Актуализацията на CrowdStrike, която попречи на бизнеса, наруши плановете за пътуване на потребителите и изведе от строя френските и британските телевизионни оператори, очаквано доведе до множество съдебни дела, заведени от инвеститори и клиенти на CrowdStrike и други засегнати компании.
Въпреки това инцидентът може да доведе до друга дестинация: софтуерна отговорност.
Общият консенсус сред правните експерти е, че CrowdStrike вероятно е защитена от своите условия да възстанови на клиентите повече, отколкото са платили за продукта, ограничавайки своята софтуерна отговорност в това, което компанията сега нарича „инцидент с файл 291 на канала“. Въпреки това фактът, че засегнатите предприятия и потребители имат малко възможности за възстановяване на щетите, вероятно ще даде тласък на законодателството и държавните регулации, за да се търси отговорност от фирмите за подобен хаос, казва Чинмайи Шарма, доцент по право в университета Фордъм.
„Това е изключително интересен и важен пример за това защо призивът за по-голяма отговорност на софтуера е спешен от гледна точка на защитата на критичната инфраструктура и защитата на потребителите“, казва тя. „В съществуващата доктрина има тези огромни бариери, които пречат на потребителите, лицензополучателите, купувачите на софтуер и третите страни да завеждат успешни съдебни дела срещу производителите на софтуер, и затова смятам, че това ще бъде примерен случай защо е необходима реформа, за да се преодолеят тези големи бариери.“
На 19 юли CrowdStrike пусна актуализация на своите сензори, за да открие допълнителни атаки, които използват специфични функции на Windows, известни като „named pipes“. Според анализа на първопричините, направен от фирмата на 6 август, актуализацията – Channel File с номер 291 – „е дефинирала 21 входни параметъра, но интеграционният код … е предоставил само 20 входни стойности, с които да се съпостави“. Разликата е довела до четене на памет извън границите, което е довело до срив на системите Windows, които са получили и приложили актуализацията, със син екран на смъртта.
Лошата актуализация засегна 8,5 млн. компютъра, нанесе щети за поне 5,4 млрд. долара на компаниите от класацията Fortune 500 и предизвика широко разпространени оперативни смущения, особено сред авиокомпаниите и здравните фирми.
В изявление, подадено до Комисията по ценните книжа и фондовите борси на 8 август, Делта – най-засегнатата авиокомпания – оцени преките последици върху приходите на стойност 380 млн. долара поради възстановяването на суми на клиенти за отменени полети и 170 млн. долара разходи за възстановяване. Компанията отмени 7000 полета за пет дни, с което разгневи клиентите си, но и доведе до оскъдни икономии от 50 млн. долара за гориво поради отменените полети.
„Оперативни смущения с такава продължителност и мащаб са неприемливи, а нашите клиенти и служители заслужават нещо по-добро“, заяви Ед Бастиан, главен изпълнителен директор на Delta, в подаденото заявление. „Предявяваме съдебни искове срещу CrowdStrike и Microsoft, за да възстановим щетите, причинени от прекъсването, които възлизат на най-малко 500 млн. долара.“
Делта далеч не е единственият съдебен иск. CrowdStrike е изправен пред колективни искове от инвеститори, след като цената на акциите му се срина с повече от 36% – от 343 долара на 18 юли – деня преди лошата актуализация – до по-малко от 218 долара на 2 август.
Инцидентът доведе до многобройни съдебни дела от акционери, и то не само срещу CrowdStrike, но и срещу Delta. Извадка от текущите съдебни дела:
Инцидентът доведе до разследване от страна на Комисията по вътрешна сигурност на Камарата на представителите на САЩ.
Въпреки че исковете на инвеститорите и правителствените разследвания ще имат различни цели, исковете на клиентите – като този на Delta и потенциалния иск на малкия бизнес – ще имат трудна битка. Както посочват адвокатите на CrowdStrike в писмо до Delta, бизнес клиентите ще трябва да обяснят защо ограниченията на отговорността в сключените договори трябва да се считат за невалидни, да опишат подробно всяко предприето или непредприето действие за възстановяване от прекъсването и да обяснят начините, по които тяхната инфраструктура е проектирана да бъде устойчива.
„Публичната заплаха за съдебен процес от страна на Delta отклонява вниманието от работата [по възстановяването ни] и допринася за подвеждащия разказ, че CrowdStrike е отговорен за ИТ решенията на Delta и реакцията на прекъсването“, заявява адвокатът на компанията в писмото. „Ако Delta продължи по този път, тя ще трябва да обясни на обществеността, на своите акционери и в крайна сметка на съдебното жури защо CrowdStrike е поела отговорност за своите действия – бързо, прозрачно и конструктивно – докато Delta не го е направила.“
Що се отнася до нарастващите искове на акционерите?
„Смятаме, че делата са неоснователни и ще защитаваме компанията енергично“, заяви говорител на CrowdStrike пред Dark Reading.
И все пак прекъсването на работата и правните последици от него могат само да подхранят усилията за повишаване на отговорността на софтуерните компании за техните продукти. Понастоящем летвата за успешно водене на дело срещу производител на софтуер е толкова висока, че повечето адвокати са обезкуражени дори да опитат, казва Шарма от Fordham.
„Как ще се развият тези дела ще ни даде много информация за това колко високи са тези бариери и какво трябва да се реформира“, казва тя. „Нямаме много съдебна практика по този въпрос … така че това ще бъде много показателно за хвърляне на светлина върху това какви точно са контурите на тези бариери.“
Понастоящем ситуацията с отговорността за софтуер е доста сложна. Макар на пръв поглед да е проста – „създателите на софтуер трябва да носят отговорност за несигурен софтуер“ – дори въпросът кой носи отговорност може бързо да стане сложен, както показва взаимодействието между Delta Airlines, CrowdStrike и Microsoft.
Законодателството и регулациите за отговорността на софтуера ще трябва да решат този и много други въпроси, заяви Инициативата за кибернетична държавност на Атлантическия съвет в анализ от 32 страници, публикуван по-рано тази година.
„Софтуерната сигурност е проблем на „споделената отговорност“: потребителите на софтуера, в допълнение към неговите разработчици, имат значителен контрол върху резултатите от киберсигурността чрез собствените си практики за сигурност“, се посочва в доклада. „В областта на деликтите вече съществуват концепции за „сравнителна небрежност“, когато поведението на увредената страна е допринесло значително за вредоносния резултат – създателите на политики може да искат да приложат тази концепция изрично в контекста на софтуера, за да балансират определени политически цели.
Дори и да бъдат създадени правила за софтуерна отговорност обаче, CrowdStrike вероятно ще надхвърли тези изисквания, казва Брайън Фокс, главен технически директор на Sonatype, компания за софтуерна цялост. Той посочва, че „поредица от сравнително дребни грешки доведоха до евентуален сблъсък, когато последният фактор беше изпуснат на място“. Макар някои да твърдят, че компанията не е тествала своите актуализации, по-вероятно е тя просто да не е отчела всички възможни сценарии – често срещан пропуск, отбелязва Фокс.
„Силно се нуждаем от реформа, за да възстановим баланса между поемането на риск от страна на корпорациите от името на техните клиенти, [но] спецификата на развитието на този проблем вероятно го прави само част от казуса за реформа“, казва той. „За съжаление това е много типично за софтуера и подчертава защо не сме готови за перфектни стандарти за строга отговорност.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.