CrowdStrike Kesinti Güncellemeleri, Olay ve İhlal Yanıtı, Mevzuat ve Dava
BT Kesintisinden Sonra Firmalar Delta’nın Rakiplerinin Neden Çok Daha Hızlı Kurtarıldığını Sorguladı
Mathew J. Schwartz (euroinfosec) •
9 Ağustos 2024
Delta Air Lines’ın CrowdStrike ve Microsoft’a yönelik uzun süreli BT kesintisi nedeniyle yaptığı yasal tehditler artmaya devam ediyor. Havayolu, iki satıcının kesintinin maliyetini karşılaması yönündeki taleplerini ikiye katlıyor ve bugüne kadar sunulan yardımı çok az ve çok geç olarak nitelendiriyor.
Ayrıca bakınız: OnDemand I Bulutta Uyumluluk ve Güvenlik Zorluklarının Ele Alınması Konulu Panel Tartışması
Anlaşmazlığın kaynağı, 19 Temmuz’da 8,5 milyon Windows ana makinesinin çökmesine ve yeniden başlatılmasına yol açan hatalı bir CrowdStrike yazılım güncellemesiydi. Bu durum, hastaneler, borsalar, bankalar ve American, United ve Delta gibi havayolları da dahil olmak üzere dünya çapında çok sayıda kuruluşun işleyişini sekteye uğrattı.
Atlanta merkezli Delta, CrowdStrike’ın neden olduğu aksaklıkların beş gün içinde 7.000 uçuşun iptal edilmesine yol açtığını ve bunun sorumlusunun siber güvenlik sağlayıcısı ve Microsoft olduğunu söyledi.
Delta’nın CEO’su Ed Bastian, Perşembe günü yaptığı düzenleyici başvuruda, “Toplamda en az 500 milyon dolar tutarındaki kesintiden kaynaklanan zararları tazmin etmek için CrowdStrike ve Microsoft’a karşı hukuki davalar açıyoruz” dedi.
Bastian, “Bu uzunlukta ve büyüklükte bir operasyonel aksaklık kabul edilemez” dedi.
Delta, CrowdStrike ve Microsoft’tan tazminat talep etmek için tanınmış dava avukatı David Boies’i tuttu. 29 Temmuz’da her iki şirkete de davaya hazırlanmalarını söyleyen bir mektup yazdı.
CrowdStrike ve Microsoft Suçlamaları Reddediyor
CrowdStrike bu hafta yaptığı açıklamada, “hissedarlarını, çalışanlarını ve diğer paydaşlarını korumak için, mecbur kalırlarsa agresif bir şekilde karşılık vereceğini” söylerken, Microsoft ise bu tür davalara karşı kendini “şiddetle” savunacağına söz verdi.
Boies’e yazdığı Pazar mektubunda, CrowdStrike avukatı, Quinn Emanuel Urquhart & Sullivan’da eş yönetici ortak olan Michael B. Carlinsky, siber güvenlik firmasının müşterilerinin sistemlerini geri yüklemelerine yardımcı olmak için “yorulmadan” çalıştığını ve Delta’ya defalarca yardım teklif ettiğini söyledi. Ayrıca havayolunun toparlanmasının neden bu kadar uzun sürdüğünü, özellikle de tam operasyonlarına bir gün sonra geri dönen rakipleri American ve United ile karşılaştırıldığında sorguladı. Hatanın “Delta’nın BT kararlarında ve kesintiye verdiği yanıtta” olabileceğini söyledi (bkz: CrowdStrike, Delta’nın BT Kesintisiyle İlgili İhmal İddialarını Reddetti).
Microsoft da bu hafta Boies’in birden fazla iddiasını çürüterek, olaydan hemen sonra kuruluşun birden fazla kademesine ulaşarak ücretsiz yardım teklifinde bulunduklarını ancak havayolunun bu teklifleri defalarca reddettiğini söyledi.
Microsoft avukatı ve Dechert’in küresel dava hukuku uygulamalarının eş başkanı Mark Cheffo, Salı günü The Verge’de yeniden basılan Boies’e yazdığı mektupta, “Ön incelememiz, Delta’nın rakiplerinin aksine BT altyapısını modernize etmediğini gösteriyor” dedi.
“Microsoft, CrowdStrike olayının etkisiyle ilgili olarak Delta ve müşterileriyle empati kuruyor,” dedi. “Ancak mektubunuz ve Delta’nın kamuya açık yorumları eksik, yanlış, yanıltıcı ve Microsoft ve itibarına zarar verici.
Delta ‘Kurbanı Suçlama’ İddiası
Gidiş gelişler devam ederken, Delta Perşembe günü Register tarafından yeniden basılan CrowdStrike’ın avukatlarına bir mektupla yanıt verdi. Boies, CrowdStrike’ı Delta’nın BT altyapısının sağlamlığını sorgulayarak “kurbanı suçlamaya çalışmakla” suçladı ve şirketin “işletme güvenilirliği ve müşteri hizmetlerinin, kısmen bilgi teknolojisine milyarlarca dolar yatırım yapması nedeniyle havayolu sektörüne öncülük ettiğini” söyledi.
Ayrıca havayolunun günlerce süren kesintisinin, CrowdStrike ve Microsoft’a fazla güvenilmesinden kaynaklandığı iddiasını da ileri sürmeye çalıştı (bkz: CrowdStrike, Microsoft Kesintisi Büyük Dayanıklılık Sorunlarını Ortaya Çıkardı).
“Delta’nın kritik görev uygulamalarının ve ilişkili verilerinin yaklaşık %60’ı -Delta’nın yedek yedekleme sistemleri dahil- Microsoft Windows işletim sistemine ve CrowdStrike’a bağlıdır,” diye yazdı. “Delta’nın CrowdStrike ve Microsoft’a olan bağımlılığı, CrowdStrike’ın neden olduğu felaketteki deneyimini daha da kötüleştirdi.”
