Potansiyel olarak çığır açıcı bir anlaşmazlıkta Delta Air Lines, önde gelen bir siber güvenlik firması olan CrowdStrike’ı iddia edilen ihmal ve sözleşme ihlali nedeniyle dava etmekle tehdit ediyor. Bu dava, giderek dijitalleşen bir dünyada tedarikçilerin müşterilerine karşı yükümlülükleri hakkında kritik soruları ön plana çıkarıyor.
Siber güvenlik tehditleri geliştikçe, tedarikçilerin hassas verileri koruma ve sağlam güvenlik önlemlerini sürdürme beklentileri her zamankinden daha yüksek, ancak bu tedarikçiler müşterilerinin ortamlarının her yönünden sorumlu olamazlar. Siber güvenlik tedarikçileri ve müşterileri bu sorumlulukları etkili bir şekilde nasıl dengeleyebilir ve riski nasıl en aza indirebilir?
Anlaşmazlık
Temmuz ayının sonunda, Delta’nın CEO’su CrowdStrike-Microsoft olayının havayoluna 500 milyon dolara mal olduğunu, çünkü BT kesintisinin binlerce müşteriyi mahsur bıraktığını ve 6.000’den fazla uçuşu iptal etmelerine neden olduğunu belirtti. Bu maliyet yalnızca kaybedilen geliri değil, aynı zamanda altı güne yayılan gecikmeler için “günde onlarca milyon dolarlık tazminat ve otel” masrafını da içeriyor.
Delta, kesintiden kaynaklanan yüksek maliyetler nedeniyle CrowdStrike’tan zarar tazminatı talep etmekten başka çareleri olmadığını belirtiyor. Delta, ekosistemlerinde konuşlandırılan tüm teknolojilerin kritik görev ortamına gönderilmeden önce kapsamlı bir şekilde test edilmesini bekliyordu. Ne yazık ki CrowdStrike’ın testleri sorunu tespit edemedi.
Hukuki argümanlar geçerli mi?
Şimdiye kadarki medya raporları, Delta’nın CrowdStrike’ın ihmalkar olduğuna inandığını gösteriyor ve bunun CrowdStrike’ın ilk baştaki zayıf özrüyle gösterildiğini savunuyorlar. Delta, sorunu çözmek için 40.000 sunucuyu manuel olarak sıfırlamak zorunda kaldı ve normal operasyonlarına geri dönmesi rakiplerinden daha uzun sürdü, bu da ABD Ulaştırma Bakanlığı Havacılık Tüketici Koruma Ofisi tarafından bir soruşturma başlattı. Bu soruşturma, havayolunun halihazırda katlandığı itibar darbelerine ek olarak Delta için ek maliyetlere yol açabilir.
Öte yandan CrowdStrike, Delta’nın iddialarının asılsız olduğunu savunuyor ve kesintiden kurtulmaları için satıcılara uygun şekilde yardımcı olmak için kendi çabalarını vurguluyor, bir sistem arızası durumunda siber güvenlik şirketinin müşterilerine ve satıcılarına karşı özen yükümlülüğünü yerine getiriyor. CrowdStrike’ın Delta sözleşmesini yerine getirmede ihmalkar olduğu tespit edilirse, bir mahkeme sözleşmesindeki zarar sınırlarının geçersiz olduğunu ilan edebilir ve böylece Delta ve benzer şekilde etkilenen diğer CrowdStrike müşterilerine çok daha büyük bir mali tazminat hakkı tanıyabilir.
Delta’nın dava açıp açmayacağı henüz belli değil, ancak böyle bir davayı kazanmak zor olabilir, özellikle de CrowdStrike sözleşmesel yükümlülüklerini makul bir şekilde yerine getirdiğini gösterebilirse. Bazı açılardan, ihmal argümanı, bir sprinkler sistemi sağlayıcısının bir binada asla yangın çıkmamasını sağlaması gerektiğini iddia etmeye benzer ve siber güvenlik satıcılarına bazen yüklenen gerçekçi olmayan beklentileri vurgular.
