Икономиката на знанието не само зависи, но и се развива все по-ускорено в нови направления, свързани с интензивното използване на новите технологии. Това е особено видимо с последната (и поредна) еуфория около използването на AI, машинно самообучение, множеството практически приложения с все по-добри GPT/LLM модели. Все по-сложните вериги за доставки на компоненти и услуги (или според модела на Майкъл Портър – веригите за създаване на стойност) се управляват и функционират изцяло в интернет.

Киберпространството предоставя практически неограничени възможности за развитие на обществото и бизнеса, но нарастващата и необратима дигитална зависимост на основни функции и дейности поражда нови значими рискове и заплахи.

Сривове в системите и съответните услуги могат да се случат по много различни причини. Един пример от последните седмици – глобалният срив на IT услуги след неуспешен ъпдейт на софтуера за киберзащита на крайни устройства Falcon на Crowdstrike и пълно блокиране на Уиндоус системите с позабравения „син екран на смъртта“ (BSoD, Blue Screen of Death). Той припомни важността на принципа за „сигурност и устойчивост“ по дизайн и разработване. Тоест не е достатъчно само системите да работят, но при дизайна и разработването да са спазени изискванията за „сигурно кодиране“, а по отношение на архитектурите – т.нар. принцип за „нулево доверие“ (Zero Trust Architecture). Това е особено важно при съвременните сложни и многокомпонентни софтуерни системи, които функционират в публични или частни „облаци“, и тяхната надеждна и защитена оперативна съвместимост, непрекъсваемост на отделните услуги.

Макар и на пръв поглед случаят с CrowdStrike да наподобява ефекта от блокирането на системите при NotPetya и следователно възможност да бъде решен с прилагане на вероятно вече внедрените процедури при рансъм (напр. автоматизирано възстановяване от бекъп), то ситуацията е коренно различна. Компютрите просто не стартират, но няма загубени или унищожени данни, не се разпространява зараза. Но отново за възстановяването беше нужно да има „човек (ИТ специалист) зад клавиатурата“, колкото и елементарно да беше действието. Така в ръководствата за киберсигурност в големите организации още следващата седмица се появи нов раздел „Възстановяване при неуспешен ъпдейт на софтуер“. Но истинските мерки трябва да са към разработчиците на софтуер, а именно изискване за „самолечение“ и „самовъзстановяване“.

Втора поука от случая с Crowdstrike e важността от оценка и наблюдение на рисковете по цялата верига на доставки, а не само на директните доставчици. Основно изискване според модела CERT-RMM (Resilience Management Model, CERT/SEI, Carnegie Mellon University) за управление на киберустойчивостта на дигитализирани бизнеси и организации е спазването на принципите за КИН (Конфиденциалност, Интегритет, Наличност) и за всички външни зависимости, т.е. доставка на активи, ресурси, услуги. В нашата методика, базирана на този модел, ние прилагаме тези изисквания не само към директните доставчици, но и към трети страни, т.е. всички участници във веригата за доставки, включително и техните доставчици на странични услуги (например всички допълнителни услуги и/или компоненти, които те използват, като ИТ и финансови услуги, комуникация, външни услуги като SOC-as-a-Service или системи за киберзащита). Това са т.нар. скрити киберрискове и недооценяването им често води именно до „неизвестните неизвестни“ ситуации. Прилагането на изисквания и стандарти за киберсигурност и надеждност по цялата верига за доставки е в основата на регулациите за киберсигурност и в Европейския съюз, САЩ и други водещи дигитализирани икономики и общества. Но трябва да отчитаме и факта, че огромна част от фирмите по веригите за доставки са малки и средни бизнеси и не са само в Европа. Те не само че разполагат с ограничени ресурси за внедряването и покриването им, но страдат и от липса на компетентности, специалисти и дори общо познаване или осъзнаване на проблема. Поради това голяма част от тези критични дейности се аутсорсват безкритично и генерират нови „скрити заплахи“.

Трета важна поука, не съвсем нова, от драмата с CrowdStrike е, че трябва да се преразгледа и използва по-разумно DevOps – съвременният гъвкав жизнен цикъл за разработване и внедряване на нови функционалности или ъпдейти в сложните и разпределени системи, които използваме. Удобството от „незабележимо“ за крайния потребител непрекъснато внедряване крие много опасности, някои от които със сериозни последици. На първо място, внедряването следва да се извършва поетапно и на вълни. Принцип, който доставчиците на операционни системи като Уиндоус или за мобилните устройства спазват отдавна. Второ – тестването, особено за киберсигурност, следва да се интегрира в жизнения цикъл, известно като DevSecOps, но това невинаги може да се автоматизира напълно. Това са и част от предизвикателствата, свързани с прилагането на новите изисквания, сертификационните схеми и регламентите в Европейския съюз.