden önce belirli bir kayıp eşiğine ulaşması gerektiğinden, tüm sistem arızası kapsamlarının bu olay için geçerli olmayacağını söyledi.
Kesinti, aynı teknolojinin birden fazla kullanıcısını aynı anda etkisiz hale getirmesi nedeniyle bir tedarik zinciri saldırısına benziyordu. Bunlar arasında havayolları, muayenehaneler, hastaneler, bankalar, borsalar ve daha fazlası yer alıyordu.
Siber sigorta uzmanları, kesintinin zamanlamasının sigortacıların muhtemelen göreceği talep miktarını azaltmaya da yardımcı olacağını söyledi. CrowdStrike’ın güncellemesini gönderdiği anda, Moody’s Reports’a göre “Avrupa ve ABD sistemlerinden daha fazla Asya-Pasifik sistemi çevrimiçiydi, ancak Avrupa ve ABD’nin Asya-Pasifik bölgesinden daha fazla siber sigorta kapsamı payı var.”
CyberCube tarafından “CrowdOut” olarak adlandırılan kesinti, 8,5 milyon Windows ana bilgisayarının Windows “mavi ölüm ekranı” ile çökmesine ve ardından sürekli yeniden başlatma ve çökme döngüsünde kalmasına yol açtı. CrowdStrike ve Microsoft’un yardımıyla birçok BT ekibi, o zamandan beri etkilenen sistemleri kurtarmak için durmaksızın çalışıyor.
Perşembe günü CrowdStrike, müşterilerin etkilenen Windows PC’lerinin, sunucularının ve sanal makinelerinin %97’sini başarıyla geri yüklediğini bildirdi.
Bulut kesintisi risk modellemesi ve taahhüt ajansı Parametrix Solutions, kesintinin doğrudan 500 en kârlı halka açık ABD şirketinin dörtte birini etkilediğini söyledi. Bu şirketlerin toplu olarak bunun sonucunda 5,4 milyar dolar doğrudan kayıp göreceğini tahmin etti (bkz: CrowdStrike Kesintisi Kayıpları Sağlık ve Bankacılık Sektörünü Sert Vuracak).
Parametrix, bu tahminin Microsoft için beklenen “çok önemli maddi olmayan kayıpları” içermediğini, bunların tahmin edilmesinin zor olduğunu belirtti.
Moody’s Ratings, CrowdStrike kesintisinin yeni poliçe sahipleri arasında “siber sigortaya olan talebi teşvik etmesini” ve piyasanın sadece fidye yazılımları ve veri ihlallerini değil, CrowdStrike kesintisi gibi daha yaygın kesintileri de hesaba katacak şekilde “siber modellemesini” daha da geliştirmesini bekliyor.
SolarWinds tedarik zinciri saldırısının veya geçen yıl çevrimiçi Microsoft Exchange sunucularına yapılan saldırıların aksine, kesinti kötü amaçlı bir faaliyetten kaynaklanmadı. Kripto kilitleme kötü amaçlı yazılımı, gasp, siber casusluk veya diğer kötü niyetli faaliyetlerle birleştirilmedi. CyberCube, “Bu olay çok sayıda bilgisayar sistemini çökerten fidye yazılımı kullanan kötü amaçlı bir saldırı olsaydı, kayıplar çok daha kötü olurdu” dedi.
Moody’s, buna rağmen kesintinin “tek bir arıza noktasının oluşturduğu geniş riskleri ve ekonominin birçok kesiminin ne kadar birbirine bağlı ve bağımlı olduğunu” vurguladığını belirtti.
Uzmanlar, bu sorunların düzeltilmesinin kolay bir iş olmayacağını, ancak genel siber güvenlik dayanıklılığının çok daha iyi olmasını sağlayacağını söylüyor (bkz: CrowdStrike, Microsoft Kesintisi Büyük Dayanıklılık Sorunlarını Ortaya Çıkardı).
CrowdStrike geçen hafta kesintiye ilişkin bir ön rapor yayınladı ve arızalı kod test prosedürlerinin müşterilerin Falcon uç nokta algılama ve yanıt aracılarına kötü bir yazılım güncellemesinin dağıtılmasını engelleyememesi nedeniyle meydana geldiğini söyledi. Şirket, test uygulamalarını elden geçirme ve tekrarını önlemek için tasarlanmış bir dizi başka değişiklik yapma sözü verdi.
Sorunun bir kısmı, üçüncü taraf bir Windows güvenlik yazılımı uygulamasının, işletim sisteminin otomatik olarak kurtarılabilmesine izin vermeden Windows ana bilgisayarını kesintisiz bir yeniden başlatma döngüsüne gönderebilmesidir. Yazılım uzmanları, bu sorunun yalnızca CrowdStrike ile ilgili olmadığını, aynı zamanda çoğu Windows EDR aracının oluşturduğu bir risk olduğunu, çünkü bir sistemde mümkün olan en yüksek ayrıcalıklarla çalışan çekirdek düzeyindeki sürücülere güvendiklerini söylüyor.
Microsoft, bu gereksinimi ortadan kaldırmak için Windows’u elden geçireceğine dair bir söz vermedi ancak Microsoft’un kurumsal ve işletim sistemi güvenliği başkanı David Weston, Cumartesi günü yayınladığı blog yazısında, yaklaşımlarını daha güvenli hale getirmek için “kötü amaçlı yazılımlara karşı koruma ekosistemiyle birlikte çalışacağını” söyledi.
“Bu, güvenlik ürünlerinde güncellemelerin daha güvenli bir şekilde gerçekleştirilmesini sağlamak için güvenli dağıtım rehberliği, en iyi uygulamalar ve teknolojiler sağlamayı” ve “çekirdek sürücülerinin önemli güvenlik verilerine erişme ihtiyacını” azaltmak için tasarlanmış yeni Windows özelliklerini içerecektir” dedi.