Companiile, inclusiv cele care nu au fost afectate de incidentul CrowdStrike, ar trebui să reziste tentației de a atribui colapsul IT unor circumstanțe excepționale.

Pe măsură ce depășim incidentul cibernetic cauzat de transmiterea de către CrowdStrike a unei actualizări corupte, multe companii vor efectua, sau ar trebui să efectueze, o analiză amănunțită a modului în care acesta le-a afectat activitatea, dar și a modului în care ar putea lua măsuri diferite în viitor.

Pentru cele mai multe companii care activează în infrastructurile critice și organizațiile mari, planul de rezistență cibernetică implementat și testat ar fi fost, fără îndoială, pus în aplicare. Cu toate acestea, incidentul, supranumit „cea mai mare întrerupere IT din istorie”, a fost probabil ceva pentru care nicio organizație, oricât de mare și de conformă cu reglementările din mediul cibernetic, nu s-ar fi putut pregăti. S-a simțit ca un „moment de tip Armageddon”, după cum au arătat perturbările suferite pe marile aeroporturi.

O companie se poate pregăti pentru suspendarea activității propriilor sisteme sau a unor sisteme cheie ale partenerilor. Cu toate acestea, atunci când un incident este atât de răspândit încât, de exemplu, afectează controlul traficului aerian, departamentele guvernamentale de transport, furnizorii de transport, restaurantele din aeroport și chiar companiile de televiziune care ar putea avertiza pasagerii cu privire la situație, e posibil ca pregătirea și planul de rezistență cibernetică să se limiteze la nivelul propriilor sisteme. Din fericire, incidentele de această amploare sunt rare.

Incidentul CrowdStrike demonstrează că doar un procent mic de dispozitive trebuie să fie offline pentru a provoca un incident global major. Microsoft a confirmat că 8,5 milioane de dispozitive au fost afectate, iar o estimare prudentă ar plasa acest procent între 0,5 - 0,75% din totalul dispozitivelor PC.

Totuși, acest procent mic reprezintă dispozitivele care trebuie să fie menținute în siguranță și să funcționeze în permanență, acestea fiind în funcțiune în cadrul serviciilor critice, motiv pentru care companiile care le dețin implementează actualizări și patch-uri de securitate de îndată ce acestea devin disponibile. Omiterea sau neimplementarea acestor actualizări sau patch-uri de securitate ar putea avea consecințe grave și ar putea determina experții în incidente cibernetice să pună la îndoială raționamentul și competența organizației în ceea ce privește gestionarea riscurilor de securitate cibernetică.

Importanța planurilor de reziliență cibernetică

Un plan detaliat și cuprinzător de reziliență cibernetică vă poate ajuta să vă repuneți rapid afacerea în funcțiune. Cu toate acestea, în circumstanțe excepționale precum cea de față, este posibil ca afacerea dvs. să nu își recapete operaționalitatea imediat. Principalul motiv este acela că alte companii sau entități pe care se bazează afacerea dvs. nu sunt la fel de pregătite sau nu au aceeași rapiditate în a aplica măsurile necesare. Nicio companie nu poate anticipa toate scenariile și nu poate elimina complet riscul de întrerupere a activității operaționale.

Acestea fiind spuse, este important ca TOATE companiile să adopte un plan de reziliență cibernetică și, ocazional, să testeze planul pentru a se asigura că acesta funcționează conform așteptărilor. Planul poate fi testat chiar împreună cu partenerii direcți de business, însă testarea la scara incidentului „CrowdStrike Fridays” va fi probabil foarte greu de pus în practică. În articole anterioare am detaliat elementele de bază ale rezilienței cibernetice pentru a oferi câteva sfaturi practice. Iată două resurse care vă pot oferi asistență: itemi importați de bifat pe lista de lista de verificare a rezistenței cibernetice și măsuri de bază pentru a ajuta companiile mici să își îmbunătățească securitatea cibernetică.

Cel mai important mesaj ce reiese în urma incidentului CrowdStrike este să nu omitem analiza post-eveniment și să nu punem incidentul pe seama unor circumstanțe excepționale. Analizând un incident și extrăgând învățăminte din el, vă veți îmbunătăți capacitatea de a face față incidentelor viitoare. Această analiză ar trebui să ia în considerare, de asemenea, problema dependenței de un număr restrâns de furnizori, capcanele unui mediu tehnologic monocultural și beneficiile implementării diversității în tehnologie pentru reducerea riscului.

Echilibrarea riscurilor

Există mai multe motive pentru care companiile aleg un singur furnizor. Unul dintre acestea este, desigur, rentabilitatea, iar celelalte sunt, probabil, o abordare unică și eforturile de a evita platformele multiple de management și incompatibilitatea între soluții similare. Poate că a sosit momentul ca organizațiile să revoluționeze dinamica afacerilor și să ia în considerare coexistența cu concurenții, împreună cu diversificarea produselor pentru reducerea riscurilor și îmbunătățirea experienței clienților. Acest lucru ar putea lua chiar forma unei cerințe la nivel de industrie sau a unui standard.

Analiza post-incident ar trebui să fie efectuată și de cei care nu au fost afectați în mod direct de către „CrowdStrike Friday”. Cu toții am văzut efectele devastatoare care pot fi cauzate de un incident cibernetic excepțional și, deși poate compania dvs. nu a fost afectată de data aceasta, norocul s-ar putea să vă ocolească data viitoare. Așadar, profitați de lecțiile rezultate de pe urma acestui incident pentru a vă îmbunătăți propria postură de reziliență cibernetică.

În cele din urmă, o modalitate de a evita un astfel de incident este să nu folosiți tehnologie atât de învechită încât să nu poată fi afectată de un astfel de incident. Un articol menționează faptul că Southwest Airlines, o companie aeriană din SUA, nu a fost afectată, se pare datorită faptului că utilizează sistemele de operare Windows 3.1 și Windows 95. Iar, cel puțin în cazul Windows 3.1, acesta nu a mai fost actualizat de mai bine de 20 de ani. Nu există produse anti-malware care să mai suporte și să protejeze această tehnologie arhaică. Tehnologia veche nu este răspunsul și nu este un plan viabil de rezistență cibernetică, ci este un dezastru care stă să se întâmple.