Fortune 500 şirketlerinin 19 Temmuz Microsoft-CrowdStrike kesintisi sonucu karşı karşıya kaldığı toplam doğrudan mali kayıp yaklaşık 5,4 milyar dolar (4,18 milyar sterlin) olarak belirlendi. Bu kayıp, kuruluş başına ortalama 44 milyon dolar olarak hesaplanırken, havayolları gibi en çok etkilenen şirketler için bu kayıp 150 milyon dolara yaklaşıyor.
Bulut izleme, modelleme ve sigorta hizmetleri sağlayıcısı Parametrix’e göre, birçok Fortune 500 kuruluşu için etki daha da artacak çünkü yüksek risk tutma oranları ve potansiyel kayıplara kıyasla düşük poliçe limitleri nedeniyle siber sigorta poliçeleri kapsamında karşılanan kısmın toplam kaybın %10 ila %20’sinden fazla olmayacağı öngörülüyor.
Parametrix’in analizi, en büyük doğrudan finansal kaybın muhtemelen sağlık sektöründekilere düşeceğini buldu – kümülatif olarak 1,94 milyar dolar düşüş, ardından bankacılık geliyor – 1,15 milyar dolar düşüş. Bu, toplam kaybın %57’sini oluşturuyor ancak olayın eşitsiz etkisi nedeniyle Fortune 500 gelirlerinin yalnızca %20’sini oluşturuyor.
Örneğin, şirketin analistleri, gelir bakımından Fortune 500’ün en büyük segmenti olan üretim sektörünün, 130 kuruluş genelinde yıllık 3,4 trilyon dolarlık gelire kıyasla sadece 36 milyon dolarlık nispeten önemsiz bir kayıp yaşayacağını, listede temsil edilen altı havayolunun ise 187,1 milyar dolarlık toplam gelire karşı 860 milyon dolar zarar edeceğini söyledi.
Parametrix, CrowdStrike güncellemesindeki bir kodlama hatası nedeniyle bilgisayarların önyükleme döngüsüne girmesine ve sistemlerin çökmesine neden olan olayda Fortune 500 kuruluşlarının yaklaşık dörtte birinin etkilendiğini söyledi. Buna Fortune 500 havayolunun altısı ve perakendecilerin %43’ü dahildir. Bu arada, sağlık ve bankacılık şirketlerinin dörtte üçü doğrudan maliyetlere katlanacak.
Parametrix’in kurucu ortağı ve CEO’su Jonatan Hatzor, “CrowdStrike kesintisine ilişkin analizimiz, yalnızca sistemik bir siber kayıp olayının olası kapsamını değil, aynı zamanda sınırlarını da gösteriyor” dedi.
“Bize, sigortacıların ve reasüransçıların, sistemik siber riskin potansiyel etkilerini en aza indirmek için siber risk portföylerini çeşitlendirme yolları hakkında daha fazla bilgi veriyor.
“Ancak,” diye uyardı Hatzor, “analizimiz tüm çeşitlendirme resmini göstermiyor. Çok büyük şirketlere odaklanan bir siber sigortacı, büyük bir KOBİ defterine sahip olana göre primle kıyaslandığında kesinlikle çok daha büyük bir CrowdStrike kaybı yaşayacaktır.”
Finansal kayıpların ötesinde, kesintinin kritik hizmetler üzerindeki etkisi, Fortune 500 şirketlerini ve alt kuruluşları etkileyen oldukça görünür bir operasyonel gecikmeler dizisine neden oldu.
Parametrix, sistemlerin kurtarılması açısından, fiziksel bilgisayarlara hâlâ yoğun şekilde bağımlı olan sektörlerin daha uzun kurtarma süreleri yaşayacağını ve bunun bulut hizmetlerinin lehine bir durum olduğunu belirtti.
CrowdStrike’ın hem şirket içi hem de bulut ortamlarında konuşlandırılması nedeniyle kesintinin genel etkisinin daha belirgin hale geldiği belirtildi.
Şirketin öngörüsüne göre, siber sigortacılar gelecekteki bulut tabanlı arızaları modellemek için yalnızca olaya güvenmemeli, bunun yerine sektörler, hizmet sağlayıcılar ve şirket büyüklükleri arasında çeşitlendirme yaparak sistemik kesinti risklerini daha iyi yönetmeye çalışmalıdır.
“Önleme önemlidir, ancak risk taşıyıcılarının olayların oluşumu ve hizmet sağlayıcı uygulamaları üzerinde sınırlı kontrolü vardır” dedi.
“Sektör, haritalama ve toplama riskini yönetme gibi kontrol edilebilir alanlara odaklanmalıdır. Bu noktaları anlayarak, önemli riskleri değerlendirebilir ve hem kötü niyetli hem de kötü niyetli olmayan tehditleri azaltabiliriz. Bu proaktif yaklaşım, daha iyi sigortalama kararları ve sistemik riski yönetmek için etkili risk transferi çözümleri sağlar.”
Tek noktadan arıza
Hatzor, daha geniş bir açıdan bakıldığında, küresel kesintinin ardından diğer gözlemcilerin de paylaştığı endişeleri dile getirdi; özellikle tekil arıza noktaları yaratma riski taşıyan sıkı bir şekilde birleştirilmiş teknoloji çözümlerinin yaygınlığı.
“Günümüzün dijital ortamında, birçok işletme, verimli olsalar da onları savunmasız bırakabilen entegre sistemlere ve hizmetlere büyük ölçüde güveniyor. Sıkı bir şekilde paketlenmiş bir çözüm içindeki kritik bir bileşen kesintiye uğradığında veya bozulduğunda, tüm sistemde bir dizi kesintiye neden olabilir,” dedi.
“Bu birbirine bağlılık, bir alandaki arızanın müşteri hizmetlerinden veri yönetimine ve finansal işlemlere kadar her şeyi etkileyerek önemli operasyonel kesintilere yol açabileceği anlamına geliyor.”
Hatzor, hem düzenleyicilerin hem de siber sigortacıların bu tür sistemlerin karmaşıklıklarını ve risklerini ele almaya gerçekten hazır olmadıkları yönündeki endişelerini dile getirdi. Sık sık olduğu gibi, teknolojinin hızlı evriminin düzenleyici çerçevelerin ve risk değerlendirme modellerinin gelişimini geride bıraktığını ve bunun da en kötü durum geldiğinde işletmeleri sigorta kapsamında veya düzenleyici destekte boşluklarla karşı karşıya bıraktığını belirtti.
“Bu hazırlıksızlık etkisini daha da kötüleştirebilir… Şirketleri uzun süreli kesintilere ve mali kayıplara karşı daha savunmasız hale getirebilir” dedi.