2024’teki Crowdstrike olayı İngiltere’ye bir kasırga gibi vurdu. Ülke çapında süpürülürken, durma noktasına kadar uçuşlar, hastaneleri operasyonları iptal etmeye zorladı ve yüzlerce işletmenin bilgisayar sistemlerini ve web sitelerini düşürdü.
1970’lerin başından beri, beş noktalı bir rüzgar ölçeği kullanılarak kasırgaların neden olduğu hasarı tahmin etmek mümkün olmuştur.
Kategori Bir Kasırgalar, ağaçlardaki çatılara zarar verebilir veya dallara kırılabilir ve ölçeğin diğer ucunda, bir kategori beş kasırga aylarca yaşanamaz bırakabilir.
Temmuz 2024’te dünya çapında Windows bilgisayarlarını düşüren Crowdstrike güncellemesi gibi siber olayların yıkıcı etkisini kategorize etmenin böyle bir yolu yok – ancak bu yıl büyük siber saldırıların neden olduğu hasarı değerlendirmek için bir girişim devam ederken bu değişecek şekilde ayarlandı. Kasırgadan ilham alan beş puanlık bir ölçekte.
Türünün ilk organizasyonu olan Siber İzleme Merkezi (CMC), İngiltere altyapısı ve hizmetleri için sistemik etkileri olan ciddi siber saldırıların etkisini değerlendirmek için sigorta endüstrisi tarafından silah boyu bir organizasyon olarak kurulmuştur. İşletmelerin siber sigorta kapağı satın almasını kolaylaştırmayı ve neyin kapsanacağını ve neyin yapılmayacağını tam olarak bilmeyi kolaylaştırmayı amaçlıyor.
Bir siber olayın etkisini değerlendirmenin birçok yolu vardır. İptal edilen hastane operasyonları yoluyla yaşam kaybı, insanların internette kişisel olarak tanımlanabilir bilgilerinin sızıntılarının neden olduğu bozulma veya sınıflandırılmış hükümet bilgilerinin düşmanca bir ulus devletine stratejik etkileri nedeniyle ölçülebilir.
CMC sadece bir tanesine odaklanacak: ekonomik etki. Merkez, yüzlerce insanı etkileyen küçük ölçekli kesintilerden yüz binlerce kişiyi etkileyen felaket saldırılarına kadar değişen beş puanlık bir ölçeğe siber olaylar atamak için seçkin uzmanların teknik bir komitesi atadı. Hasar etkileri, kategori etkinlikleri için 100 milyon sterlin daha azından beş kategori için 5 milyar £ ‘dan fazla değişir.
Merkez, birden fazla kurbanla önemli siber saldırıları belirlemek için iş kuruluşlarından gelen basın raporlarını ve raporlarını izlemeyi planlıyor. İptal edilmiş uçuşlar ve veri merkezlerinde aksaklık hakkında istatistik sağlamak için veri sağlayıcılarıyla ortaklıkları vardır ve iptal edilen operasyonlar ve hastane prosedürleri hakkında veri toplamak için NHS ile birlikte çalışır. Ayrıca, her önemli siber etkinliğin finansal modellerini oluşturmasına yardımcı olmak için olaylara yanıt veren hukuk uzmanlarından ve siber güvenlik uzmanlarından tavsiyelere erişimi vardır. Modeller gözden geçirilir ve stres test edilir. Son söz, CMC’nin teknik komitesine gidiyor
Merkez, siber olaydan itibaren 30 gün içinde derhal mali kayıplara odaklanacak bir etki raporu üretmeyi amaçlamaktadır. Örneğin, dava riskinin veya diğer gecikmiş etkilerin neden olduğu uzun vadeli kayıpları dikkate almayacaktır.
Siber savaş olarak ne sayılır ve kim karar verir?
Merkezin direktörü ve kurucusu Ed Lewis, CMC’nin amacı, şirketlerin siber sigorta satın almasını ve kapsanmayı bekledikleri beş puanlık ölçekte hangi siber etkinliğin büyüklüğünü bilmesini kolaylaştırmaktır.
Sigorta endüstrisi uzun zamandır siber risklerin nasıl sigortalanacağı konusunda mücadele etti. 2022’de Londra Lloyds, siber sigorta kapağından “siber savaş olaylarının” dışlanmasını zorunlu kılan bir bülten yayınladı. Fakat bir siber saldırının düşmanca bir devlet tarafından bir savaş eylemi olup olmadığına kim karar verebilir? Hükümet mi yoksa sigortacılar mı?
