أدى التحديث الفاشل لشركة الأمن السيبراني CrowdStrike منذ أكثر من أسبوع إلى كارثة عالمية في مجال تكنولوجيا المعلومات أدت إلى إغلاق خدمات أساسية في العديد من الصناعات، بما في ذلك الرعاية الصحية والسفر والخدمات المصرفية وغيرها الكثير.
ومع تسارع الشركات لإصلاح المشكلة، التي تتطلب الاهتمام اليدوي المباشر بكل جهاز متأثر، تعرضت الإيرادات لضربة قوية. وأدى الانقطاع إلى اضطرابات كبيرة في تكنولوجيا المعلومات على مستوى العالم، وتوقف شركات الطيران، وضرب المستشفيات ومحطات التلفزيون والأسواق المالية بشدة.
وبحسب شركة المخاطر السحابية Parametrix، تسبب الانقطاع في خسائر مباشرة إجمالية بلغت 5.4 مليار دولار. وتكبد قطاع الرعاية الصحية أكبر الخسائر، حيث بلغت خسائره 1.9 مليار دولار، بينما تكبد قطاع البنوك خسائر بلغت 1.4 مليار دولار. ومن المرجح أن تتكبد الشركات في كل قطاع خسائر تبلغ في المتوسط 43.6 مليون دولار لكل منها.
وقال جوناثان هاتزور، المؤسس المشارك والرئيس التنفيذي لشركة بارامتريكس، في بيان: “يظهر تحليلنا لانقطاع CrowdStrike ليس فقط المدى المحتمل لحدث الخسارة السيبرانية النظامية، ولكن أيضًا حدوده”.
وبحسب تقرير بارامتركس، فإن سياسات التأمين على الأمن السيبراني لن تغطي سوى 10% إلى 20% من خسائر الإيرادات (أو 540 مليون دولار إلى 1.08 مليار دولار). ومن المرجح أن تكون شركة كراود سترايك محمية من الدعاوى القضائية المحتملة، كما قال هاتزور لموقع ماركت ووتش. وقال هاتزور: “لا تستطيع كراود سترايك تحمل المسؤولية عن كل التأثير المالي وجميع عملائها بطريقة غير محدودة … ومن المستحيل على الشركات تحمل الكثير من المخاطر”.
من جانبها، قالت شركة CrowdStrike إن المقارنة بين الأسبوعين أظهرت أن 97% من أجهزة استشعار Windows كانت متصلة بالإنترنت في 24 يوليو/تموز ـ بعد خمسة أيام من الانقطاع. وفي اتصال مع InformationWeek، قالت الشركة إنها لا تملك تحديثًا آخر.
ما وراء الدولارات والسنوات
ولكن للأسف، هناك جروح أعمق في الأعمال التجارية ينبغي أخذها في الاعتبار، وفقاً لآلي ميلين، المحللة الرئيسية في شركة فورستر. وتقول ميلين في مقابلة عبر البريد الإلكتروني مع InformationWeek: “إن الخسائر الناجمة عن هذا الحادث تمتد إلى ما هو أبعد من تكنولوجيا المعلومات والأمن. ولسوء الحظ، أثرت هذه الحادثة في كثير من الحالات على استمرارية الأعمال، وهو ما كان له تأثيرات فورية على قدرة العملاء والشركاء على الوصول إلى الأعمال والتفاعل معها، وتأثيرات دائمة على سمعة العلامة التجارية، وتجربة الموظفين، وتجربة العملاء”.
وبحسب شركة بارامتركس، تأثر نحو ربع شركات فورتشن 500، بما في ذلك 100% من شركات الطيران، بانقطاع الخدمة. كما عانى نحو ثلاثة أرباع قطاعي الصحة والبنوك من خسائر مباشرة في الإيرادات.
وقال هاتسور “إن الوقاية مهمة، ولكن شركات نقل المخاطر لا تملك سيطرة كافية على وقوع الأحداث وممارسات مقدمي الخدمات. ويتعين على الصناعة أن تركز على المجالات التي يمكن التحكم فيها، مثل رسم الخرائط وإدارة مخاطر التجميع”.
