El incidente de CrowdStrike en 2024 llegó al Reino Unido como un huracán. A medida que avanzaba por todo el país, se vuelve a poner en marcha a los hospitales, obligó a los hospitales a cancelar las operaciones y derribó los sistemas informáticos y sitios web de cientos de empresas.
Desde principios de la década de 1970, ha sido posible predecir el daño que probablemente sea causado por huracanes utilizando una escala de viento de cinco puntos.
Los huracanes de la categoría uno pueden dañar los techos o romper ramas en los árboles, y en el otro extremo de la escala, un huracán de categoría cinco podría dejar áreas inhabitables durante meses.
No hay tal manera de clasificar el impacto destructivo de eventos cibernéticos como la actualización de crowdstrike, que derribó las computadoras de Windows en todo el mundo en julio de 2024, pero eso cambiará, a medida que se inicia una iniciativa este año para evaluar el daño causado por los principales ataques cibernéticos. en una escala de cinco puntos inspirada en huracanes.
La industria de seguros ha creado el Centro de Monitoreo Cibernético (CMC), la primera organización de su tipo, como una organización de longitud de armas para evaluar el impacto de los ataques cibernéticos graves que tienen implicaciones sistémicas para la infraestructura y los servicios del Reino Unido. Su objetivo es facilitar que las empresas compraran cobertura de seguro cibernético, y saber exactamente qué se cubrirá y qué no.
Hay muchas formas de evaluar el impacto de un evento cibernético. Podría medirse en la pérdida de vidas a través de operaciones hospitalarias canceladas, la interrupción causada por las filtraciones de la información de identificación personal de las personas en Internet o las implicaciones estratégicas de la pérdida de información del gobierno clasificada a un estado nacional hostil.
El CMC se centrará en uno: el impacto económico. El Centro ha designado un comité técnico de expertos eminentes para asignar eventos cibernéticos a una escala de cinco puntos que va desde interrupciones a pequeña escala que afectan a cientos de personas a ataques catastróficos que afectan a cientos de miles. Los impactos de daños varían desde menos de £ 100 millones para eventos de categoría uno a más de £ 5 mil millones para la categoría cinco.
El Centro planea monitorear informes de prensa e informes de organizaciones empresariales para identificar ataques cibernéticos significativos con múltiples víctimas. Tiene asociaciones con proveedores de datos para proporcionar estadísticas sobre vuelos cancelados e interrupción a los centros de datos, y trabaja con el NHS para recopilar datos sobre operaciones canceladas y procedimientos hospitalarios. También tiene acceso a asesoramiento de expertos legales y especialistas en seguridad cibernética que responden a los incidentes, para ayudarlo a construir modelos financieros de cada evento cibernético significativo. Los modelos se revisan y se proban el estrés. El último dicho va al comité técnico de CMC
El Centro tiene como objetivo producir un informe de impacto dentro de los 30 días posteriores al evento cibernético que se centrará en pérdidas financieras inmediatas. No tendrá en cuenta las pérdidas a largo plazo causadas por, por ejemplo, el riesgo de litigio u otros efectos retrasados.
¿Qué cuenta como una guerra cibernética y quién decide?
El objetivo de la CMC es facilitar que las empresas compraran seguros cibernéticos y saber qué magnitud del evento cibernético en la escala de cinco puntos puede esperar que se cubra, dijo Ed Lewis, director y fundador del Centro.
La industria de seguros ha luchado durante mucho tiempo con cómo asegurar los riesgos cibernéticos. En 2022, Lloyds of London emitió un boletín que exige la exclusión de “incidentes de guerra cibernética” de la cobertura de seguros cibernéticos. Pero, ¿quién decidiría si un ataque cibernético era un acto de guerra de un estado hostil? ¿Gobierno o aseguradoras?
Agregue a eso las complejas cláusulas de exclusión desarrolladas por el mercado de Londres para el seguro cibernético, y fue un “sueño del abogado”, dijo Lewis.