Lewis, Londra Siber Sigorta Piyasası tarafından geliştirilen karmaşık dışlama hükümlerini ekleyin ve bu bir “avukatın rüyası” dedi Lewis.
En önemli olanın hangi ülkenin siber savaş eyleminden sorumlu olduğu değil, bir saldırının ölçeği ve ciddiyeti olduğu anlaşıldı. Bir siber saldırı, birden fazla hedefe karşı yönlendirildiğini göstermek için dijital parmak izleri varsa, “sistemik bir saldırı” ayırt edici özelliklerine sahipti.
Bazı sigorta şirketleri, özellikle birden fazla küçük ve orta ölçekli işletme sağlarlar, sistemik riskleri karşılamamaktadır. Bu, aynı felaket olayından birden fazla müşteri vurulursa büyük kayıplardan kaçınmaktır. Bununla birlikte, işletmeler diğer uzman sigortacılardan sistemik risklere karşı korumak için sigorta kapsamı alabilirler.
2022 yazında Lewis, bir çözümü çekmek için sigortacı CFC ile çalışan firmasından Sigortacı CFC ile çalışan bir avukat ekibi ile altı hafta boyunca Fransa’ya gitti. Sistemik siber saldırılar konusunda bağımsız bir uzmanlık merkezi olarak hareket etme garantisi ile sınırlı bir şirket oluşturma fikrini buldular.
Ekip, 2023’ün ilk yarısını, siber saldırıların beş puanlık, kasırga esintili bir ölçek üzerindeki finansal etkisini değerlendirmek için bir metodoloji geliştirerek geçirdi ve o yıl Ekim ayında CMC’yi garanti ile sınırlı bir şirket olarak dahil etti.
En çok konuşulan siber saldırılar en zararlı değil
Merkez, 2024’te yapılan bir deneme sürecinde üç siber saldırıyı gözden geçirdi ve sonuçlar şaşırtıcıydı. En çok konuşulan siber saldırılardan bazıları İngiltere ekonomisine en zarar verici değildi.
Mayıs 2023’te Dosya Aktarım Hizmeti, Moveit’e saldırıya uğradı. 2.000’den fazla kuruluşu etkiledi ve yaklaşık 64 milyon kişinin kişisel verilerini ortaya çıkardı.
Dünyanın dört bir yanında manşetler oluşturmasına ve siber güvenlik topluluğunun dikkatini çekmesine rağmen, Saldırı’nın Moveit üzerindeki ekonomik etkisi, CMC’nin “Kasırga” ölçeğine ulaşmak mümkün olduğu için “ihmal edilebilir” idi.
Haziran 2024’te, başka bir fidye yazılımı grubu, Londra’daki NHS organizasyonları için kan testlerini işleyen Patoloji Laboratuvarı Synnovis’e vurdu. Saldırı, GP ameliyatları ve NHS güvenleri için büyük kesintilere yol açarak tıbbi prosedürlerde gecikmelere, iptal edilen randevulara ve kan stoklarının kıtlıklarına yol açtı.
Kitlesel ilgiyi çekmesine rağmen, CMC ekonomik etkiyi 100 milyon £ ile 1 milyar £ arasında nispeten düşük olarak değerlendirdi ve nüfusun% 0.1’inden azı etkilendi. Bu, beş puanlık ölçekte ikinci kategori puanı kazandı.
Temmuz 2024’te Crowdstrike’un güvenlik yazılımına bir güncellemenin başarısız olması, Windows bilgisayarlarında dünya çapında kesintiye neden oldu, ancak ilk basın kapsamı patlamasından sonra halkın devam eden ilgisini çekemedi. Bununla birlikte, CMC’nin uzmanları CrowdStrike’ı kategori üç olayı olarak değerlendirdi – Moveit ve Synnovis’ten önemli ölçüde daha etkili.
Güven ve bağımsızlık ihtiyacı
CMC’nin değerlendirmeleri yanılmaz olmayabilir, ancak açık bir metodoloji ile gelirler ve teknik komitenin kararlarını bilgilendirmek için verileri kullanırlar, bunların hepsi yayınlanacak ve kamu incelemesine açıktır.
Fikir, merkezin bağımsız bir hakem gibi davranacağıdır. Sigorta sunan şirketler ve sigorta satın alan şirketler, sigorta teminatı konusundaki herhangi bir anlaşmazlıkta kararından kaynaklanmayı kabul edebilecektir.
Bu, merkezin sigorta endüstrisinden ve hükümetten tamamen bağımsız olarak görülmesi gerektiği ve başarılı olacaksa güvenilir kararlar için bir üne kavuşması gerekeceği anlamına gelir.
