Başarısızlığın kamuoyunda kabul edilmesi cesaret ister. Siber güvenlik şirketinin itibarının zarar görmesini sınırlamaya çalışırken, CrowdStrike başkanı Michael Sentonas yakın zamanda düzenlenen Pwnie Ödülleri’nde En Büyük Başarısızlık ödülünü kabul ederek kesinlikle küstahlık gösterdi. Taktik işe yaramış gibi görünüyor: Sentonas, şirketinin hatalarını kamuoyuna açıkladığı için DEF CON etkinliğine katılanlar tarafından alkışlandı.
“Kesinlikle gurur duyulacak bir ödül değil,” dedi Sentonas kabul konuşmasında delegelere. “Bence ekip, bunu korkunç bir şekilde yanlış yaptığımız için gelip alacağımı söylediğimde şaşırdı. Bunu birçok kez söyledik ve iyi bir şey yaptığınızda bunu sahiplenmek çok önemlidir. Bu durumda yaptığımız gibi, korkunç bir şekilde yanlış bir şey yaptığınızda bunu sahiplenmek çok önemlidir.”
Ancak bu akıllıca PR hamlesinin ötesinde, CrowdStrike olayının mirası ölümcül derecede ciddidir. 19 Temmuz’da, Crowdstrike’ın güvenlik açığı tarayıcısı Falcon Sensor’a yapılan hatalı bir yazılım güncellemesi, Microsoft Windows çalıştıran 8,5 milyon sistemin çökmesine yol açtığında dünya şimdiye kadarki en büyük BT kesintilerinden birini yaşadı. Küresel olarak, BT altyapısı arızalandı ve bireyler ve kuruluşlar için büyük bir kargaşa ve maddi kayıp yarattı.
2022’deki NotPetya siber saldırısından bu yana en ciddi olay, etkisi muazzamdı: hatalı güncelleme, hava yolculuğunu, bankacılığı, yayıncılığı, otelleri, hastaneleri ve diğer hayati hizmetleri aksatan küresel bilgisayar kesintilerine neden oldu. Sigortalı kayıpların 10 milyar dolardan fazla olduğu tahmin ediliyor; binlerce KOBİ işletmesini etkileyen teminat eksikliğiyle gerçek kayıplar çok daha büyük olabilir.
Sorumluluğun nerede yattığını belirlemenin merkezinde öngörülebilirlik sorusu yer alacaktır. Çok sayıda kişi, bu yazılımın dünya çapında birbirine bağlı ve bağımlı kuruluşlar için kritik olduğunu ve hatalı bir güncellemeden ciddi şekilde etkileneceklerini bilirdi. Bu nedenle, satıcıların, her güncellemenin kullanıcılara dağıtılmadan önce nasıl geliştirildiği ve test edildiği de dahil olmak üzere, yazılımları güncellemek için yeterli prosedürlere sahip olması gerektiği kendiliğinden açıktır.
CrowdStrike bir ‘Kara Kuğu’ olayı mıydı?
Peki, bu bir Kara Kuğu olayı mıydı – makul olarak beklenebilecek olanın ötesinde öngörülemez miydi? Bu tür olaylar genellikle nadirlikleri, etkilerinin şiddeti ve geriye dönüp bakıldığında apaçık ortada oldukları yönündeki genel algı ile karakterize edilir.
CrowdStrike gibi olayların aslında daha yaygın ve dolayısıyla daha öngörülebilir hale gelip gelmediği konusunda görüşler bölünmüş durumda. Elbette, gelişigüzel bir şekilde deney yapan yenilikçilerin bu tür olayların sıklığını artırma olasılığı daha yüksektir ve bu da onları daha az öngörülemez hale getirir. Kısıtlamalar yaratıcılığı engelleyebilir, ancak öngörülebilir olayları önlemek için yeterli önlem adımlarını atmayan yenilikçiler ciddi yasal sonuçlarla da karşı karşıya kalabilir.
Özellikle yeni siber tehditlere karşı korunmak için bu güncellemeleri hızla yayınlamak gerektiğinde, siber güvenlik güncellemelerini başlatanlar için hangi test süreçlerinin zorunlu olması gerektiği konusunda tartışmalar alevlenecek. BT sektörü yorumcuları, farklı sistemlerin potansiyel güvenlik açıklarını açıklarken, bu tür güncellemelerin günde birkaç kez başlatılması gerekebileceğine her zaman dikkat çekiyor.
