Škody způsobené největším IT výpadkem dějin dosahují 600 miliard korun

Škody způsobené největším IT výpadkem v historii se teprve sčítají, některé ještě budou nabíhat. Odhady nejčastěji ukazují na jejich celkovou částku v přepočtu zhruba 600 miliard korun. Celosvětově bylo například zrušeno na 5000 letů. Svůj provoz musely přerušit či omezit ale nejen aerolinky, nýbrž také banky, finanční domy, nemocnice, přepravní společnosti, ale i řetězce obchodů či restaurací a mnozí další. 

Jejich klienti a zákazníci se na ně nyní budou obracet s žádostí o finanční kompenzaci. Vítězem celého IT výpadku tak nepochybně budou právníci, advokáti a právní firmy. Globálně lze čekat vlnu žalob a soudních sporů vztažených k IT výpadku, z nichž mnohé se mohou vléci roky. 

Jenže například aerolinky mohou nárok klienta, případně jeho cestovní kanceláře smést snadno ze stolu poukazem na to, že IT výpadek je události, na niž neměly a nemohly mít vliv. Že je to něco, jako když se let zruší kvůli špatnému počasí nebo bezpečnostní hrozbě. Klient pak bude muset u soudu dokázat, že za výpadek mohou tím, jakého si zvolili dodavatele IT služeb. Což bude tedy především Microsoft. Ale ten se zase odvolá na firmu CrowdStrike, jejíž chybná aktualizace vlastního kyberbezpečnostního softwaru jej dostala do kolize se systémem Microsoftu, která pak – v duchu efektu motýlích křídel a kvůli enormnímu rozšíření produktů Microsoftu – celosvětový výpadek způsobila. 

Společnost CrowdStrike je logicky stěžejním viníkem celého výpadku. Ačkoli Microsoft také nemusí mýt fakticky zcela bez viny. Někteří IT experti upozorňují, že měl svůj operační systém lépe koncipovat tak, aby jej jedná chybná aktualizace softwaru třetí strany nemohla takto „rozhodit“. Například operační systémy Applu nebo Linuxu IT výpadek nepostihl. V případě applovských systému se tak stalo proto, že Apple, resp. jeho operační systém si důsledněji „hlídá“, koho do něj ze softwarových dodavatelů a za jakých podmínek vůbec pustí, zatímco systémy Microsoftu jsou v tomto ohledu otevřenější. Tedy, jak se nyní ukazuje, také zranitelnější. 

Microsoft ale zase může odkázat na to, že například daná aerolinka, jež jeho služeb využívá, měla také zvýšit svoji odolnost vůči IT výpadku. Například tak, že by měla zrcadlové IT řešení, postavené na úplně jiném dodavateli – třeba právě Applu –, které by fungovalo jako záloha. 

Samotná texaská společnost CrowdStrike se navíc ze svých dodavatelských podmínek ze širší odpovědnosti za škody vyvléká. Omezuje ji totiž jen do výše již uhrazených poplatků. Pokud tedy nakonec aerolinka nebo banka či provozovatel rychlého občerstvení zažaluje samotnou CrowdStrike, maximálně z ní může vymoci to, co jí již zaplatil. Takže uživatelé softwaru od CrowdStriku, kteří podepsali (či „odklikli“) standardní podmínky jeho využívání, mají nárok nejvýše na prostou refundaci daných poplatků. Která samozřejmě zdaleka nemusí pokrývat škody, jež výpadek reálně způsobil.

Je ovšem možné, že některé velké společnosti, jež služeb CrowdStriku využívají, třeba právě aerolinky či nemocnice, si vyjednaly nadstandardní podmínky spolupráce. Takové smlouvy, které mohou obsahovat pasáže o mnohem vyšší odpovědnosti za případné škody, ale nejsou veřejně přístupné. 

Zbývá samozřejmě pojištění vztažené ke kyberbezpečnostním škodám. Jenže, je otázkou, zaprvé, zda poškozené společnosti nebo jejich klienti takové pojištění vůbec měli, neboť se jedná o specifickou, stále poměrně mladou oblast pojišťování. Zadruhé, kyberbezpečnostní pojištění se často vztahuje pouze k nekalým aktivitám typu hackerských útoků. Při nich je zřejmý úmysl tak či onak poškodit pojištěného. To však není případ aktuálního IT výpadku, který – jak sama CrowdStrike rychle ujistila – žádným kyberútokem není. 

Akcie CrowdStriku se včera sice propadly, ale nakonec jen o přibližně jedenáct procent. Akcie Microsoftu pak ztratily ani ne procento. A například akcie pojišťovny Beazley, která se specializuje na pojišťování kyberbezpečnostních rizik, ztratily včera lehce přes tři procenta. 

Takovéto relativně slabé poklesy – slabé vzhledem k mimořádnému rozsahu výpadku – svědčí o tom, že žádný z aktérů tohoto příběhu se pod tíhou kompenzování vzniklých škod hroutit nebude. Pokud by takové hroucení investoři očekávali, musel by být například propad akcií CrowdStriku mnohem dramatičtější. Nyní tyto akcie stojí zhruba 305 dolarů. Podle banky Goldman Sachs mají i navzdory výpadku do roka a do dne stát 400 dolarů za kus – a doporučuje i nyní je svým klientům kupovat. 

Je totiž dokonce možné, že největší IT výpadek dějin ještě více obrátí pozornost ke kyberbezpečnostní problematice. Firmy se budou snažit zavést ona zrcadlová, záložní řešení. A také budou usilovat se lépe proti specifickým rizikům v této oblasti pojistit. Z čehož nakonec může celá kyberbezpečnostní industrie těžit – i finančně. Takže vskutku nemusí být zase takovým překvapením, když akcie CrowdStriku nebo pojišťovny Beazley, ale i dalších jmen kyberbezpečnostní branže budou už za rok o dost výše než dnes. 

Jen tedy ty dnešní, resp. včerejší škody a otázka jejich kompenzace podle všeho z nemalé části jaksi „vyšumí“. 

Lukáš Kovanda, Ph.D.

Hlavní ekonom / Chief Economist, Trinity Bank