עלות ההשבתה של תקלת קראודסטרייק – גדולה מהצפוי

עלות נזקי ההשבתה בשל תקלת עדכון התוכנה של קראודסטרייק (CrowdStrike), עלולה להיות גבוהה יותר מכפי ששיערו, כך לפי כמה אנליסטים.

כמה ימים לאחר השבתת הענק, העריכה חברת הביטוח וניטור הענן פרמטריקס (Parametrix), כי עלות התקרית לחברות הפורצ'ן 500 בארה"ב תעמוד על 5.4 מיליארד דולר, בהפסד כספי ישיר. אולם השבוע אנליסטים העריכו כי הסכום צפוי להיות דו-ספרתי במיליארדי דולרים.

ההערכה באה ברקע הקביעה כי העלות הכוללת לכלכלת בריטניה מהשבתת ה-IT העולמית תעמוד על סכום שבין 1.7 ל-2.3 מיליארד ליש"ט – לפי Kovrr, הפועלת בעולם ניהול הסיכונים ובכללם סיכוני סייבר. אנליסטים ציינו כי הנתון משקף נזק עולמי הנע בין 10 ל-30 מיליארדי דולרים. זאת, כי היחס בין כלכלות ארה"ב ובריטניה, במדדים השונים – נע בין 1:5 ל-1:9.

𝗧𝗵𝗲 𝗯𝗶𝗹𝗹𝗶𝗼𝗻-𝗱𝗼𝗹𝗹𝗮𝗿 𝗺𝗶𝘀𝘁𝗮𝗸𝗲 𝘀𝘁𝗿𝗶𝗸𝗲𝘀 𝗮𝗴𝗮𝗶𝗻

On July 19, 2024, customers complained that our app didn't work correctly. We immediately checked what was happening and detected the problem with the Azure SQL database, which was not working correctly.… pic.twitter.com/KRgu3WSArY

— Dr Milan Milanović (@milan_milanovic) September 3, 2024

8.5 מיליון מחשבים מבוססי חלונות הושבתו

ב-19 ביולי השנה, עדכון תוכנה אוטומטי של פלטפורמת ההגנה פלקון (Falcon)  של ענקית האבטחה גרם להשבתה של מיליוני מחשבים מבוססי מיקרוסופט (Microsoft) ברחבי העולם. לאירוע היו השפעות מתמשכות בימים שלאחר מכן. הוא גרם להשבתה של 8.5 מיליון מחשבים מבוססי חלונות להיות במצב של "מסך המוות הכחול". אלה לא תפקדו ולא היו ניתנים להפעלה עד שתוקנו באופן ידני על ידי אנשי IT.

ההשפעות תקלת הענק הורגשו באופן נרחב – עם שיבושים גדולים בתעבורה האווירית, בשירותי הבריאות והבנקאות ובארגונים ממגזרי פעילות רבים אחרים.

הערכות בדבר היקף הנזק עמדו, כאמור, על מיליארדי דולרים. קראודסטרייק התחייבה לבצע בדיקות נוספות ולפרוס את העדכונים הבאים באופן מדורג, כדי למנוע הישנות של בעיות שכאלה בעתיד.

התקרית הביאה לשיבושים נרחבים בכל העולם, כולל סופרמרקטים שלא הצליחו לקבל תשלומים בכרטיסי אשראי, שידורי טלוויזיה שלא צלחו, וביטולים של אלפי טיסות. כך, למשל, רשת סקיי ניוז ירדה מהאוויר לכמה שעות ואילו אמריקן איירליינס קרקעה 400 טיסות ביום הראשון של האירוע ו-50 טיסות למחרת.

Should IT outage be part of any cyber insurance policy?

→ https://t.co/nbw9kVSTOU

It's both a challenge and opportunity for the reinsurance industry according to AON. Following the Crowdstrike global outage, this is for sure something to add to the "emerging risks" category. pic.twitter.com/kAziqVsE5X

— Florian Graillot (@FGraillot) September 2, 2024

מקרה מבחן מעניין: כיצד חלים תנאי הביטוח על תקריות לא זדוניות

חישוב העלות של התקרית החמורה, לפי Kovrr, מבוסס על היקף נקודות הקצה ברחבי העולם, בשילוב נתח השוק של קראודסטרייק, עם הנחת עבודה שכל ארגון שנפגע – חווה בממוצע זמן השבתה של יום עבודה אחד. ההערכה גם לוקחת בחשבון את העלויות הכרוכות בהפרעה לעסק, לצד הוצאות שנגרמו במהלך התגובה ולאחריה.

"לחברות גדולות רבות יש ביטוח סייבר, כך שהן לא יצטרכו לשאת בעלות הכוללת של האירוע הזה", נכתב בדו"ח של Kovrr. ואילו Beazley, המבטחת הגדולה ביותר של סיכוני סייבר ב-2023, הצהירה כי התקרית לא תשפיע על תחזיות הרווחיות שלהן לשנה.

רעידת האדמה והצונאמי ביפן ב-2011 יצרו הפסדים של כ-56 מיליארד דולרים לעולם הביטוח. הוריקן קתרינה (2005) היה אירוע אסון הטבע היקר ביותר והביא לנזקים ביטוחיים של 102 מיליארד דולרים. "השבתת ה-IT תהיה מקרה מבחן מעניין: כיצד חלים תנאי הביטוח על סוגים אלה של תקריות לא זדוניות", סיכמו החוקרים.

בשבוע שעבר פרסמה ענקית האבטחה את תוצאותיה הכספיות לרבעון השני שלה. הנתונים העלו כי למרות ההשבתה, החברה הצליחה לענות על ציפיות האנליסטים. בשיחה הרבעונית עם אנליסטים, ג'ורג' קורץ, מנכ"ל קראודסטרייק, התנצל על ההשבתה והודה לשותפי החברה וללקוחות על "המשך האמון" בה. "הימים שלאחר התקרית היו מהמאתגרים בקריירה שלי – כי הרגשתי באופן עמוק את מה שהלקוחות שלנו חוו", אמר.

ברט פודבר, סמנכ"ל הכספים של קראודסטרייק, ציין כי "מוקדם מדי עבורנו להעריך כל חשיפה משפטית אפשרית שתהיה לנו בשלב זה". 

הלקוחה שנפגעה ככל הנראה בצורה החזקה ביותר מההשבתה היא דלתא (Delta Airlines). חברת התעופה הפסידה 500 מיליון דולר בחמשת הימים לאחר האירוע. לכן, דלתא מתכננת להגיש תביעה בגין ההשבתה.

לפי קראודסטרייק, נכון לסוף אפריל, היו לה 3.7 מיליארד דולר, במזומנים ושווי מזומנים, והיא הניבה בשנתה הכספית יותר ממיליארד דולר בתזרים מזומנים. "הסכום, לדעתנו, יאפשר לנו להמשיך ולהשקיע בעסק ולכסות התחייבויות משפטיות פוטנציאליות… בנוסף, אנו מממשים פוליסות ביטוח שנועדו למתן את ההשפעה הפוטנציאלית של תביעות מסוימות", מסרה ענקית האבטחה.