По мере того как утихает шум вокруг киберинцидента, вызванного выпуском CrowdStrike поврежденного обновления, многие компании, или должны, провести тщательный разбор полетов, чтобы понять, как инцидент повлиял на их бизнес и что можно было бы сделать по-другому в будущем.
Для большинства критически важных инфраструктур и крупных организаций, их проверенный план киберустойчивости, несомненно, был приведен в действие. Однако инцидент, прозванный «крупнейшим IT-сбоем в истории», был, вероятно, чем-то, к чему ни одна организация, какой бы крупной и соответствующей киберстандартам она ни была, не могла подготовиться. Это ощущалось как «момент Армагеддона», о чем свидетельствовали сбои в крупных аэропортах в пятницу.
Компания может подготовиться к недоступности своих собственных систем или систем ключевых партнеров. Однако, когда инцидент настолько широкомасштабен, что, например, затрагивает управление воздушным движением, государственные транспортные ведомства, транспортных перевозчиков и даже рестораны в аэропорту, вплоть до телекомпаний, которые могли бы предупредить пассажиров о проблеме, готовность, вероятно, ограничится собственными системами. К счастью, инциденты такого масштаба редки.
Что демонстрирует инцидент в пятницу, так это то, что достаточно вывести из строя лишь небольшой процент устройств, чтобы вызвать крупный глобальный инцидент. Microsoft подтвердила, что было затронуто 8,5 миллионов устройств – консервативная оценка поставит это между 0,5-0,75% от общего числа ПК.
Однако именно эти небольшие проценты устройств необходимо держать в безопасности и всегда в рабочем состоянии, они находятся в критических службах, поэтому компании, которые их эксплуатируют, развертывают обновления безопасности и патчи по мере их появления. Невыполнение этого требования может привести к серьезным последствиям и заставить экспертов по киберинцидентам поставить под сомнение рассуждения и компетентность организации в управлении рисками кибербезопасности.
Важность планов киберустойчивости
Подробный и всеобъемлющий план киберустойчивости может помочь быстро вернуть ваш бизнес в рабочее состояние. Тем не менее, в исключительных обстоятельствах, подобных этому, это может не означать, что ваш бизнес станет операционным из-за того, что другие, от которых зависит ваш бизнес, не будут так готовы или не смогут быстро развернуть необходимые ресурсы. Ни одна компания не может предвидеть все сценарии и полностью исключить риск сбоев в операционной деятельности.
Тем не менее, важно, чтобы ВСЕ компании приняли план киберустойчивости и время от времени тестировали его, чтобы убедиться, что он работает должным образом. План может даже тестироваться совместно с прямыми деловыми партнерами, но тестирование в масштабах инцидента «пятницы CrowdStrike», вероятно, будет непрактичным. В прошлых блогах я подробно описывал основные элементы киберустойчивости, чтобы дать некоторые советы: вот две ссылки, которые могут вам помочь – #ShieldsUp и эти руководства для помощи малому бизнесу в повышении их готовности.
Самое главное сообщение после инцидента в прошлую пятницу – не пропускать разбор полетов и не списывать инцидент на исключительные обстоятельства. Анализ инцидента и извлечение из него уроков улучшат вашу способность справляться с будущими инцидентами. Этот анализ также должен учитывать проблему зависимости от всего нескольких поставщиков, ловушки технологической среды с монокультурой и преимущества внедрения разнообразия в технологиях для снижения рисков.
Все яйца в одной корзине
Есть несколько причин, по которым компании выбирают одного поставщика. Одна из них, конечно, – экономическая эффективность, другие, вероятно, – единый подход и усилия по избежанию множества платформ управления и несовместимости между аналогичными, параллельными решениями. Возможно, настало время для компаний изучить, как протестированное сосуществование с их конкурентами и диверсифицированный выбор продукции могут снизить риски и принести пользу клиентам. Это может даже принять форму отраслевого требования или стандарта.
Разбор полетов также должны проводить те, кто не пострадал от «пятницы CrowdStrike». Вы видели разрушения, которые может вызвать исключительный киберинцидент, и хотя на этот раз это вас не затронуло, в следующий раз вам может повезти меньше. Поэтому используйте уроки, извлеченные другими из этого инцидента, чтобы улучшить свою собственную киберустойчивость.
Наконец, один из способов избежать такого инцидента – не использовать устаревшую технику, на которую такой инцидент не может повлиять. На выходных кто-то указал мне на статью о том, что Southwest Airlines не пострадала, предположительно из-за того, что они используют Windows 3.1 и Windows 95, которые, в случае Windows 3.1, не обновлялись более 20 лет. Я не уверен, что существуют антивирусные продукты, которые все еще поддерживают и защищают эту устаревшую технологию. Эта стратегия старой техники не даст мне уверенности, необходимой для того, чтобы вскоре летать рейсами Southwest. Старая техника – это не решение, и это не жизнеспособный план киберустойчивости – это катастрофа, ожидающая своего часа.