Търсене
Close this search box.

Актуализацията на CrowdStrike, която попречи на бизнеса, наруши плановете за пътуване на потребителите и изведе от строя френските и британските телевизионни оператори, очаквано доведе до множество съдебни дела, заведени от инвеститори и клиенти на CrowdStrike и други засегнати компании.

Въпреки това инцидентът може да доведе до друга дестинация: софтуерна отговорност.

Общият консенсус сред правните експерти е, че CrowdStrike вероятно е защитена от своите условия да възстанови на клиентите повече, отколкото са платили за продукта, ограничавайки своята софтуерна отговорност в това, което компанията сега нарича „инцидент с файл 291 на канала“. Въпреки това фактът, че засегнатите предприятия и потребители имат малко възможности за възстановяване на щетите, вероятно ще даде тласък на законодателството и държавните регулации, за да се търси отговорност от фирмите за подобен хаос, казва Чинмайи Шарма, доцент по право в университета Фордъм.

„Това е изключително интересен и важен пример за това защо призивът за по-голяма отговорност на софтуера е спешен от гледна точка на защитата на критичната инфраструктура и защитата на потребителите“, казва тя. „В съществуващата доктрина има тези огромни бариери, които пречат на потребителите, лицензополучателите, купувачите на софтуер и третите страни да завеждат успешни съдебни дела срещу производителите на софтуер, и затова смятам, че това ще бъде примерен случай защо е необходима реформа, за да се преодолеят тези големи бариери.“

На 19 юли CrowdStrike пусна актуализация на своите сензори, за да открие допълнителни атаки, които използват специфични функции на Windows, известни като „named pipes“. Според анализа на първопричините, направен от фирмата на 6 август, актуализацията – Channel File с номер 291 – „е дефинирала 21 входни параметъра, но интеграционният код … е предоставил само 20 входни стойности, с които да се съпостави“. Разликата е довела до четене на памет извън границите, което е довело до срив на системите Windows, които са получили и приложили актуализацията, със син екран на смъртта.

Лошата актуализация засегна 8,5 млн. компютъра, нанесе щети за поне 5,4 млрд. долара на компаниите от класацията Fortune 500 и предизвика широко разпространени оперативни смущения, особено сред авиокомпаниите и здравните фирми.

В изявление, подадено до Комисията по ценните книжа и фондовите борси на 8 август, Делта – най-засегнатата авиокомпания – оцени преките последици върху приходите на стойност 380 млн. долара поради възстановяването на суми на клиенти за отменени полети и 170 млн. долара разходи за възстановяване. Компанията отмени 7000 полета за пет дни, с което разгневи клиентите си, но и доведе до оскъдни икономии от 50 млн. долара за гориво поради отменените полети.

„Оперативни смущения с такава продължителност и мащаб са неприемливи, а нашите клиенти и служители заслужават нещо по-добро“, заяви Ед Бастиан, главен изпълнителен директор на Delta, в подаденото заявление. „Предявяваме съдебни искове срещу CrowdStrike и Microsoft, за да възстановим щетите, причинени от прекъсването, които възлизат на най-малко 500 млн. долара.“

Вече заведени съдебни искове

Делта далеч не е единственият съдебен иск. CrowdStrike е изправен пред колективни искове от инвеститори, след като цената на акциите му се срина с повече от 36% – от 343 долара на 18 юли – деня преди лошата актуализация – до по-малко от 218 долара на 2 август.

Инцидентът доведе до многобройни съдебни дела от акционери, и то не само срещу CrowdStrike, но и срещу Delta. Извадка от текущите съдебни дела:

  • Базирана в Ню Йорк фирма подаде иск от акционери срещу CrowdStrike.
  • Пенсионната асоциация на окръг Плимут е завела дело в Тексас срещу CrowdStrike.
  • Фирма от Оукланд, Калифорния, се е обърнала към малкия бизнес с намерението да подаде колективен иск срещу CrowdStrike.
  • Четирима клиенти на Delta са подали колективен иск в Джорджия, като твърдят, че авиокомпанията не е успяла да се възстанови бързо, принуждавайки пътниците „да похарчат хиляди долари за неочаквани разходи“.

Инцидентът доведе до разследване от страна на Комисията по вътрешна сигурност на Камарата на представителите на САЩ.