Se hizo claro que lo que más importaba no era qué país era responsable de un acto de guerra cibernética, sino de la escala y la gravedad de un ataque. Si un ataque cibernético tuvo las huellas digitales para demostrar que estaba dirigido contra múltiples objetivos, tenía los sellos distintivos de un “ataque sistémico”.
Algunas aseguradoras, particularmente aquellas que aseguran múltiples pequeñas y medianas empresas, no cubren los riesgos sistémicos. Eso es evitar grandes pérdidas si varios clientes se ven afectados por el mismo incidente catastrófico. Sin embargo, las empresas pueden obtener cobertura de seguro para proteger contra los riesgos sistémicos de otras aseguradoras especializadas.
Durante el verano de 2022, Lewis fue con un equipo de abogados de su firma, Weightmans, trabajando con la aseguradora CFC, a Francia durante seis semanas para marcar una solución. Se les ocurrió la idea de crear una empresa limitada por garantía para actuar como un centro de especialización independiente en ataques cibernéticos sistémicos.
El equipo pasó la primera mitad de 2023 desarrollando una metodología para evaluar el impacto financiero de los ataques cibernéticos en una escala de cinco puntos inspirada en huracanes, y en octubre de ese año incorporó CMC como una empresa limitada por garantía.
Los ataques cibernéticos más comentados no son los más dañinos
El Centro revisó tres ataques cibernéticos en un juicio en 2024, y los resultados fueron sorprendentes. Algunos de los ataques cibernéticos más comentados no fueron necesariamente los más perjudiciales para la economía del Reino Unido.
Tome el ataque al servicio de transferencia de archivos, Moveit, en mayo de 2023. Afectó a más de 2,000 organizaciones y expuso los datos personales de alrededor de 64 millones de personas.
Aunque generó titulares en todo el mundo y cautivó la atención de la comunidad de seguridad cibernética, el impacto económico del ataque contra el movimiento en el Reino Unido fue tan “cercano a insignificante” como es posible alcanzar la escala de “huracán” del CMC.
En junio de 2024, otro grupo de ransomware atacó a Pathology Laboratory Synnovis, que procesa análisis de sangre para organizaciones del NHS en todo Londres. El ataque condujo a grandes interrupciones para las cirugías de GP y los fideicomisos del NHS, lo que llevó a retrasos en los procedimientos médicos, citas canceladas y escasez de existencias de sangre.
A pesar de atraer interés masivo, CMC juzgó el impacto económico como relativamente bajo, entre £ 100 millones y £ 1 mil millones, con menos del 0.1% de la población afectada. Eso le ganó una calificación de la categoría dos en la escala de cinco puntos.
El fracaso de una actualización del software de seguridad de CrowdStrike en julio de 2024 causó interrupciones mundiales en las computadoras de Windows, pero después de una explosión inicial de cobertura de prensa, no pudo capturar el interés continuo del público. Sin embargo, los expertos de CMC calificaron CrowdStrike como un incidente de categoría tres, significativamente más impactante que Moveit y Synnovis.
La necesidad de confianza y independencia
Las evaluaciones de la CMC pueden no ser infalibles, pero vienen con una metodología clara y usan datos para informar las decisiones del comité técnico, todo lo cual se publicará y abiertos al escrutinio público.
La idea es que el centro actuará muy como un árbitro independiente. Las empresas que ofrecen seguros y aquellos que compran un seguro podrán aceptar estar obligados por su decisión en cualquier disputa sobre la cobertura del seguro.
Eso significa que el Centro deberá verse como completamente independiente de la industria de seguros y el gobierno y que deberá construir una reputación de decisiones confiables para tener éxito.
Los planes actuales del Centro son recaudar fondos a través de las tarifas de membresía, con la organización con la esperanza de atraer miembros de una amplia gama de industrias, servicios profesionales, fabricación y venta minorista y aseguradoras. Sin embargo, Lewis enfatizó que las aseguradoras y el gobierno no tendrán influencia sobre las evaluaciones de la CMC.