Boies Schiller Flexner LLP hukuk firmasının başkanı olan Boies, havayolu için kesintinin “37.000’den fazla bilgisayarı kapattığını ve 1,3 milyondan fazla Delta müşterisinin seyahat planlarını bozduğunu” söyledi.
Delta, düzenleyici bir dosyalama işleminde, BT kesintisi nedeniyle 380 milyon dolar zarar bildirmeyi beklediğini, bunun “esas olarak iptal edilen uçuşlar için müşterilere geri ödeme yapılması ve müşterilere nakit ve SkyMiles şeklinde tazminat sağlanması” ile 170 milyon dolar BT kesintisi ve operasyonel kurtarma giderleri olacağını, bunun da “esas olarak müşteri giderlerinin geri ödenmesi ve mürettebatla ilgili maliyetler” nedeniyle olacağını belirtti.
Delta, bu yılın başlarında Biden yönetiminin baskısı altında müşterilere gecikmeler, iptaller ve diğer seyahat aksaklıkları için tazminat sözü veren birden fazla havayolundan biri. ABD Ulaştırma Bakanlığı Havacılık Tüketici Koruma Ofisi, havayolunun kesintiden kaynaklanan aksaklıklarla başa çıkma biçimini araştırdığını söyledi.
Boies, CrowdStrike’ın müşterilerin sistemlerini geri yüklemelerine yardımcı olmak için “yorulmadan” çalıştığı iddiasını reddederek, şirketin “kesintinin ilk 65 saati boyunca yaptığı yardım tekliflerinin Delta’yı CrowdStrike’ın herkese açık düzeltme web sitesine yönlendirdiğini ve Delta’ya etkilenen her bir makineyi manuel olarak yeniden başlatması talimatını verdiğini” yazdı. Ayrıca CrowdStrike CEO’su George Kurtz’un yardım teklif etmek için Delta’nın CEO’suna ulaştığını ancak bunun olayın başlamasından sadece dört gün sonra, “Delta kritik sistemlerini ve diğer makinelerin çoğunu zaten geri yüklediğinde” gerçekleştiğini ve bu noktada “Delta’nın operasyonlarının endüstri normlarına tamamen uyum sağladığını” söyledi.
CrowdStrike sözcüsü Information Security Media Group’a yaptığı açıklamada, “Delta yanıltıcı bir anlatıyı yaymaya devam ediyor.” dedi.
Sözcü, “CrowdStrike CEO’su George Kurtz, 19 Temmuz’daki olaydan dört saat sonra Delta yönetim kurulu üyesi David DeWalt’ı aradı,” dedi. “CrowdStrike’ın baş güvenlik görevlisi, olaydan birkaç saat sonra Delta’nın CISO’suyla doğrudan temas kurarak bilgi verdi ve destek sundu. CrowdStrike ve Delta’nın ekipleri, olaydan birkaç saat sonra yakın bir şekilde birlikte çalıştı ve CrowdStrike, web sitesinde bulunanın ötesinde teknik destek sağladı.”
Siber güvenlik satıcısı ayrıca, Delta’ya sağladığı müşteri desteğinin kanıtı olarak DeWalt’ın 19 Temmuz tarihli “LinkedIn gönderisine” işaret etti. “George ve ekibi, zor koşullar altında gece boyunca çalışarak bir düzeltme sunmak için inanılmaz bir iş çıkardı. Crowdstrike ekibi ve liderlikleri için, birçok kişinin halihazırda mevcut bir düzeltmeye uyanması büyük bir başarıdır,” diye yazdı McAfee ve FireEye’ın eski CEO’su olan DeWalt.
Test Sorunları
Delta’nın tehditlerinin ötesinde CrowdStrike, şirketin hatalı yazılım güncellemesinin küresel BT kesintisini tetiklemesinden önce teknolojisini “doğrulanmış, test edilmiş ve sertifikalandırılmış” olarak nitelendirerek kendilerini yanılttığını iddia eden yatırımcıların açtığı toplu dava ile karşı karşıya.
CrowdStrike, olayın temel nedenlerini belirlemek için hızla ve kamuoyuna açık bir şekilde hareket etti. Hızlı bir şekilde, yazılım test süreçlerindeki hataların Falcon uç nokta algılama ve yanıt yazılımı için hatalı güncellemenin dağıtılmasını engelleyemediğini belirten bir ön rapor yayınladı. Şirket, bu tür kitlesel kesintileri daha iyi önlemek için testlerini elden geçirme ve güncellemeleri müşterilere aşamalı bir şekilde dağıtma sözü verdi ve Salı günü daha sağlam bir temel neden analizi yayınladı.
Microsoft, CrowdStrike’ın Falcon’u gibi EDR araçları da dahil olmak üzere üçüncü taraf yazılımlar tarafından Windows çekirdek düzeyindeki erişimi incelediğini söyledi. Almanya Federal Bilgi Güvenliği Ofisi veya BSI, bu tür çekirdek düzeyindeki erişim de dahil olmak üzere kesintinin temel nedenlerini belirlemek için hem CrowdStrike hem de Microsoft ile iletişim halinde olduğunu söyledi. Federal güvenlik ajansı, 2025 yılı sonuna kadar Windows’un “daha öncekiyle aynı işlevselliği ve koruma düzeyini sunan, ancak işletim sistemlerine daha az müdahaleci izinler gerektiren yeni ve dayanıklı bileşenler” elde etmesini istediğini söyledi.
BSI, “Bu, yazılım hatalarının etkisini en aza indirmeyi amaçlıyor” dedi.