תקלה באחריות CrowdStrike גרמה להפסדים של מיליארדים - מי ישלם?

על פי הערכות, הנזקים מהתקלה יושטו בעיקר על הלקוחות, כאשר יהיה קשה להוכיח שהחברה אחראית לנזק ישיר או עקיף כתוצאה מהאירוע

תקלה באחריות CrowdStrike גרמה להפסדים של מיליארדים - מי ישלם?

Photo by LinkedIn Sales Navigator: https://www.pexels.com/photo/man-using-macbook-2182969

בסוף השבוע האחרון עדכון תוכנה כושל של חברת CrowdStrike, ספקית שירותי אבטחת מידע במודל SaaS, השבית כ-8.5 מיליון עמדות מבוססות מערכת "חלונות" ברחבי העולם. אלפי טיסות בוטלו או נדחו, בתי חולים ביטלו ניתוחים וטיפולים, ומוקדי חירום ברחבי העולם הפסיקו לתפקד ולא יכלו לספק שירותים לאזרחים.

לעסקים רבים ככל הנראה ייקחו ימים או אפילו שבועות להתאושש מהפסקת המחשוב חסרת התקדים של יום שישי האחרון, הזהירו מומחי IT.

"אנו מעריכים כעת שהעדכון של CrowdStrike השפיע על 8.5 מיליון מכשירי Windows, או פחות מאחוז אחד מכל מכשירי Windows," אמרה מיקרוסופט ביום שבת בפוסט בבלוג. "בעוד שהאחוז היה קטן, ההשפעות הכלכליות והחברתיות הרחבות משקפות את השימוש ב-CrowdStrike על ידי ארגונים המפעילים שירותים קריטיים רבים."

לפי פרסום של FT, חברת Cirium, העוסקת בניתוח ענף התעופה, אמרה ביום שבת כי חברות התעופה ביטלו 1,848 טיסות, בעיקר בארה"ב, אם כי גם אוסטרליה, הודו וקנדה נפגעו. לפי הערכות אחרות, בוטלו סה"כ כ-7,000 טיסות במצטבר.

"זו הפעם הראשונה שכלי אבטחה בפריסה רחבה, שנועד להגן על מכונות, למעשה גורם להן להישבר," אמר ניל מקדונלד, אנליסט בחברת ייעוץ IT גרטנר. על פי הערכות, ל-CrowdStrike יש כ-29,000 לקוחות עסקיים, ביניהם כחצי מרשימת ה-Fortune 500.

אחת השאלות הגדולות היא מי ישלם על הנזקים? כחברת תוכנה, CrowdStrike כנראה כיסתה את עצמה במסגרת החוזים עם הלקוחות מפני נזקים ישירים או עקיפים הנגרמים בשל תקלות במוצר שלה. מרבית הנזקים, שיכולים להגיע למיליארדים, כנראה נובעים מנזק ישיר או עקיף.

למשל, חברות תעופה שהפסידו כסף מביטול טיסות או בתי חולים שהפסידו כסף מביטול ניתוחים. היות ומדובר בתקלה תמימה, ללא כוונת זדון מצד ספק התוכנה, ההשערות בשוק הן שיהיה מאוד קשה להוכיח אחריות של CrowdStrike לנזקים כלכליים שנגרמו ללקוחות החברה.

בחמישה הימים האחרונים, מניית החברה צנחה בכ-18% בבורסה. עם זאת, בעבר חברות תוכנה או אבטחת מידע שחוו משברים גדולים, הצליחו לשחזר את מחיר המניה בימים לאחר האירוע. CrowdStrike נחשבת למובילה בתחומה וייתכן כי היא בקטגוריית "גדולה מידי בשביל ליפול."

סביר להניח כי נראה תביעות נגד החברה שבהן היא תצטרך בעיקר להוכיח שלא הייתה רשלנות בהליך פיתוח עדכון התוכנה והפצתו ללקוחות. אם אכן הכל התנהל תחת תהליכי בקרה סדורים, ההערכות הן כי יהיה קשה לחייב את החברה לשלם פיצויים כלשהם ללקוחות.

לצד השאלה מי ישלם על ההפסדים, עולה גם שאלה כיצד יתנהלו עדכוני תוכנה אוטומטיים מהיום והלאה. ארגונים מבינים בעקבות המקרה שעדכון אוטומטי, במסגרתו כלל עמדות החברה מתעדכנות בו זמנית, יכול לעלות להם ביוקר. לכן, ייתכן וחלק מהארגונים ירצו שדרוג מדורג. כך, אם העדכון כושל, רק חלק קטן מהחברה ניזוק וניתן לצמצם הפסדים כלכליים.

מצד שני, כאשר "מסתובבת בחוץ" חולשה ידועה שכבר מנוצלת על ידי האקרים, והיצרן מוציא עדכון, האם ארגון יוכל להרשות לעצמו לדחות את העדכון במצב כזה? בעולם הסייבר, עדכון איטי או העדר עדכוני תוכנה, יכולים לעלות ביוקר, אם למשל תוכנת כופר מצליחה לשתק את רשת הארגון. במצב אחר, יכול לדלוף מידע רגיש עסקית ולחשוף את הארגון לתביעות ועלויות.

בעוד קשה להעריך כיצד המקרה של הסופ"ש האחרון ישפיע על שוק שירותי הסייבר הנמכרים בתצורת SaaS, אין ספק כי הלקוחות, לפחות חלקם, צפויים לדרוש מודל איזון אחר של אחריות בנטל, בין הספק ללקוח. כיום, כמעט את כל הנטל לתקלות מסוג זה סופג הלקוח.

img
פרשנות | כוח צבאי משמעותי של נאט״ו יכול להקטין הסתברות למלחמה גרעינית באירופה
דעה | אופציה צבאית ישראלית תוכל לרסן את איראן 
קבוצת SQLink רוכשת את ZIGIT הישראלית
קבוצת SQLink רוכשת את ZIGIT הישראלית