A CrowdStrike hibás frissítése által okozott kiberincidens után számos vállalkozás fog alapos utólagos vizsgálatot végezni, de ennél is több szervezetnek kellene elgondolkodnia azon, hogyan hatott a leállás az üzletmenetre, és mi az, amit másként kellene csinálniuk a jövőben.
A legtöbb kritikus infrastruktúra és nagyvállalat esetében kétségtelenül működésbe lépett a már korábban bevált kibervédelmi terv. Mindazonáltal a “történelem legnagyobb informatikai leállásának” nevezett incidensre valószínűleg egyetlen szervezet sem tudott volna felkészülni, mérettől és kibervédelmi keretrendszertől függetlenül. Úgy tűnt, hogy egy “Armageddon pillanatba” csöppentünk, ezt tükrözték a világ legnagyobb repülőterein bekövetkezett fennakadások is.
Egy vállalat fel tud készülni arra, hogy saját rendszerei vagy néhány kulcsfontosságú partner rendszere nem lesz hozzáférhető. Amikor azonban egy incidens annyira kiterjedt, hogy érinti például a légiforgalmi irányítást, a kormányzati közlekedési hatóságokat, a közlekedési szolgáltatókat, sőt, még a repülőtéri éttermeket vagy a televíziós társaságokat, amelyek tájékoztatni tudják az utasokat a problémáról, a készültség valószínűleg a saját rendszerekre korlátozódik. Szerencsére ilyen mértékű incidensek ritkán következnek be.
A CrowdStrike incidens azt bizonyítja, hogy elég az eszközöknek csak egy kis százalékát offline állapotba juttatni ahhoz, hogy jelentős globális incidens történjen. A Microsoft közlése szerint 8,5 millió eszköz volt érintett - és ez csak egy óvatos becslés, ami az összes PC-s eszköz 0,5-0,75%-át teszi ki.
Azonban ebbe a kis százalékba beletartoznak azok az eszközök is, amelyeket folyamatosan, biztonságosan működtetni kell, mivel létfontosságú részei a kritikus szolgáltatásoknak, az ezeket üzemeltető vállalatok éppen ezért telepítik a biztonsági frissítéseket és javításokat, amint azok elérhetővé válnak. Ennek elmulasztása súlyos következményekkel járhat, melyek miatt megkérdőjelezhetővé válik a szervezet hozzáállása a kiberbiztonsági kockázatok kezeléséhez.
A kiberreziliencia jelentősége
Egy részletes és átfogó kiberreziliencia terv segíthet abban, hogy a vállalkozás gyorsan újra működőképes legyen. Ugyanakkor ilyen kivételes körülmények között ez nem feltétlenül jelenti azt, hogy a vállalkozás újra üzemképessé válik, ha más partner szervezetek, melyekre támaszkodik, nem eléggé felkészültek vagy gyorsak az ilyenkor szükséges erőforrások bevetéséhez. Egyetlen vállalat sem látja előre az összes forgatókönyvet, és nem tudja teljesen kiküszöbölni az üzleti működés zavarának veszélyét.
Ennek ellenére fontos, hogy MINDEN vállalkozás rendelkezzen tervvel a kibertámadásokkal szemben, és rendszeresen tesztelje is azt annak érdekében, hogy a stratégia az elvárt módon működjön. A tervet akár a közvetlen üzleti partnerekkel együtt is tesztelhetjük, ugyanakkor az olyan esetekre, mint a CrowdStrike incidens, valószínűleg képtelenség felkészülni.
A múlt pénteken történt incidens utáni legfontosabb tanulsága az, hogy ne mulasszuk el az utólagos vizsgálatot, és ne írjuk az esetet pusztán csak a rendkívüli körülmények számlájára. Az események áttekintésével, alapos vizsgálatával és az azokból következő tanulságok levonásával fejleszthetjük a jövőbeni esetek kezelését. Ennek az értékelésnek figyelembe kell vennie a mindössze néhány gyártóra való hagyatkozás kérdését, az egyszereplős technológiai környezet buktatóit, valamint a technológiai sokféleség alkalmazásának előnyeit a kockázatok csökkentése érdekében.
Minden egy lapra feltéve
Számos oka van annak, amiért a vállalatok egyetlen szolgáltatót választanak. Az egyik természetesen a költséghatékonyság, a további okok valószínűleg az egyszerű átláthatóság, valamint a többféle irányítási platform és a párhuzamosan alkalmazott, hasonló megoldások közötti inkompatibilitás elkerülése. Elérkezett az idő, hogy a vállalatok megvizsgálják, hogyan csökkentheti a kockázatot és szolgálhatja az ügyfelek javát a versenytársakkal való együttműködés és a diverzifikált termékválaszték. Ez a törekvés akár iparági előírás vagy szabvány formájában is megvalósítható.
Az alapos vizsgálatot azoknak is el kell végezniük, akiket nem érintett közvetlenül a CrowdStrike-ügy. Mind láthattuk, milyen károkat okozhat egy rendkívül súlyos kiberincidens, és ha ezúttal nem is tartozott a vállalatunk az érintettek közé, legközelebb már nem biztos, hogy ilyen szerencsések leszünk. Ezért érdemes hasznosítani a mások által az esetből levont tanulságokat, hogy javítsuk a saját kiberrezilienciánkat.
Fontos megjegyeznünk, hogy az ilyen jellegű események elkerülésének nem az a módja, hogy olyan régi technológiát használunk, amelyre nem lehet hatással egy ilyen incidens. A Southwest Airlines állítólag azért nem volt érintett a CrowdStrike incidensben, mert Windows 3.1-et és Windows 95-öt használnak, ami a Windows 3.1 esetében azt jelenti, hogy több mint 20 éve nem frissítették. Nem valószínű azonban, hogy van olyan vírusvédelmi termék, amely még mindig támogatja és védi ezt az elavult technológiát. A régi rendszerek nem jelentenek megoldást, és ez nem egy működőképes kiberreziliencia terv - mindössze egy olyan helyzet, ami könnyen katasztrófához vezethet.