“Lo que tenemos mucho claro es que el trabajo del comité técnico debe ser independiente del gobierno e independiente de las aseguradoras”, dijo. “Deben estar tan lejos como sea posible, más allá del potencial de juicio político”.
CMC podría afectar la política gubernamental
Es probable que el trabajo de CMC influya en la dirección de la política gubernamental sobre los riesgos cibernéticos. Muchos esperan que ayude a cambiar el equilibrio de la regulación de las fugas de datos policiales a las fallas cibernéticas policiales, lo que resulta en la pérdida de servicios esenciales.
Ciaran Martin citó como ejemplo un ataque del grupo de ransomware Conti en el Servicio de Salud Irlanda, que interrumpió la atención médica durante meses en 2021.
Cuando el estado irlandés se negó a pagar inmediatamente el rescate, el grupo de delitos Conti intensificó la presión al liberar datos médicos en Internet. Fue solo en ese momento que el ejecutivo del servicio de salud de Irlanda se vio obligado a notificar a los reguladores sobre el incidente.
“Es una ilustración tan marcada del punto que todo un sistema nacional de atención médica, incluidas las cirugías del cáncer, tuvo que detenerse, y eso no es un incumplimiento de las obligaciones, sino la pérdida de una pequeña cantidad de datos médicos [was considered a breach]”, Dijo a Computer Weekly.
Eso podría cambiar en el Reino Unido si el proyecto de ley de seguridad cibernética y resiliencia pasa por el parlamento como se esperaba. Presenta obligaciones para que las organizaciones mantengan servicios críticos y podrían conducir a informes obligatorios de ataques de ransomware.
“No digo: ‘Derogamos la regulación de los datos e imponemos obligaciones de servicio radicales en pequeños salones de peluquería’, pero digo: ‘Pensemos con cuidado'”, dijo Martin.
Si le da a una víctima la opción entre dos situaciones malas: una es la pérdida de servicios de salud críticos y el otro es la pérdida de sus datos personales, la mayoría de las personas optarían por perder datos personales en lugar de perder acceso a la atención médica, agregó.
Lewis está de acuerdo. “Parece haber un enfoque desproporcionado en los incidentes cibernéticos que también implican una violación de datos”, dijo. “Creo que probablemente sea justo decir que ha habido bastante críticas a la oficina del Comisionado de Información y cómo se han utilizado esos poderes en los últimos tiempos”.
Necesito abordar el ‘estigma de la víctima’
Espera que el CMC pueda eliminar lo que él llama “estigma de la víctima”, donde el miedo a la mala publicidad o litigios puede liderar a las organizaciones golpeadas por ataques cibernéticos para optar por el secreto en lugar de la apertura.
Hay señales de que esto ya está sucediendo. La Biblioteca Británica, que enfrentó una gran interrupción después de un ataque de la pandilla de ransomware Rhysida, publicó un informe integral de lecciones aprendidas, que fue ampliamente aplaudido en la comunidad de seguridad cibernética.
La Federación Harris, una red de escuelas en Londres y el sudeste que perdió acceso por correo electrónico y teléfono después de un ataque de ransomware en 2021, ha hablado sobre su experiencia en una serie de podcasts para ayudar a otros a mejorar su propia resiliencia cibernética.
Para Martin, el objetivo principal del CMC es ofrecer un mercado de seguros mejor funcional y una mejor provisión para las empresas que buscan asegurar contra los ataques cibernéticos.
Le gustaría ver que el CMC gane credibilidad con el tiempo como fuente de información objetiva para los documentos académicos, gubernamentales e industriales.
Y si el CMC está haciendo su trabajo, dijo, los medios de comunicación podrán manejar mejor qué incidentes cibernéticos son graves y lo que probablemente tenga un impacto económico menor.