Artık kötü bir üne sahip olan CrowdStrike yazılım güncellemesi Temmuz ayında tüm dünyadaki şirketleri çökerttiğinde, davaların da kaçınılmaz olduğu ortaya çıktı ve öyle de oldu. Delta şirketi dava ediyor 500 milyon dolara kadar tazminat davası açılması ve avukat David Boies’in tutulması belki de en dikkat çeken örnektir.
Boies’in geniş ürün yelpazesi arasında yüksek profilli müşteriler Theranos, Harvey Weinstein, Jeffrey Epstein ve Al Gore’un 2000 başkanlık seçimlerinin sonuçlarıyla ilgili Bush v. Gore davasında kurbanları. Ayrıca 1990’larda Microsoft’a karşı hükümetin antitröst davasına da öncülük etti.
Delta ortaya çıkmadan önce bile, hissedarlar kendi paylarına düşeni almak için bir dava açıyorlardı toplu dava CrowdStrike’a karşı, şirketin yazılım güncelleme prosedürleri konusunda kendilerini yanılttığını iddia ederek dava açtı.
CrowdStrike ise, beklenen hukuki işlem dalgasına karşı şirketi savunması için Quinn Emanuel Urquhart & Sullivan hukuk firmasını işe aldı ve bu da avukatların bu hatadan büyük paralar kazanacakları fikrini güçlendirdi.
Daha az ölçüde, Microsoft da savaşa çekilmiş çünkü hatalı CrowdStrike yazılım güncellemesi yalnızca Windows makinelerini etkiliyordu.
Ancak çoğunlukla, bu CrowdStrike’ın sırtlanması gereken bir yük ve zorlu bir hukuki zorlukla karşı karşıya, diyor Florida’daki Jones Foster hukuk firmasında çalışan ve karmaşık dava ve uyuşmazlık çözümü uygulama grubunun eş başkanlığını yürüten Rob Wilkins. Ancak CrowdStrike’ı kurtarabilecek şey, genellikle kurumsal yazılım sözleşmelerine dahil edilen zararlar üzerindeki sözleşmesel sınırlamalardır.
Wilkins TechCrunch’a yaptığı açıklamada, “İlginç bulduğum şey, CrowdStrike ile Delta arasında sözleşmesel bir tazminat sınırı olması ve diğer müşterilerin sözleşmelerinde de benzer bir tazminat sınırı olacağını varsaymam.” dedi.
Ancak Delta, kötü yazılım güncellemesinin şu anlama geldiğini iddia ediyor: ağır ihmal veya CrowdStrike’ın kasıtlı suistimali, sözleşmesel sınırı geçersiz kılabilir. Delta hizmeti kesintiye uğradı beş gün boyuncaUnited ile karşılaştırıldığında, CloudStrike ile ilgili sadece üç günlük gecikmeler yaşandı. CrowdStrike, Delta’nın sorunlar yaşadığını söylüyor kendi iç sistemleri ve şirketin tüm kesintiyi CrowdStrike’ın hatalı güncellemesinden kaynaklandığını söyleyemeyiz.
Wilkins, Delta’nın ağır ihmal veya kasıtlı suistimali kanıtlamada sorun yaşayabileceğini ve bunun da önemli bir kanıt yükü taşıdığını söylüyor. Şirketi yanıltılmış ve yazılım test rejimlerinin eksikliği konusunda onları uyarmayarak dolandıran şirketler de bunu mahkemede kanıtlamakta önemli zorluklarla karşı karşıya kalıyor.
Wilkins, “Mesele şu: CrowdStrike, yatırımcılara yazılım platformuyla ilgili tüm güvenlik prosedürleri ve kontrol prosedürleri konusunda tamamen güncel olduğunu kasten yanlış mı beyan etti veya söylemedi mi?” dedi.
Wilkins, ne olursa olsun CrowdStrike’a dava açan bireysel şirketlerin muhtemelen bir araya gelip şirkete karşı toplu dava açacaklarını çünkü bireysel davaların dahil olan herkes için maliyetli ve hantal olacağını söylüyor. Bir toplu dava açıldığında, bunun dahil olmak isteyen daha fazla şirketi çekme eğiliminde olduğunu belirtmekte fayda var diyor.
“Genellikle toplu davalarda, insanlar üst üste gelir ve bunun böyle olması beni şaşırtmaz. Sonra her şeyin çok bölgeli dava paneli tarafından birleştirildiğini, ülke çapındaki tüm davaların keşifle ilgili tüm amaçlar için belirli bir federal bölge mahkemesine atandığını görürsünüz. Bu da süreci önemli ölçüde kısaltır” dedi.
Bu bir kez yerine oturduğunda, bir davanın sınıf davasında diğer tüm davacılar için bir test davası olarak sunulduğu ve jüri nasıl karar verirse versin, bunun ilerideki diğer anlaşmalar için bir yol haritası olduğu bir “öncü” dava olma eğilimi vardır. “Daha sonra CrowdStrike’a geri dönebilir ve ‘Bakın, bu şirket tarafından 20 milyon dolara çarptırıldınız ve aynı gerçeklerle bu sınıf davalarında sizi dava eden 15 başka şirketimiz var, vb., anlaşmanız gerekir’ diyebilirsiniz,” dedi.
Karmaşıklaştırıcı bir diğer faktör de, bu durumlarda CrowdStrike’ı ve müşterilerini olası hasarlara karşı koruyacak olan sigorta şirketlerinin rolüdür. Müşterilerin sigorta şirketleri de yaptıkları ödemelerin bir kısmını geri almak için CrowdStrike’ın peşine düşebilir.
“Muhtemelen orada sigorta vardır ve muhtemelen taşıyıcıyı devreye sokacaklardır ve genellikle bu şeyleri savunurlar. Belirli politikalarını görmemiş olsam da incelediğim siber güvenlik politikalarında bu tür ihmalleri kapsar. Ve bu nedenle neye sahip olduklarına ve poliçelerinde hangi istisnalara sahip olduklarına bağlıdır, ancak sigortanın bunun bir parçası olduğunu görüyorum.”
Wilkins, parasal sorunlara ek olarak bir itibar bileşeni olduğunu ve bunların hepsi ne kadar çabuk ortadan kalkarsa CrowdStrike’ın o kadar çabuk ilerleyebileceğini söylüyor. Şirket kendini savunmak için iyi avukatlar tuttu ancak günün sonunda şirket, herhangi bir işletmenin başarısı için anahtar olan hissedarlar ve müşterilerle barışmak zorunda kalacak.
“Bana öyle geliyor ki, bu konudaki yaklaşımları kavga etmek olacak, ama aynı zamanda bunu gerçekten çözmeleri ve ilerlemeleri gerektiğini anlayarak kavga etmek olacak, bu yüzden beklentim bu.”