Merkezin mevcut planları, kuruluş çok çeşitli endüstrilerden, profesyonel hizmetlerden, üretim ve perakende satışlardan ve sigortacılardan üye çekmeyi umuyor. Ancak Lewis, sigorta şirketlerinin ve hükümetin CMC’nin değerlendirmeleri üzerinde hiçbir etkisi olmadığını vurguladı.
“Çok açık olduğumuz şey, teknik komitenin çalışmalarının hükümetten bağımsız ve sigorta şirketlerinden bağımsız olması gerektiğidir” dedi. “Suçlama potansiyelinin ötesinde pratik olarak mümkün olduğunca uzakta olmalılar.”
CMC hükümet politikasını etkileyebilir
CMC’nin çalışmasının, hükümet politikasının siber riskler üzerindeki yönünü etkilemesi muhtemeldir. Birçoğu, düzenleme dengesini polislik veri sızıntılarından, temel hizmetlerin kaybına yol açan siber başarısızlıkları polisliğe kaydırmaya yardımcı olacağını umuyor.
Ciaran Martin, Conti fidye yazılım grubunun İrlanda Sağlık Servisi’ne yaptığı bir saldırı olarak belirtti ve 2021’de aylardır sağlık hizmetlerini bozdu.
İrlanda devleti fidye ödemeyi reddettiğinde, Conti suç grubu internette tıbbi verileri serbest bırakarak baskıyı artırdı. Sadece bu noktada İrlanda Sağlık Hizmeti Yöneticisi, düzenleyicilere olay hakkında bilgilendirmek zorunda kaldı.
“Kanser ameliyatları da dahil olmak üzere bütün bir ulusal sağlık sisteminin durması gerektiği ve bu bir yükümlülüklerin ihlali değil, ancak az miktarda tıbbi veri kaybı [was considered a breach]”Dedi Computer Weekly.
Siber güvenlik ve esneklik tasarısı beklendiği gibi Parlamento’dan geçerse, bu İngiltere’de değişebilir. Kuruluşların kritik hizmetleri sürdürme yükümlülükleri getirir ve fidye yazılımı saldırılarının zorunlu olarak raporlanmasına yol açabilir.
Martin, “’Veri düzenlemesini iptal edelim ve küçük kuaför salonlarına kapsamlı hizmet yükümlülükleri uygulayalım’ demiyorum, ama diyorum ki, ‘Dikkatlice düşünelim’,” dedi Martin.
Bir kurbana iki kötü durum arasında seçim yaparsanız – biri kritik sağlık hizmetlerinin kaybı, diğeri de kişisel verilerinin kaybıdır, çoğu insan tıbbi bakıma erişimi kaybetmek yerine kişisel verileri kaybetmeyi tercih eder.
Lewis aynı fikirde. “Bir veri ihlali içeren siber olaylara orantısız bir odaklanma var gibi görünüyor” dedi. “Bence Bilgi Komiseri Ofisi’nin ve bu güçlerin son zamanlarda nasıl kullanıldığını biraz eleştirdiğini söylemek muhtemelen adil.”
‘Kurban damgalaması’ ile mücadele etmeniz gerekiyor
CMC’nin, kötü tanıtım veya dava korkusunun, siber saldırıların vurduğu organizasyonların açıklıktan ziyade gizliliği tercih etmesine yol açabileceği “kurban damgalaması” dediği şeyi kaldırabileceğini umuyor.
Bunun zaten olduğuna dair işaretler var. Rhysida fidye yazılımı çetesinin saldırısından sonra büyük kesintilerle karşılaşan İngiliz Kütüphanesi, siber güvenlik topluluğunda yaygın olarak alkışlanan kapsamlı bir dersle öğrenilen rapor yayınladı.
Londra ve Güney Doğu’da 2021’de fidye yazılımı saldırısından sonra e -posta ve telefon erişimini kaybeden bir okul ağı olan Harris Federasyonu, başkalarının kendi siber esnekliğini geliştirmelerine yardımcı olmak için bir dizi podcast’teki deneyiminden bahsetti.
Martin için CMC’nin birincil amacı, siber saldırılara karşı sigortalamak isteyen şirketler için daha iyi işleyen bir sigorta pazarı ve daha iyi bir tedarik sunmaktır.
CMC’nin zaman içinde akademik, hükümet ve endüstri belgeleri için gerçek bilgi kaynağı olarak güvenilirliği görmek istiyor.
Ve eğer CMC işini yapıyorsa, medyanın hangi siber olayların ciddi olduğu ve neyin küçük bir ekonomik etkisi olduğu konusunda daha iyi bir şekilde ele alabileceğini söyledi.