تقول مارثا هيلر، الرئيسة التنفيذية لشركة البحث التنفيذي هيلر سيرش، إن مسؤولي تكنولوجيا المعلومات يتحملون قدرًا كبيرًا من عبء الانقطاع، مع تصاعد التوترات الأمنية المتصاعدة بالفعل. وتقول هيلر في مقابلة عبر البريد الإلكتروني مع InformationWeek: “يضيف هذا تأثيرًا حقيقيًا إلى التوتر الذي نشعر به جميعًا في عالم تقني عالمي متصل بشكل متزايد. يتحمل مسؤولي تكنولوجيا المعلومات دائمًا العبء الأكبر من المسؤوليات عن الانقطاعات، ولن يكون الأمر مختلفًا هذا العام”.
هل يمكن منع الأحداث المستقبلية؟
يقول ميلين من شركة فورستر إنه يمكن اتخاذ خطوات لمنع الأضرار العميقة الناجمة عن انقطاع خدمة CrowdStrike:
وتقول إن كل منظمة تحتاج إلى طلب معلومات متعمقة من XDR [extended detection and response] إن البائعين فيما يتعلق بالوصول إلى النواة (يعد وصول CrowdStrike إلى النواة أمرًا أساسيًا لعروضه ويُشار إليه باعتباره السبب الرئيسي في الانقطاع الواسع النطاق). حتى إذا كنت لا تستخدم CrowdStrike، فمن المحتمل أن يكون لدى بائعي أمان نقاط النهاية الآخرين وصول إلى النواة ويجب على الشركات أن تفهم مدى هذا الوصول والتعرض المحتمل.
بالنسبة لهيلر، فإن انقطاع خدمة CrowdStrike يمثل فرصة لقادة تكنولوجيا المعلومات لإلقاء نظرة أوسع على خطط أعمالهم. وتقول: “في عصر الشراكات الوثيقة بين بائعي البرامج والشركات العالمية الكبرى، عندما يمكن أن تتسبب تحديثات البرامج في حدوث تعطل كبير في الأعمال، يجب على مسؤولي تكنولوجيا المعلومات مراجعة خطط استمرارية أعمالهم لضمان التعافي من هذا المصدر المحدد للانقطاع”.
الاختبار، الاختبار، الاختبار
يقول ميلين من شركة فورستر إن الشركات بحاجة إلى التفكير في إجراء اختبارات داخلية لتحديثات المحتوى، لكن هذا الاختبار يأتي على حساب التكاليف. “في نهاية المطاف، من المفترض أن يتم تنفيذ تحديثات المحتوى من هذا النوع بسرعة لأنها توفر الحماية ضد أحدث التهديدات التي نراها في البرية. يمكن أن يكون الاختبار الداخلي المكثف لتحديثات المحتوى مكلفًا ومرهقًا …”
ويقول ميلين إن الجزء الأكبر من اختبار التحديث يجب أن يتم التعامل معه من قبل بائع الأمان.
وتقول هيلر إنه من المهم التمييز بين حادث الأمن السيبراني وحادث تحديث البرنامج، حيث ستكون الاستجابات والدروس المستفادة قابلة للتطبيق على الأخير على وجه التحديد. وتقول إن أحداث تحديث البرنامج “ستحدث بتواتر متزايد مع قيام بائعي البرامج لدينا بتعزيز أتمتة إدارة الإصدارات الخاصة بهم. وينبغي لمسؤولي المعلومات أن يستغلوا هذه الفرصة لتثقيف مجالس إداراتهم بشأن الأحداث السيبرانية مقابل أحداث تحديث البرنامج، وما ينبغي أن يكون عليه دور المجلس في تخطيط استمرارية الأعمال”.
ويضيف هيلر: “سيطرح معظم مسؤولي المعلومات المزيد من الأسئلة حول كيفية قيام CrowdStrike (وشركاء البرامج الآخرين) بإجراء التحديثات التلقائية لبرامجهم”.
