Mitä CrowdStrike opettaa meille toimitusketjun hallinnasta
Sisällysluettelo:
Tämän kesän maailmanlaajuinen IT-seisokki, joka kaatoi miljoonia tietokoneita ja maadoitettuja lentoyhtiöitä maailmanlaajuisesti, osoitti, kuinka vaikeaa on hallita nykyaikaista digitaalista toimitusketjua. Voiko tehokas asiakasriskien hallinta auttaa korjaamaan aukkoja?
Heinäkuun 19. päivänä alkoi ilmestyä raportteja Windows-järjestelmien massiivisesta katkoksesta, joka levisi useille toimialoille. Päätepisteet olivat alhaalla eivätkä käynnistyneet kunnolla, mikä johti historian merkittävimpään IT-katkoksena. Ongelma johtui logiikkavirheestä CrowdStriken tietoturvaohjelmiston päivityksessä, joka kaatui 8.5 miljoonaa järjestelmää, Microsoftin mukaan. Palautus oli monimutkainen, manuaalinen prosessi. Peruttujen lentojen mukana kärsivät myös pankkiasiakkaat ja terveydenhuollon potilaat, sillä katkos vaikutti taloustoimiin ja jopa viivästyneet kirurgiset toimenpiteet.
"Äskettäinen tapaus vahvistaa, kuinka kasvava riippuvuus toisiinsa yhdistettyihin IT-järjestelmiin on laajentanut riskipintaa", sanoi edustajainhuoneen sisäisen turvallisuuden komitean puheenjohtaja Mark E. Green, joka kuulee CrowdStriken todistajanlausunnon 24. syyskuuta. On vaikeampaa kuin koskaan hallita toimitusketjun riskejä, koska ketjujen koko ei ole vain ketjun suuri, vaan myös niiden tarjoamien ohjelmistotuotteiden ja prosessien monimutkaisuus.
"Sanoin sinulle niin", sanoo GAO
Yhdysvaltain hallituksen tilivelvollisuusvirasto ei halua sanoa, että se kertoi sinulle niin, mutta haluaisi myös muistuttaa, että niin kävi. Vuonna a blogi Tapahtuman jälkeen se toi esiin vahvoja yhtäläisyyksiä tämän tahattoman virheen ja SolarWindsin ja sen asiakkaiden vuonna 2020 vaarantavan kyberhyökkäyksen välillä.
Toukokuusta 2010 lähtien GAO on teki 1610 suositusta kattaa neljä kyberturvallisuuden haastealuetta. Yksi niistä – kattavan kyberturvallisuusstrategian luominen ja tehokkaan valvonnan suorittaminen – on toimitusketjun riskien ensisijainen painopistealue. Kesäkuun raportissa hallituksen pyrkimyksistä lieventää kyberriskiä, GAO sanoi, että virastot eivät ole toteuttaneet 43 prosenttia tämän alan suosituksista.
Konsolidoidun toimitusketjun hallinta
"Liittovaltion hallituksen on ryhdyttävä toimiin tehokkaan valvonnan suorittamiseksi, mukaan lukien maailmanlaajuisen toimitusketjun valvonta", GAO lisäsi raportissaan. Mutta miten toteutat tehokkaan valvonnan voimakkaassa yrityksessä, joka hallitsee leijonanosaa markkinoista?
Dan Geer, joka osallistui X Windows -järjestelmän ja Kerberosin kehittämiseen ja on nyt In-Q-Telin vanhempi tutkija, tutki vuoden 2003 raportissaan, kuinka teknologian monokulttuurit vaikuttavat turvallisuuteen. CyberInsecurity: Monopolin hinta. Se osui tarpeeksi hermoille yritysteknologiassa, että hänet erotettiin julkaisun jälkeisenä päivänä.
21 vuotta myöhemmin ja viikko CrowdStrike-katkosten jälkeen hän muistutti meitä ongelmasta:
"Tiedämme, että suojaava redundanssi ei tapahdu vain, ja tiedämme, että miljoonat laitteet eivät tarjoa lainkaan suojaa, vaan pikemminkin päinvastoin", hän sanoi. "Tiedämme, että riskin lähde on riippuvuus, ja tiedämme, että kokonaisriski on verrannollinen kokonaisriippuvuuteen."