Въпреки че исковете на инвеститорите и правителствените разследвания ще имат различни цели, исковете на клиентите – като този на Delta и потенциалния иск на малкия бизнес – ще имат трудна битка. Както посочват адвокатите на CrowdStrike в писмо до Delta, бизнес клиентите ще трябва да обяснят защо ограниченията на отговорността в сключените договори трябва да се считат за невалидни, да опишат подробно всяко предприето или непредприето действие за възстановяване от прекъсването и да обяснят начините, по които тяхната инфраструктура е проектирана да бъде устойчива.

„Публичната заплаха за съдебен процес от страна на Delta отклонява вниманието от работата [по възстановяването ни] и допринася за подвеждащия разказ, че CrowdStrike е отговорен за ИТ решенията на Delta и реакцията на прекъсването“, заявява адвокатът на компанията в писмото. „Ако Delta продължи по този път, тя ще трябва да обясни на обществеността, на своите акционери и в крайна сметка на съдебното жури защо CrowdStrike е поела отговорност за своите действия – бързо, прозрачно и конструктивно – докато Delta не го е направила.“

Що се отнася до нарастващите искове на акционерите?

„Смятаме, че делата са неоснователни и ще защитаваме компанията енергично“, заяви говорител на CrowdStrike пред Dark Reading.

Дългият път на софтуерната отговорност

И все пак прекъсването на работата и правните последици от него могат само да подхранят усилията за повишаване на отговорността на софтуерните компании за техните продукти. Понастоящем летвата за успешно водене на дело срещу производител на софтуер е толкова висока, че повечето адвокати са обезкуражени дори да опитат, казва Шарма от Fordham.

„Как ще се развият тези дела ще ни даде много информация за това колко високи са тези бариери и какво трябва да се реформира“, казва тя. „Нямаме много съдебна практика по този въпрос … така че това ще бъде много показателно за хвърляне на светлина върху това какви точно са контурите на тези бариери.“

Понастоящем ситуацията с отговорността за софтуер е доста сложна. Макар на пръв поглед да е проста – „създателите на софтуер трябва да носят отговорност за несигурен софтуер“ – дори въпросът кой носи отговорност може бързо да стане сложен, както показва взаимодействието между Delta Airlines, CrowdStrike и Microsoft.

Законодателството и регулациите за отговорността на софтуера ще трябва да решат този и много други въпроси, заяви Инициативата за кибернетична държавност на Атлантическия съвет в анализ от 32 страници, публикуван по-рано тази година.

„Софтуерната сигурност е проблем на „споделената отговорност“: потребителите на софтуера, в допълнение към неговите разработчици, имат значителен контрол върху резултатите от киберсигурността чрез собствените си практики за сигурност“, се посочва в доклада. „В областта на деликтите вече съществуват концепции за „сравнителна небрежност“, когато поведението на увредената страна е допринесло значително за вредоносния резултат – създателите на политики може да искат да приложат тази концепция изрично в контекста на софтуера, за да балансират определени политически цели.

Дори и да бъдат създадени правила за софтуерна отговорност обаче, CrowdStrike вероятно ще надхвърли тези изисквания, казва Брайън Фокс, главен технически директор на Sonatype, компания за софтуерна цялост. Той посочва, че „поредица от сравнително дребни грешки доведоха до евентуален сблъсък, когато последният фактор беше изпуснат на място“. Макар някои да твърдят, че компанията не е тествала своите актуализации, по-вероятно е тя просто да не е отчела всички възможни сценарии – често срещан пропуск, отбелязва Фокс.

„Силно се нуждаем от реформа, за да възстановим баланса между поемането на риск от страна на корпорациите от името на техните клиенти, [но] спецификата на развитието на този проблем вероятно го прави само част от казуса за реформа“, казва той. „За съжаление това е много типично за софтуера и подчертава защо не сме готови за перфектни стандарти за строга отговорност.“

 

Източник: DARKReading

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
Бъдете социални
Още по темата
05/09/2024

Измама с авторски възнаграж...

Музикантът от Северна Каролина Майкъл Смит...
14/08/2024

САЩ отменят обвиненията сре...

Максим Силникау беше екстрадиран в САЩ,...
03/08/2024

CrowdStrike е съдена от инв...

Компанията за киберсигурност CrowdStrike е съдена...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!