Temmuz ayında, CrowdStrike’ın bir güncelleme yayınlamasının ardından dünya çapında 8 milyon Windows cihazı çevrimdışı olmuştu. hatalı bir içerik doğrulayıcıyla yazılım güncellemesi. Hastaneler hasta kayıtlarına erişemeyince hasta bakımı kesintiye uğradı. Havayolları binlerce uçuşu ertelemek veya iptal etmek zorunda kaldı. Bazı ödeme platformlarının kullanılamaması, insanlara zamanında ödeme yapılmamasına neden oluyordu. Amerika Birleşik Devletleri’ndeki Acil Durum Uyarı Sistemi etkilendi ve bu da birçok eyalette 911 hizmetlerinin kesintiye uğramasına neden oldu.
Sorun sonuçta şuna dönüştü: yanlışlıkla sistem arızasızayıf yama yönetimi ve üçüncü taraf risk yönetimi politikalarını ve prosedürlerini ihlal eden süreçlerle daha da yoğunlaştı. CrowdStrike’ın kalite kontrol testleri yazılım hatasını önceden tespit edemedi ve güncellemeyi yüklendikten sonra geri alma mekanizması da yoktu. Kesinti, temel BT kuralları unutulduğunda, göz ardı edildiğinde veya basitçe kısaltıldığında ne olacağını vurguladı.
Siber güvenlik danışmanı ve eski gizli FBI karşı istihbarat görevlisi Eric O’Neill, CrowdStrike’ın çözümü gibi bulut tabanlı uç nokta algılama ve yanıt (EDR) güvenlik araçlarının, sensörler buluttan gerçek zamanlı istihbaratı işleyebildiğinde en iyi şekilde çalıştığını söylüyor ve şöyle diyor: bunun esas olarak bir yama yönetimi sorunu olduğunu söyledi. İdeal olarak, bir satıcı yamaları müşterilerinin bir alt kümesine dağıtmalı, ardından herhangi bir sorun olmadığından emin olmak için dağıtıma aşamalı olarak devam etmelidir. Bu durumda tüm müşterilerin yamayı aynı anda aldığını söylüyor. Üçüncü taraf risk yönetimi perspektifinden bakıldığında, kuruluşlar şunları yapmalıdır: aldıkları test yamaları bunları sistemlerine dağıtmadan önce.
Bu durumda çoğu CrowdStrike müşterisi, uç nokta uygulamaları için nadiren yapılan daha karmaşık ve zaman alıcı aşamalı dağıtım yerine popüler otomatik güvenlik güncellemesi kurulumunu tercih etti. O’Neill, daha önce bir yamayla böyle bir anormallik yaşanmadığından, testten vazgeçme kararının anlaşılabilir olduğunu belirtiyor. Bu olayın ışığında, kuruluşların çalışma biçiminde büyük değişiklikler görmeyi bekliyor. yamaları yayınlayın ve yükleyin gelecekte.
Riskin Azaltılması
Danışmanlık CISO’su ve IBM’in eski bulut ve veri merkezi yöneticisi John Young, istenmeyen kesintinin etkisini, fidye yazılımı ve diğer kötü amaçlı yazılımlarda olduğu gibi kötü niyetli olmayan, SolarWinds ve Kaseya’ya yapılan önceki siber saldırılara benzetiyor. Bunun yerine bu, yönetim kurullarının uygun iş riski ve kesinti analizleri yürüttüklerinden emin olmaları açısından ufuk açıcı bir olay haline geldi. Burada yalnızca bir işletim sistemi (OS), Windows etkilendi. Kuruluşların operasyonel risklerini birden fazla işletim sistemine yaymaları durumunda güvenlik açıklarını azaltabileceklerini söylüyor.
“Farklı işletim sistemleri kullanırsak [for hot backup systems]Young, “Topallayarak yürürdük ama iki gün içinde toparlanabileceğimiz gerçek zamanlı bir hedefimiz olurdu” diyor.
Young, bu yaklaşımı, şirketlerin kendilerini bölgesel tehditlerden ve güvenlik açıklarından koruyabilmeleri için dünya çapında birden fazla işletim sistemi çalıştıran sunuculara sahip olan şirketlere benzetiyor. Birden fazla işletim sistemi çalıştırmak benzer, işletim sistemine özgü güvenlik açıklarına karşı koruma sağlayabilirken, buna karşı argümanların yüksek maliyet ve böyle bir olayın tekrar meydana gelme ihtimalinin düşük olduğunu ekliyor.
Young, önemli yazılım satıcılarına güvenmenin mantıklı olduğunu ancak temel güvenlik uygulamalarının, yazılımlara yalnızca bilinen bir kaynaktan geldiği ve bir güvenlik yaması olarak tanımlandığı için güvenilmemesi gerektiğini gösterdiğini belirtiyor. Sistem hatalarının çoğu “gerçekten en iyi uygulamaları takip etmemelerinden kaynaklanıyordu. Bölümlendirme yoktu. İş sürekliliği planlaması yoktu. Kritik sistem üzerinde etki analizi yoktu” diyor. “Üçüncü taraflarla çok fazla entegrasyon vardı.”
Siber Sigortaya Etkisi
Kesinti açıkça bir siber saldırı olmasa da bazı siber sigorta poliçeleri aşağıdakileri kapsayabilir: bağımlı sistem arızaları Ulusal sigorta komisyoncusu Woodruff Sawyer’ın siber sorumluluktan sorumlu başkan yardımcısı David Anderson, bunun kötü niyetli bir saldırgan tarafından gerçekleştirilmediğini söylüyor. Sigorta kapsamına değinirken genel olarak şunları söylüyor: mülkiyet politikası bu tür kayıpları giderebilir ancak bu, üzerinde anlaşılan poliçeye, şirketin seçmiş olabileceği ekstra teminatlara ve poliçenin özel diline bağlıdır.
Anderson, “Bir sistem arızası olayı, her zaman kötü niyetli bir saldırıya bağlı olan bir ağ kesintisi veya iş kesintisi olayından kesinlikle farklıdır” diyor. “Her siber sigorta poliçesinin kesin olarak sistem arızası teminatını içermediğini bilmek önemlidir; bu olayın kapsanabilmesi için donanımları satın almış olmanız gerekir.”
Tek başına bu bile genel danışmanların veya şirketlerinin siber sigorta poliçesinden sorumlu olan şirket yöneticilerinin dikkatini çekebilir. Genel olarak olayın ciddiyetine, zarar miktarına ve şirketin etkilendiği süreye bağlı olarak tüm olaylar her zaman kapsanmasa da bu, bir kuruluşun mevcut sigorta poliçelerini yeniden değerlendirmesi için bir dönüm noktası olabilir. .
İlginç bir sorunun ne olabileceğini belirtiyor: Kötü amaçlı olmayan olaylar olan veri işleme ekipmanı arıza kapsamını açıkça içeren bir mülkiyet politikasının buraya dahil edilmesi gereken bir kapsamı var mı? Daha büyük ticari mülkiyet politikaları genellikle insan hatalarını, hataları ve ihmalleri ve mülkiyet politikası kapsamındaki planlanmamış arızaları içerir.
Anderson, “Her şey, kapsamın mekanik arıza olarak kabul edilip edilmediğine (ki bunun olacağını sanmıyorum) veya bunun gerçekten bir insan hatası ve plansız kesinti olup olmadığına bağlı olacak” diye belirtiyor. Nihai karar yine sigorta şirketlerine ait olacak ve sigorta şirketleri durumu farklı yorumlayabilecek.