"Dzisiejsza gigantyczna awaria komputerów korzystających z usługi Windows, która na całym świecie odcięła przedsiębiorców i uniemożliwiła funkcjonowanie m.in. banków, linii lotniczych, supermarketów, stacji telewizyjnych, szpitali to efekt automatycznej instalacji aktualizacji aplikacji antywirusowej" - poinformował Otmianowski.

Wskazał, że dobrą praktyką powinno być instalowanie aktualizacji "po weryfikacji jej poprawności przez organizację". Zwrócił jednak uwagę, że w przypadku aktualizacji programów antywirusowych często stosuje się odstępstwo od tej zasady, "czego konsekwencje właśnie obserwujemy".

Ekspert podkreślił, że antywirusy z założenia przychodzą od zaufanego podmiotu, w tym przypadku CrowdStrike, dostawcy dla korporacji.

Otmianowski zaznaczył, że CrowdStrike jest pionierem w ochronie urządzeń końcowych dostarczanej poprzez chmurę, uznawanym za lidera rynku.

Według niego w przeciwdziałaniu podobnym sytuacjom pomoże wdrożenie DORA (Digital Operational Resilience Act) dla branży finansowej i NIS2 dla wielu organizacji dotkniętych tym incydentem. "To jedna z najbardziej złożonych i kompleksowych regulacji prawnych, jakie w ostatnich latach powstały w UE" - ocenił Otmianowski. Zaznaczył, że celem jej wdrożenia jest wzmocnienie odporności operacyjnej sektora finansowego i infrastruktury krytycznej na zagrożenia cybernetyczne. "Kluczowym jej elementem jest szacowanie ryzyka i zarządzanie dostawcami" - podkreślił. "Bezpieczeństwo to proces, więc trzeba wyciągać wnioski i do tego właśnie służą modele oceny incydentów i szacowania ryzyka wymagane przez przepisy" - ocenił Mikołaj Otmianowski.

Digital Operational Resilience Act (DORA) to unijne rozporządzenie o cyfrowej odporności operacyjnej, mające na celu wzmocnienie odporności operacyjnej sektora finansowego na zagrożenia cybernetyczne. Rozporządzenie ma obowiązywać od 17 stycznia 2025 r., zapewniając podmiotom okres przejściowy na przygotowanie się i spełnienie wymagań DORA.

Network and Information Systems Directive 2 (NIS 2) jest nowelizacją pierwszego europejskiego prawa dotyczycącego cyberbezpieczeństwa państw członkowskich Unii Europejskiej oraz podmiotów działających na obszarze UE, które są kluczowe dla bezpieczeństwa sieci i systemów informacyjnych. Dyrektywa NIS2 wejdzie w życie w październiku 2024 roku, obejmując szerszą niż dotychczas grupę organizacji, co będzie miało duże znaczenie dla podmiotów działających w przestrzeni cyfrowej, zarówno w sektorze publicznym, jak i prywatnym.

DAPR to firma, która oferuje oprogramowanie służące do analizy i zarządzania ryzykiem w kontekście DORA/NIS2 (przepisy dotyczące cyfrowej odporności operacyjnej dla nadzorowanych instytucji finansowych). (PAP)

bk/ malk/