Marsh zegt dat er genoeg lessen te leren zijn uit de systeemstoring bij cyberbeveiligingsbedrijf CrowdStrike, waarvan wordt aangenomen dat het de grootste IT-storing ooit is. “De grootste les is dat er geen manier is om technische uitval echt te voorkomen”, zegt Tom Reagan, Global cyber practice leader bij de makelaar. “Dus hoe leef je ermee, hoe manage je ze en hoe beperk je ze?”Marsh is een van de bedrijven die het CrowdStrike-incident hebben gebruikt om riskmanagers te waarschuwen voor het belang van incidentbeheer, risicokapitaal, cyberbeveiliging en andere risicopraktijken.
De uitval begon op 18 juli toen een software-update van de cyberbeveiligingsleverancier fout ging, waardoor miljoenen computers, platforms en netwerken die op Windows-systemen draaien werden getroffen. Volgens Erica Davis, global co-head of cyber bij Guy Carpenter, had het incident de “potentie om de catastrofe te worden waarop bedrijven zich hadden voorbereid, maar die ze nog niet hadden meegemaakt”.
In werkelijkheid werd echter minder dan 1% van de wereldwijde bedrijven getroffen en Guy Carpenter verwacht dat de verzekerde schades tussen de $400 miljoen en $1,5 miljard zullen liggen. “De schades lijken aanzienlijk maar beheersbaar”, aldus Davis. In de eerste twee tot drie weken na de aanval zag Marsh meer dan 500 getroffen klanten en ongeveer 375 schademeldingen, aldus Gill Collins, Head of Cyber Incident Management & en Cyber Advisory, Marsh Pacific.
Collins ziet drie belangrijke lessen die riskmanagers kunnen leren uit de hele ervaring. Ten eerste: test regelmatig uw cyberrespons- en bedrijfsonderbrekingsplannen. Ten tweede, zorg ervoor dat je back-upnetwerken hebt als je communicatie uitvalt. En ten slotte is het risico voor de toeleveringsketen van derden belangrijk en moet het worden opgenomen in uw bedrijfsonderbrekingsplan.”Bedrijven moeten beter reageren op aanvallen. Aanzienlijke verstoringen kunnen uit verschillende bronnen komen en er is behoefte aan een betere organisatorische paraatheid.”
Volgens hem is er sprake van variatie in de kwaliteit van de reactie van bedrijven. “Degenen die het goed deden, hadden een verfijnde manier van denken en de rigueur van het testen en implementeren van de geleerde lessen. Veel organisaties kijken één keer per jaar naar hun responsplan. Ze moeten dit regelmatiger doen, drie tot vier keer per jaar, en met behulp van een verscheidenheid aan scenario’s.” .
De uitval van CrowdStrike onthult ook de onderlinge afhankelijkheden die zoveel bedrijven hebben in hun digitale infrastructuur en riep vragen op over hoe dit moet worden aangepakt. Er moet meer worden nagedacht over het beheer van externe leveranciers. In de meeste gevallen worden de risicoprogramma’s bij externe leveranciers beheerd door inkoopteams, zegt Kris Lovejoy, Global Practice Leader, Security and Resiliency, voor de Amerikaanse IT-infrastructuurdienstverlener Kyndryl.
.Wat deze teams meestal doen, is hun externe leveranciers rangschikken in volgorde van belangrijkheid. “Het kan een kleine organisatie zijn, maar het kan heel belangrijk zijn in termen van potentiële verstoring van je bedrijf,” zegt Lovejoy.“De verplichtingen die je aan deze bedrijven oplegt, zullen verschillen op basis van hun belang. Als het niet werkt, heb je een nieuwe aanpak nodig. Je kunt niet alle partners hetzelfde behandelen.” Hij sprak ook over de noodzaak om “opnieuw na te denken over hoe we risico’s beheren voor digitaal georiënteerde bedrijven en te stoppen met het scheiden van organisaties op basis van hun functie”.
Een nieuwe functie die steeds vaker voorkomt is die van chief resilience officer, vooral in Europa, waar bedrijven te maken krijgen met de op handen zijnde invoering van de Digital and Operational Resilience Act (DORA). Een groot deel van die rol bestaat uit het bepalen van de risicotolerantie van het bedrijf, aldus Lovejoy. “Veel bedrijven kunnen niet beslissen waar ze zonder kunnen… Je moet uitzoeken wat het meest waarschijnlijk kapot gaat en hoe lang en hoeveel me dat gaat kosten. Je moet die discussie voeren en dat proces vervolgens testen. Het is alsof je in een wereld van bacteriën leeft. Je zou jezelf kunnen steriliseren en nooit meer naar buiten gaan. Maar dat is niet realistisch. Kun je binnen bepaalde grenzen opereren? Welk noemenswaardig incident zou je bottom line en top line beïnvloeden? En als je geen cyberaanvallen ervaart, ben je er waarschijnlijk blind voor.”