Actualizarea de rutină efectuată de CrowdStrike a software-ului său de securitate cibernetică utilizat pe scară largă, care a provocat săptămâna trecută prăbușirea sistemelor informatice ale clienților la nivel mondial, rămâne în centrul dezbaterilor. Pe măsură ce lumea continuă să evalueze consecințele a ceea ce a fost numit „cea mai mare întrerupere IT din istorie”, liderii industriei și guvernelor se gândesc, probabil, cum de a fost posibil acest blocaj cibernetic la nivel mondial.
După cum scrie The Conversation, cel mai tragic este că firma de securitate cibernetică CrowdStrike, compania care se află în centrul tuturor acestor lucruri, este menită să protejeze sistemele IT din economia globală hiperconectată. Întrebările firești care se pun acum sunt dacă CrowdStrike a fost de vină sau pur și simplu a avut ghinion și câte șanse sunt ca povestea să se repete.
Multe companii mari urăsc să se gândească și să se pregătească pentru așa-numitele evenimente tip „lebădă neagră” – catastrofe majore care sunt greu de prezis. Evenimentele de vinerea trecută au arătat cât de important este să o facă.
Riscul nu este o alegere
Întreprinderile se confruntă cu tipuri diferite de riscuri. Dintre acestea, întreruperea IT de vineri, 19 iulie, a fost doar un exemplu de eveniment de risc operațional. Riscul operațional este definit în linii mari ca:
riscul de pierdere ca urmare a unor procese interne, persoane, sisteme sau evenimente externe ineficiente sau eșuate.
În termeni mai simpli, riscul înseamnă ca ceva să meargă prost în modul în care funcționează o afacere.
Blocajul din 19 iulie a făcut ravagii rapid într-o gamă largă de afaceri integrate cu tehnologie. S-ar putea să pară genul de eveniment care este imposibil de prezis.
Acest eveniment era inevitabil și riscă să se repete
Dar acest eveniment de risc operațional, în termeni generali, era previzibil. Un astfel de eveniment era inevitabil. Și se va întâmpla din nou. Iată câteva motive.
Economia în rețea
Beneficiem zilnic de o lume în rețea, care permite economiei să funcționeze la o viteză nebănuită cu decenii în urmă. Acum depindem de tehnologie pentru aproape fiecare aspect al vieții noastre.
Dar această rețea și viteza de activitate înseamnă că atunci când lucrurile merg prost, pot merge prost rapid peste tot. Este o decizie de compromis. Dacă dorim beneficiile economiei bazate pe date, în rețea, trebuie să acceptăm un anumit risc, scrie publicația.
Decizia de compromis se extinde la alegerile făcute de furnizorii de software și servicii din amonte pe care ne bazăm.
Această lecție dureroasă a fost învățată de companii care nu auziseră niciodată de CrowdStrike, dar au aflat repede că software-ul-cheie se bazează pe el. Alegerea furnizorilor din amonte înseamnă acceptarea riscurilor aferente deciziilor de compromis.
Concurența este bună, dar și efectele de rețea sunt la fel
Un principiu fundamental al economiei este că, în general, concurența este bună. Cu toate acestea, pe piețele tehnologice, vedem adesea doar câțiva jucători care le domină. Acest lucru se datorează în parte a ceea ce economiștii numesc externalități de rețea.
Externalitățile de rețea pozitive apar atunci când creșterea numărului de utilizatori ai unui produs sau serviciu crește valoarea acestuia.
De exemplu, Microsoft Windows este omniprezent, deoarece are o masă critică de utilizatori. Mulți oameni știu să-l folosească, ceea ce atrage mulți dezvoltatori să ofere aplicații utile. Externalitățile rețelei conduc la dominarea pieței.
Evenimentele de vineri au fost atât de vaste, deoarece Microsoft și CrowdStrike sunt jucători dominanți pe piețele respective.
Deși nu a fost un incident Microsoft, compania a estimat că întreruperea a afectat aproximativ 8,5 milioane de dispozitive Windows din întreaga lume. Adică mai puțin de 1% din tot ce înseamnă Windows. Microsoft a spus că, deși acest procent poate părea mic, impactul economic și societal amplu reflectă utilizarea CrowdStrike de către întreprinderile care administrează multe servicii critice.
Am beneficiat enorm de pe urma externalităților de rețea ale dominației acestor companii, cu prețul de a ne expune riscului unor astfel de dependențe.
Cum să te gândești la risc
Astfel de vulnerabilități nu înseamnă că nu putem gestiona în continuare aceste riscuri. Managementul eficient al riscului presupune interacțiunea dintre trei factori:
- apetitul pentru risc – cât de mult risc suntem dispuși să acceptăm
- înțelegerea riscurilor cu care ne confruntăm – păstrarea unui registru al riscurilor organizaționale
- investiții în tratamente de risc pentru a menține riscurile în limitele apetitului nostru.
Apetitul pentru risc și înțelegerea sa variază semnificativ între diferitele afaceri, la fel și amploarea investițiilor în tratamente.
Riscul unei întreruperi precum cea de vineri ar fi trebuit să fie în registrul de risc al organizațiilor afectate. Putem alege apetitul pentru risc și, în consecință, investim în tratamente de risc pentru a menține riscurile identificate în cadrul acestuia.
De exemplu, investiția în sisteme complet redundante, ca tratament, ar fi putut limita o parte din daunele evenimentelor de vineri. Multe sisteme care nu foloseau CrowdStrike nu au fost afectate direct. Unele organizații au reușit să revină la sisteme pe hârtie.
Dar redundanța în sisteme este foarte costisitoare și există întotdeauna riscul ca mai multe să eșueze simultan.
Managementul riscului este complex. CrowdStrike în sine este un tratament de risc – pentru riscul atacurilor cibernetice. Întreruperea de vineri a rezultat în parte din corecția rapidă – o lansare rapidă a unei actualizări pentru a trata un anumit risc de atac cibernetic. În tratarea unui risc, ne putem expune la noi riscuri.