Benzer şekilde, diğer birbirine bağımlı sistemler de günde birden fazla kez güncellenebilir ve cihazlar güncellemeleri farklı bir sırayla veya zaman ölçeğinde alabilir. Yorumcular, gerçek dünyanın mükemmel bir test ortamı sağlayamayacağını ve güncellemeler yanlış giderse, üçüncü ve dördüncü tarafların ifşasının yanı sıra olası tedarik zinciri sonuçlarının beklenebileceğini savunuyorlar. Bir avukatın bakış açısından, teknolojiye yönelik bu ‘kobay’ yaklaşımı olası toplu davalar için bir kabus senaryosu yaratıyor.
Tek noktadan kaynaklanan arıza riski
Riskler, belirgin veya baskın bir pazar payına sahip herhangi bir teknoloji tarafından daha da artırılır. Burada, olası tek arıza noktaları, nihayetinde çok sayıda talep sahibinden eş zamanlı talepler üreten sistemik olaylara yol açabilir: tek bir eksik küçük dişli küresel BT altyapısını durma noktasına getirebilir.
Böyle tek bir arıza noktası, potansiyel olarak felaket niteliğinde kümülatif kayıplarla olağanüstü geniş bir etkiye sahip olabilir. Hukuki bir bakış açısından, karmaşık, küresel bir BT tedarik zincirinde tek bir arıza noktasının risklerini azaltma ve bu risklerin yeterince değerlendirilip değerlendirilmediği konusunda sorular ortaya çıkar.
Temsilcilik ve delege etme sorunları da ortaya çıkar. Bir sistemin arayüzleme sırasında temsil edilen güvenliği, yalnızca sistemi bloke etmekle kalmayıp aynı zamanda saldırıya da açabilir. Kapsam ve ölçek açısından, CrowdStrike kesintisinin net etkisi, kötü niyetli bir aktör tarafından küresel bir tedarik zincirine yapılan bir saldırıya eşdeğerdi.
Belki de NotPetya ve diğer kötü amaçlı siber saldırıların sonucu olarak karşılaşılan sorunlar, gelecekteki siber olayların yaratabileceği etkinin habercisidir.
Microsoft güncellemeyi reddetmiş olabilir mi?
CrowdStrike ile Microsoft arasındaki bağlantıyı da göz önünde bulundurmak önemlidir. Özellikle, Microsoft’un işletim sisteminin güncellemeyi reddedip önceki bir sürüme geri dönebilme kapasitesine sahip olup olmadığı sorusu vardır. Eğer öyleyse, neden bu gerçekleşmedi?
MS sisteminin bu sonucu elde etmek için önceki versiyona nasıl geri dönebileceği tam olarak net olmasa da, AI uzmanları sistemin sorunları çözmek için kendini kalibre eden bir süper beyne benzetilebileceğini sürekli hatırlatıyor. Eğer bu doğruysa, süper beyin hala devrede mi yoksa yanlış AI uzmanlarını mı dinliyoruz?
Son blog yazılarında, sektör yorumcuları Microsoft’un düşük seviyeli işletim sisteminde çalışan üçüncü taraf satıcıların güncellemeleri yayınlamasının zorluğuna ilişkin yorumlarına atıfta bulunuyorlar. Üçüncü taraf uygulamalarının işletim sisteminde daha yüksek seviyede çalışması için değişiklikler yapılabileceğini ve bu tür sorunların yönetim zorluğunun hafifletilebileceğini öne sürüyorlar: örneğin, mavi ekranlara neden olan güncellemeleri reddetme yeteneği ve önceki sürüme geri dönme ihtiyacı.
Öngörülebilir hatalar
BT sektöründe bazıları, güvenlik güncellemelerinin daha sıkı test edilmesi ve güncelleme sürümlerinin daha küçük gruplara veya yükseltme ‘halkalarına’ kademeli olarak dağıtılmasıyla felaketin önlenebileceğini savunuyor. Yasal bir bakış açısından, özellikle korkunç mavi ekranlar hakkında yıllardır süren bitmek bilmeyen tartışmalar göz önüne alındığında, her şeyin çok öngörülebilir göründüğü gerçeğini görmezden gelmek imkansızdır.
Sektör uygulamalarının karmaşıklığı, yeniliği (ve öngörülebilirliği) ve beraberindeki risklerin ölçeği (yasal haklar ve yükümlülükler dahil) göz önüne alındığında, BT sektörü sistemsel arızalardan ve siber güvenlik risklerinden kaynaklanan daha fazla felaket kaybını önleme konusundaki sorumluluklarını tam olarak dikkate almalıdır.
Hermès Marangos, Signature Litigation’da Ortaktır