Globalno poslovno okolje je 19. julija letos prizadel kibernetski incident, ki je postal znan pod imenom podjetja CrowdStrike. Kot vemo, zaradi napake pri varnostni posodobitvi njihove storitve Falcon, po vsem svetu niso delovali informacijski sistemi, ki uporabljajo operacijski sistem Microsoft Windows.
Deset dni kasneje je bila ocenjena tudi škoda, ki jo je za podjetja s seznama Fortune 500 ocenila svetovalna družba Parametrix. Incident je prizadel približno četrtino podjetij, med katerimi je vseh šest letalskih družb, 43% trgovcev na drobno ter tri četrtine zdravstvenih in bančnih organizacij.
Skupna finančna izguba naj bi znašala 5,4 milijarde USD, kar je povprečno 44 mio USD za posamezno podjetje, vendar so nekatere najbolj prizadete letalske družbe utrpele tudi škodo v višini 150 mio USD.
Analiza je pokazala, da bosta največje izgube deležna zdravstvo (1,94 milijarde USD) in bančništvo (1,1 milijarde US), kar predstavlja 57% škode, čeprav področji predstavljata samo 20% prihodkov Fortune 500.
Proizvodnja, kot največji segment podjetij, naj bi utrpel dokaj zanemarljivo škodo 36 mio USD, medtem ko so jo letalske družbe skupaj zabeležile 860 mio USD.
Vendar pa bodo zavarovalnice oškodovanim podjetjem zaradi značilnosti kibernetskih zavarovalnih polic povrnile samo 10% do 20% finančne škode.
Odziv zavarovalnic na incident CrowdStrike je bil, da gre za sistemsko okvaro. To je namreč ključnega pomena za povrnitev škode, saj okvare običajno niso del kibernetskega zavarovanja.
Zato moramo takšne – in podobne – dogodke gledati širše ter upoštevati vse možne poslovne in zavarovalniške posledice.
Strokovnjaki namreč opozarjajo, da so poleg uveljavljanja odškodnine zaradi obratovalnega zastoja, lahko sprožijo tudi kritja v okviru drugih zavarovanj. Pri tem se omenja na primer zavarovanja D&O kot posledica napak in opustitev vodilnih, ki niso uspeli učinkovito obvladovati tveganj, povezanih z incidentom. Prav tako lahko obstaja potencialna izpostavljenost poklicni odgovornosti, če zahtevana storitev posodobitve programske opreme ni bila opravljena ustrezno. In tudi nekatera druga zavarovanja, kot je razvidno iz prikaza.
Vir: AON
Po začetnem odzivu na takšen incident in ponovni vzpostavitvi normalnega poslovanja, je pomembno, da se posvetimo podatkom za pokritje finančne škode. To je odgovornost zavarovancev, ki morajo sami poskrbeti, da zavarovalnicam predložijo prepričljive dokaze o negativnih posledicah.
Pri kibernetskem incidentu, kot je CrowdStrike, je na primer pomembno trajanje vpliva dogodka, od časa posodobitve in odpovedi delovanja sistemske programske opreme, do obnovitve njihovega pravilnega delovanja.
Izdelati je potrebno popis ključnih platform, sistemov in uporabnikov, ki so bili prizadeti in kako je to vplivalo na njihovo poslovne procese.
Prav tako potrebujemo seznam poslovnih področij, ki niso mogla opravljati svojih ključih nalog, in sprejete ukrepe.
Ovrednotiti pa je potrebno tudi vse negativne finančne učinke kot so izguba prihodkov in povečani stroški, vključno s stroški uveljavljanja zavarovalnih odškodnin.
Operativni in poslovni vpliv napake CrowdStrike je bil na srečo omejen, kar pa morda ne bo veljalo za bodoče incidente. Zato je pomembno, kaj se iz takšnih dogodkov lahko naučimo, in izboljšamo, da smo manj ranljivi in odpornejši v primerih, ki nas lahko doletijo v prihodnosti. To med drugim pomeni tudi pregled zavarovalnih pogodb in zavarovalne politike nasploh, pri čemer je koristna pomoč izkušenih strokovnjakov, kot so neodvisni zavarovalni posredniki.
Viri: ComputerWeekly AON