İşletmeleri sekteye uğratan, tüketicilerin seyahat planlarını altüst eden ve Fransız ve İngiliz yayıncıları çevrimdışı bırakan CrowdStrike güncellemesi, tahmin edilebileceği gibi hem CrowdStrike’ın hem de etkilenen diğer şirketlerin yatırımcıları ve müşterileri tarafından çok sayıda dava açılmasına yol açtı.
Ancak olay başka bir noktaya da yol açabilir: Yazılım sorumluluğu.
Hukuk uzmanları arasındaki genel fikir birliği, CrowdStrike’ın muhtemelen şu şekilde korunduğudur: Şartları ve koşulları müşterilere ürün için ödediklerinden fazlasını geri ödemekten, şirketin artık “Kanal Dosyası 291 Olayı” olarak adlandırdığı olayda yazılım sorumluluğunu sınırlamaktan. Ancak, etkilenen işletmelerin ve tüketicilerin zararları tazmin etmek için çok az başvuru yolunun olması, muhtemelen firmaları bu tür bir kaostan sorumlu tutmak için mevzuat ve eyalet düzenlemelerine ivme kazandıracaktır, diyor Fordham Üniversitesi’nde hukuk doçenti olan Chinmayi Sharma.
“Bu, kritik altyapıyı ve tüketiciyi koruma açısından daha fazla yazılım sorumluluğu çağrısının neden acil olduğunu gösteren son derece ilginç ve önemli bir örnektir,” diyor. “Mevcut doktrinde, kullanıcıların, lisans sahiplerinin, yazılım satın alanların ve üçüncü tarafların yazılım üreticilerine karşı başarılı davalar açmasını engelleyen bu devasa engeller var ve bu nedenle bunun, bu büyük engelleri ele almak için reformun neden gerekli olduğuna dair örnek bir vaka olacağını düşünüyorum.”
19 Temmuz’da CrowdStrike, “adlandırılmış kanallar” olarak bilinen belirli bir Windows özelliğini kullanan ek saldırıları tespit etmek için sensörlerine bir güncelleme gönderdi. Şirketin açıklamasına göre 6 Ağustos kök neden analizigüncelleme — 291 numaralı bir Kanal Dosyası — “21 giriş parametresi tanımladı, ancak entegrasyon kodu … eşleşmek için yalnızca 20 giriş değeri sağladı.” Aradaki fark, sınır dışı bir bellek okumasına neden oldu ve güncellemeyi alan ve uygulayan Windows sistemlerini ölümün mavi ekranıyla çökme.
Kötü güncelleme 8,5 milyon bilgisayarı etkiledi, Fortune 500’e en az 5,4 milyar dolarlık zarar verdi ve özellikle havayolları ve sağlık şirketleri arasında yaygın operasyonel kesintilere neden oldu.
İçinde 8 Ağustos’ta SEC’e sunulan bir bildiriDelta — en kötü etkilenen havayolu — iptal edilen uçuşlar için müşterilerine yaptığı geri ödemeler ve 170 milyon dolarlık kurtarma maliyetleri nedeniyle 380 milyon dolarlık doğrudan gelir etkisi tahmin etti. Şirket beş gün içinde 7.000 uçuşu iptal ederek müşterilerini kızdırdı ancak aynı zamanda iptaller nedeniyle yakıtta 50 milyon dolarlık yetersiz bir tasarruf sağladı.
Delta CEO’su Ed Bastian, dosyada “Bu uzunlukta ve büyüklükte bir operasyonel kesinti kabul edilemez ve müşterilerimiz ve çalışanlarımız daha iyisini hak ediyor,” dedi. “En az 500 milyon dolar tutarındaki kesintiden kaynaklanan zararları tazmin etmek için CrowdStrike ve Microsoft’a karşı yasal davalar açıyoruz.”
Davalar Zaten Açılıyor
Delta tek dava olmaktan çok uzak. CrowdStrike, hisse senedi fiyatı 18 Temmuz’da -kötü güncellemeden önceki gün- 343 dolardan 2 Ağustos’ta 218 doların altına %36’dan fazla düştükten sonra yatırımcılardan toplu davalarla karşı karşıya.
Olay, yalnızca CrowdStrike’a karşı değil, Delta’ya karşı da çok sayıda hissedar davasıyla sonuçlandı. Mevcut davalardan bir örnek:
Olay, ABD Temsilciler Meclisi İç Güvenlik Komitesi tarafından soruşturmaya tabi tutuldu.
