Jak donoszą materiały prasowe, jeden z operatorów telekomunikacyjnych z Wielkiej Brytanii został zmuszony do ogłoszenia upadłości ze względu na długi, do których doprowadziło masowe przegryzanie światłowodów przez gryzonie. Straty nie byłyby pewnie tak duże (wszak problem gryzoni nie jest niczym nowym dla operatorów infrastruktury kablowej), gdyby nie fakt, że w ramach działań marketingowych oraz strategii zrównoważonego rozwoju osłony kabli zostały wykonane z materiałów na bazie soi i kukurydzy – idealnego szczurzego przysmaku (jak widać, nie wszystkie szczury gustują wyłącznie w ratatouille).
Sprawie nie pomogło dążenie spółki do uniezależnienia się od konkurencyjnego operatora. Zamiast skorzystać z wykopanych przez niego kanałów chodnikowych w ramach umowy o dostęp do infrastruktury, dostawca kreatywnie zdecydował się na rozkopanie dróg, co oczywiście doprowadziło do pierwotnego celu (uniezależnienia się od konkurencji), ale nie tylko naraziło ich na szczurzą ekspozycję, lecz także okazało się zdecydowanie bardziej kosztowne przy naprawach nadgryzionych łączy.
Efekt był brutalny – masowe przerwy w łączności, odmowy zapłaty za świadczone usługi, utrata klientów, ponoszenie kosztów awaryjnych napraw, a finalnie utrata płynności i bankructwo.
Można zadać sobie pytanie, co to wszystko ma wspólnego ze wspomnianymi regulacjami dotyczącymi cyberbezpieczeństwa. Wszak szczury w ogóle nie były cyfrowe, tylko całkiem „analogowe”. Niestety – dosyć dużo.
Niezależnie, czy mówimy o normie ISO 27001, DORA w sektorze finansowym, NIS-2 dedykowanej usługom kluczowym, czy też Dyrektywie CER odnoszącej się do infrastruktury krytycznej, ich podstawą jest podejmowanie działań nakierowanych na zapewnianie ciągłości naszych operacji.
Żadna ze wskazanych regulacji nie zmusza nas do obudowywania się dziesiątkami rodzajów oprogramowania, tonami dodatkowego sprzętu i tysiącem procedur (co nie znaczy, że w niektórych przypadkach nie jest to potrzebne). Wymagają one tylko jednego – systemowego spojrzenia na nasze organizacje, zidentyfikowania czynników ryzyka i zarządzania nimi w odpowiedni sposób.
Niezależnie, czy ryzykiem jest awaria światłowodu (dla którego rozwiązaniem jest zapewnienie odpowiedniej redundancji), wyłączenie prądu (z czym pomoże zapasowe źródło energii), awaria w data center (co powinien zabezpieczyć backup w innej lokalizacji), czy też jakikolwiek z dziesiątek innych elementów – dla każdej z tych podatności powinniśmy przewidzieć odpowiedni plan „B”. Inaczej, gdy ryzyko się ziści, jedyne, co nam pozostanie, to zastanawianie się „co by było, gdyby” i tłumaczenie się przed naszymi klientami, regulatorem czy też właścicielami, dlaczego pomimo spoczywającego na nas obowiązku nie próbowaliśmy zapobiec katastrofie, zanim było za późno.
A czy wy macie poczucie, że odpowiednio zarządzacie ryzykiem (a nawet będziecie wiedzieć, jak reagować przy wystąpieniu niepewności), czy też czekacie na swoje „szczury”?
