La pérdida financiera directa total que enfrentan las empresas de Fortune 500 como resultado de la interrupción de Microsoft – CrowdStrike del 19 de julio se ha fijado en aproximadamente 5.400 millones de dólares (4.180 millones de libras esterlinas), con una pérdida ponderada promedio de 44 millones de dólares por organización, aumentando a cerca de 150 dólares. m para los más afectados, como las aerolíneas.
Esto es según el proveedor de servicios de seguros, modelado y monitoreo de la nube Parametrix, que dijo que para muchas organizaciones Fortune 500, el impacto sería mayor porque sus grandes retenciones de riesgo y sus bajos límites de póliza en relación con pérdidas potenciales significan que la parte cubierta por las pólizas de seguro cibernético probablemente no represente más del 10% al 20% de la pérdida total.
El análisis de Parametrix encontró que la mayor pérdida financiera directa probablemente recaiga en aquellos en el sector de la salud (una caída acumulativa de 1.940 millones de dólares, seguidos por la banca, una caída de 1.150 millones de dólares). Esto representa el 57% de la pérdida total, pero sólo el 20% de los ingresos de Fortune 500 debido al impacto desigual del evento.
Por ejemplo, dijeron los analistas de la empresa, el sector manufacturero, el mayor segmento de Fortune 500 por ingresos, sufrirá una pérdida relativamente trivial de sólo 36 millones de dólares en comparación con sus ingresos anuales de 3,4 billones de dólares en 130 organizaciones, mientras que las seis aerolíneas representadas en la lista serán desembolsó 860 millones de dólares frente a unos ingresos totales de 187.100 millones de dólares.
Parametrix dijo que alrededor de una cuarta parte de las organizaciones Fortune 500 se vieron afectadas por el incidente, causado por un error de codificación en una actualización de CrowdStrike que arrojó las computadoras a un ciclo de arranque y provocó que los sistemas colapsaran. Esto incluye las seis aerolíneas de Fortune 500 y el 43% de los minoristas. Mientras tanto, tres cuartas partes de las empresas bancarias y de salud sufrirán costos directos.
“Nuestro análisis de la interrupción de CrowdStrike muestra no sólo el posible alcance de un evento de pérdida cibernética sistémica, sino también sus límites”, dijo Jonatan Hatzor, cofundador y director ejecutivo de Parametrix.
“Nos dice más sobre las formas en que las aseguradoras y reaseguradoras pueden diversificar sus carteras de riesgos cibernéticos para minimizar los impactos potenciales del riesgo cibernético sistémico.
“Sin embargo”, advirtió Hatzor, “nuestro análisis no muestra el panorama completo de la diversificación. Una aseguradora cibernética centrada en empresas muy grandes ciertamente sufrirá una pérdida CrowdStrike mucho mayor en relación con la prima que una con una cartera de PYME grande”.
Más allá de las pérdidas financieras, el impacto del tiempo de inactividad en los servicios críticos resultó en una cascada muy visible de retrasos operativos que afectaron a las empresas Fortune 500 y a las entidades downstream.
Parametrix dijo que era probable que en términos de recuperación de sistemas, aquellas industrias que todavía dependen en gran medida de computadoras físicas sean las que experimenten tiempos de recuperación más largos, un punto a favor de los servicios en la nube, señaló.
Dijo que el impacto general de la interrupción se hizo más evidente debido a la implementación de CrowdStrike tanto en entornos locales como en la nube.
En base a esto, pronosticó la firma, las aseguradoras cibernéticas no necesariamente deberían confiar únicamente en el evento para modelar fallas futuras basadas en la nube, sino que podrían intentar gestionar mejor los riesgos de interrupciones sistémicas mediante la diversificación entre sectores industriales, proveedores de servicios y tamaños de empresas.
“La prevención es importante, pero quienes asumen el riesgo tienen un control limitado sobre la ocurrencia de eventos y las prácticas de los proveedores de servicios”, dijo.
“La industria debería centrarse en áreas controlables, como mapear y gestionar el riesgo de agregación. Al comprender estos puntos, podemos evaluar las exposiciones clave y mitigar las amenazas tanto maliciosas como no maliciosas. Este enfoque proactivo permite mejores decisiones de suscripción y soluciones efectivas de transferencia de riesgos para gestionar el riesgo sistémico”.
Punto único de fallo
En términos más generales, Hatzor se hizo eco de las preocupaciones ya compartidas por otros observadores a raíz de la interrupción global, a saber, la prevalencia de soluciones tecnológicas estrechamente agrupadas que corren el riesgo de crear puntos únicos de falla.
“En el panorama digital actual, muchas empresas dependen en gran medida de sistemas y servicios integrados que, si bien son eficientes, también pueden dejarlas vulnerables. Cuando un componente crítico dentro de una solución estrechamente integrada experimenta un tiempo de inactividad o falla, puede desencadenar una cascada de interrupciones en todo el sistema”, dijo.
“Esta interconexión significa que una falla en un área puede provocar importantes interrupciones operativas, afectando todo, desde el servicio al cliente hasta la gestión de datos y las transacciones financieras”.
Hatzor expresó otras preocupaciones: tanto los reguladores como las ciberaseguradoras no están realmente preparados para abordar las complejidades y riesgos de tales sistemas. Como suele suceder, señaló, la rápida evolución de la tecnología ha superado el desarrollo de marcos regulatorios y modelos de evaluación de riesgos, lo que deja a las empresas expuestas a brechas en la cobertura de seguros o el apoyo regulatorio cuando llega lo peor.
“Esta falta de preparación puede exacerbar el impacto… dejando a las empresas más vulnerables a tiempos de inactividad prolongados y pérdidas financieras”, dijo.