La pérdida financiera directa total que enfrentaron las empresas Fortune 500 como resultado de la interrupción del servicio Microsoft – CrowdStrike el 19 de julio se ha establecido en aproximadamente $5.4 mil millones (£4.18 mil millones), con una pérdida ponderada promedio de $44 millones por organización, que aumenta a cerca de $150 millones para las más afectadas, como las aerolíneas. Esto es según el proveedor de servicios de monitoreo, modelado y seguros en la nube Parametrix, que dijo que para muchas organizaciones Fortune 500, el impacto sería mayor porque sus grandes retenciones de riesgo y límites de póliza bajos en relación con las pérdidas potenciales significan que la parte cubierta por pólizas de seguro cibernético probablemente no ascienda más del 10% al 20% de la pérdida total. El análisis de Parametrix encontró que la mayor pérdida financiera directa probablemente recaiga en aquellos en el sector de la salud, con una reducción de $1.94 mil millones en total, seguido por la banca, con una reducción de $1.15 mil millones. Esto representa el 57% de la pérdida total, pero solo el 20% de los ingresos de Fortune 500 debido al impacto desigual del evento. Por ejemplo, los analistas de la firma dijeron que la fabricación, el segmento más grande de Fortune 500 por ingresos, sufrirá una pérdida relativamente trivial de solo $ 36 millones en comparación con sus ingresos anuales de $ 3,4 billones en 130 organizaciones, mientras que las seis aerolíneas representadas en la lista perderán $ 860 millones contra ingresos totales de $ 187.1 mil millones. Parametrix dijo que aproximadamente una cuarta parte de las organizaciones Fortune 500 se vieron afectadas por el incidente, causado por un error de codificación en una actualización de CrowdStrike que hizo que las computadoras entraran en un bucle de arranque y provocara el colapso de los sistemas. Esto incluye a las seis aerolíneas Fortune 500 y al 43% de los minoristas. Mientras tanto, tres cuartas partes de las empresas de salud y banca sufrirán costos directos. “Nuestro análisis de la interrupción del servicio de CrowdStrike muestra no solo el posible alcance de un evento de pérdida cibernética sistémica, sino también sus límites”, dijo Jonatan Hatzor, cofundador y CEO de Parametrix. “Nos dice más sobre las formas en que las aseguradoras y reaseguradoras pueden diversificar sus carteras de riesgo cibernético para minimizar los impactos potenciales del riesgo cibernético sistémico. “Sin embargo”, advirtió Hatzor, “nuestro análisis no muestra el panorama completo de la diversificación. Una aseguradora cibernética enfocada en empresas muy grandes seguramente sufrirá una pérdida de CrowdStrike mucho mayor en relación con la prima que una con una gran cartera de pymes”. Más allá de las pérdidas financieras, el impacto del tiempo de inactividad en los servicios críticos resultó en una cascada muy visible de retrasos operativos que afectaron a las empresas Fortune 500 y las entidades posteriores. Parametrix dijo que era probable que en términos de recuperación de sistemas, aquellas industrias que aún dependen en gran medida de las computadoras físicas sean las que experimenten tiempos de recuperación más largos, un punto a favor de los servicios en la nube, señaló. El impacto general de la interrupción se hizo más claro debido a la implementación de CrowdStrike tanto en entornos locales como en la nube. En base a esto, la firma pronosticó que las aseguradoras cibernéticas no deberían necesariamente confiar únicamente en el evento para modelar futuras fallas basadas en la nube, sino que podrían tratar de gestionar mejor los riesgos sistémicos de interrupciones mediante la diversificación entre sectores industriales, proveedores de servicios y tamaños de empresas. “La prevención es importante, pero los transportistas de riesgos tienen un control limitado sobre la ocurrencia de eventos y las prácticas de los proveedores de servicios”, dijo. “La industria debería enfocarse en áreas controlables, como el mapeo y la gestión del riesgo de agregación. Al comprender estos puntos, podemos evaluar las exposiciones clave y mitigar las amenazas tanto maliciosas como no maliciosas. Este enfoque proactivo permite mejores decisiones de suscripción y soluciones efectivas de transferencia de riesgos para gestionar el riesgo sistémico”. Punto único de falla En términos más generales, Hatzor se hizo eco de las preocupaciones ya compartidas por otros observadores a raíz de la interrupción global, a saber, la prevalencia de soluciones tecnológicas muy empaquetadas que corren el riesgo de crear puntos únicos de falla. “En el panorama digital actual, muchas empresas dependen en gran medida de sistemas y servicios integrados que, si bien son eficientes, también pueden dejarlas vulnerables. Cuando un componente crítico dentro de una solución muy integrada experimenta un tiempo de inactividad o falla, puede desencadenar una cascada de interrupciones en todo el sistema”, dijo. “Esta interconexión significa que una falla en un área puede provocar interrupciones operativas significativas, que afectan todo, desde el servicio al cliente hasta la gestión de datos y las transacciones financieras”. Hatzor planteó otras preocupaciones, ya que tanto los reguladores como las aseguradoras cibernéticas no están realmente preparados para abordar las complejidades y los riesgos de dichos sistemas. Como sucede tan a menudo, señaló, la rápida evolución de la tecnología ha superado el desarrollo de marcos regulatorios y modelos de evaluación de riesgos, lo que deja a las empresas expuestas a lagunas en la cobertura de seguros o el apoyo regulatorio cuando llega lo peor. “Esta falta de preparación puede exacerbar el impacto… dejando a las empresas más vulnerables a tiempos de inactividad prolongados y pérdidas financieras”, dijo.