Kuten Geer huomauttaa, markkinoiden konsolidoituminen, joka tuottaa miljardeja laitteita yhtälailla, on taloudellinen trendi. Windowsilla on yli 70 prosenttia työpöytäkäyttöjärjestelmämarkkinoista, ja kaksi yritystä – Microsoft ja CrowdStrike – omistavat 44 prosenttia keskinäisistä päätepisteiden suojausmarkkinoista.
Tämä trendi ei ole palannut sitten vuoden 2003. Se ei palaa myöskään tulevaisuudessa. On monia syitä, miksi yritykset valitsevat saman ohjelmiston kuin muutkin, aina käytettävyydestä (saatavilla olevien ratkaisujen määrä konsolidoituu ajan myötä) riskien välttämiseen (ketään ei koskaan irtisanottu IBM:n ostamisesta) ja hallittavuutta (se on helpompi hallita ja tukea) tuhannen Windows-koneen laivasto kuin joukko erilaisia päätepistekäyttöjärjestelmiä).
Epäilemättä suuret yritykset tekevät parhaansa noudattaakseen kyberturvallisuuden parhaita käytäntöjä, mutta virheitä tapahtuu. Yhdysvaltain hallituksen kyberturvallisuuden arviointilautakunta löytyi että Microsoftin tietoturvakulttuuri oli "riittämätön ja vaatii uudistamista" sen jälkeen, kun verkkorikolliset hakkeroivat sen järjestelmiin ja vaaransivat salausavaimen, joka antoi heille pääsyn ylempien johtajien tileille. CrowdStrike, vaikka sopivasti itsesuojautuva niin kauan kuin se ei maksa liikaa, julkaisi bugisen päivityksen, jota se ei saanut kiinni.
Microsoft ja CrowdStrike pitivät suljettujen ovien tapaamisen syyskuun 10. päivänä keskustellakseen siitä, kuinka he voivat välttää tällaisen tapahtuman toistumisen. He keskustelivat toimenpiteistä, kuten vähemmän luottamisesta ydintilaan, jossa bugiset ohjelmistot voivat aiheuttaa heinäkuussa nähtyä äärimmäistä vahinkoa. Kuten CrowdStrike selittää, joka vaatii Microsoftin työtä.
CrowdStrike sanoi myös, että se noudattaisi nyt muita toimenpiteitä, kuten käyttämällä Canary-julkaisuja - mikä on paras peruskäytäntö skaalatussa käyttöönotossa - rajoittaakseen vaurioita pienempään määrään koneita.
Vaikka onkin kiitettävää, että tällaiset suuret yritykset oppivat nämä läksyt nyt, on huolestuttavaa, että ne tekevät niin asiakkaidensa penniäkään.
Mitä asiakkaat voivat tehdä asialle
On tärkeää noudattaa toimittajien hallinnan valvontaa, kuten esim ISO 27001 liite A 5.22, mutta kuten ISMS.online sanoo, on tärkeää olla pragmaattinen sen suhteen, kuinka paljon voit vaikuttaa suureen toimittajaan.
ISO 27001:llä on kuitenkin paljon annettavaa häiriötilanteisiin reagointivalmiudessa. Se alkaa riskien suunnittelulla perusteellisella arvioinnilla ISO 27001:n mukaisesti lauseke 6. Se tarjoaa myös arvokasta opastusta Ohjaus 5.30, joka valmistaa organisaatioita toiminnan jatkuvuuteen ongelmatilanteissa.
Nämä käytännöt eivät ehkä suojaa yritystä suurilta tapauksilta toimitusketjun alkupäässä, mutta ne voivat auttaa minimoimaan tällaisten tapahtumien vaikutusta loppupäässä ja ylläpitämään palveluita asiakkaille ja liikekumppaneille.