Yatırımcı davaları ve hükümet soruşturmalarının farklı hedefleri olsa da, Delta’nın ve potansiyel küçük işletme davası gibi müşteri davaları zorlu bir mücadele gerektirecektir. CrowdStrike’ın avukatlarının Delta’ya yazdıkları mektupta belirttiği gibi, işletme müşterilerinin yerleşik sözleşmelerdeki sorumluluk sınırlarının neden tartışmalı olarak değerlendirilmesi gerektiğini, kesintiden kurtulmak için alınan veya alınmayan her eylemi ayrıntılı olarak anlatmaları ve altyapılarının dayanıklı olacak şekilde tasarlanma yollarını açıklamaları gerekecektir.
“Delta’nın dava açma tehdidi kamuoyunun dikkatini dağıtıyor [our recovery] “Çalışma ve CrowdStrike’ın Delta’nın BT kararlarından ve kesintiye verdiği yanıttan sorumlu olduğu yönündeki yanıltıcı bir anlatıya katkıda bulunmuştur” şirketin avukatı mektupta şöyle dedi“Delta bu yolu izlerse, Delta, CrowdStrike’ın eylemlerinin sorumluluğunu neden hızlı, şeffaf ve yapıcı bir şekilde üstlendiğini ve Delta’nın bunu yapmadığını kamuoyuna, hissedarlarına ve en sonunda jüriye açıklamak zorunda kalacak.”
Peki ya artan hissedar davaları?
CrowdStrike sözcüsü Dark Reading’e yaptığı açıklamada, “Davaların temelsiz olduğuna inanıyoruz ve şirketi şiddetle savunacağız” dedi.
Yazılım Sorumluluğunun Uzun Yolu
Ancak kesinti ve bunun hukuki sonuçları, yazılım şirketlerini ürünlerinden daha fazla sorumlu tutma çabalarını körükleyebilir. Şu anda, bir yazılım üreticisine karşı başarılı bir dava açmak için çıta o kadar yüksek ki çoğu avukat bunu denemekten bile vazgeçiyor, diyor Fordham’dan Sharma.
“Bu davaların nasıl gittiği, bu engellerin ne kadar yüksek olduğu ve neyin reform edilmesi gerektiği konusunda bize çok fazla fikir verecek,” diyor. “Bu konuda çok fazla içtihat hukukumuz yok… bu yüzden bu, bu engellerin tam olarak ne olduğu konusunda ışık tutmada çok örnek teşkil edecek.”
Yazılım sorumluluğu manzarası şu anda oldukça engebeli. Yüzeysel olarak basit olsa da — “güvenli olmayan yazılımlar için yazılım üreticileri sorumlu tutulmalıdır” — kimin sorumlu olduğu sorusu bile Delta Airlines, CrowdStrike ve Microsoft arasındaki etkileşimin gösterdiği gibi hızla karmaşık hale gelebilir.
Atlantik Konseyi’nin Siber Devlet Yönetimi Girişimi, yazılım sorumluluğu mevzuatı ve düzenlemelerinin bu ve diğer birçok sorunu çözmesi gerektiğini belirtti bu yılın başlarında yayınlanan 32 sayfalık bir analiz.
“Yazılım güvenliği ‘paylaşılan sorumluluk’ sorunudur: Yazılım kullanıcıları, geliştiricilerine ek olarak, kendi güvenlik uygulamaları aracılığıyla siber güvenlik sonuçları üzerinde önemli bir kontrole sahiptir,” diye belirtiliyor raporda. “Zarar gören tarafın davranışı zararlı sonuca önemli ölçüde katkıda bulunduğunda, haksız fiiller zaten ‘karşılaştırmalı ihmal’ kavramına sahiptir – politika yapıcılar, belirli politika hedeflerini dengelemek için bu kavramı açıkça yazılım bağlamına eşlemek isteyebilirler.
Ancak yazılım sorumluluğu düzenlemeleri oluşturulsa bile, CrowdStrike’ın bu gereklilikleri aşması muhtemeldir, diyor yazılım bütünlüğü şirketi Sonatype’ın CTO’su Brian Fox. “Nispeten küçük bir dizi hatanın, son bir etkenin devreye girmesiyle nihai bir çarpışmaya yol açtığını” belirtti. Bazıları şirketin güncellemelerini test etmediğini söylese de, şirketin olası tüm senaryoları hesaba katmamış olması daha olasıdır; bu da Fox’un belirttiğine göre yaygın bir başarısızlıktır.
“Müşterileri adına kurumsal risk alma konusunda yeniden denge sağlamak için reforma şiddetle ihtiyacımız var, [but] “Bu sorunun nasıl ortaya çıktığına dair ayrıntılar muhtemelen bunu reform için vaka çalışmasının sadece bir parçası haline getiriyor,” diyor. “Bu ne yazık ki yazılımda çok tipiktir ve neden mükemmel sıkı sorumluluk standartlarına hazır olmadığımızı vurgular.”