Bu olay, Delta ve CrowdStrike’ın zararlarını tazmin etmek isteyen diğer müşterileri için zorlu dinamiği vurgular, olay işlerini etkili bir şekilde yürütmelerini imkansız hale getirmiş olsa bile. Bu tür olaylar, kazaların tıpkı siber saldırılar gibi ciddi etkilere sahip olabileceğini ve müşterilerin yine de kayıplardan sorumlu olabileceğini sert bir şekilde hatırlatır.
Sorumluluk hesap verebilirlik ve güveni içerir
Delta’nın iddialarına bakılmaksızın CrowdStrike, bir siber güvenlik satıcısı olarak sorumluluğunu yerine getiriyor gibi görünüyor. Örneğin, şirket geçen hafta olayın kök neden analizini yayınladı ve bu analizde öğrenilen dersler, süreçlerini nasıl iyileştirdikleri ve dayanıklılığı artırmak için atılan adımların nasıl belirlendiği de dahil olmak üzere ayrıntılı olarak açıklandı.
Hiç şüphesiz, 19 Temmuz’da birçok şey ters gitti. CrowdStrike ile Delta arasındaki bu kamuoyundaki çekişme, dijital ortamlarda faaliyet gösteren, çoklu entegrasyonlara ve karşılıklı bağımlılıklara dayanan ortamlardaki siber güvenlik satıcıları ve müşterileri için zorlukları vurguluyor. Hem siber güvenlik satıcılarını hem de müşterilerini etkili bir şekilde korumak için, her iki taraf da kendilerini sorumlu tutmalı ve siber ve iş sürekliliği risklerine karşı korumada güvenilir ortaklar olarak hareket etmelidir.
Bu riskleri yönetmenin 4 yolu
Sürekli var olan siber riskler ve iş sürekliliği için ciddi tehdit oluşturan kesinti olayları göz önüne alındığında, şirketlerin bu riskleri yönetmek için alternatif yollar belirlemesi mantıklıdır.
1. Bu tür olayların işletmenizi ve operasyonlarınızı nasıl etkileyebileceğini anlayın. Artık bir kesintinin işletmeyi nasıl etkileyebileceğini tam olarak anlamak ve dahili ekiplerin tipik olay müdahalesine ek olarak etki azaltma stratejilerine odaklanmasını sağlamak kritik önem taşıyor.
2. Tedarikçilerle sözleşme müzakereleri sırasında mevcut durumu mümkün olduğunca iyi bilin. Bir tedarikçi ilişkisinin başlangıcında, tedarikçinin müşterinin kendi iş yükümlülüklerini yerine getiremeyecek kadar başarısız olması durumunda oluşacak etkiyi göz önünde bulundurun. Delta bu olayı ve etkisini öngörebilseydi, sözleşmede daha yüksek sorumluluk sınırlamaları müzakere edebilirdi (ancak 500 milyon dolar sınırına yakın olması pek olası değildir).
3. Sigortalanabilirliği göz önünde bulundurun. Çeşitli sigorta sektörü tahminlerine göre, bu olay için sigorta tazminatının tahmini toplam kayıpların yalnızca bir kısmı olacağı anlaşılıyor. Ek olarak, birçok siber sigorta poliçesi öncelikle kötü niyetli olayları kapsayacak şekilde tasarlanmıştır, bu olay ise öyle değildi. Bununla birlikte, bu tür kayıplar için teminat mevcuttur ve şirketler şu anda poliçelerini gözden geçirmeli ve istenildiği gibi teminatı değiştirmeye çalışmalıdır.
4. Bir tedarikçinin başarısız olması durumunda yedek veya alternatif yeteneklerin bulunmasının mantıklı olup olmadığını değerlendirin. Tamamen yedekli yeteneklerin maliyet açısından caydırıcı veya uygulanamaz olduğu ortaya çıkabilir, ancak en azından soruyu dikkate almamak ve artılarını eksilerini anlamamak, işletmenin kendi özen görevini yerine getirmediği anlamına gelir.
Yeni bir paylaşımlı sorumluluk modeli
Riski en aza indirmek, satıcıların ve müşterilerinin birlikte çalışmasını gerektirir. Hiçbir siber güvenlik satıcısı, çözümlerinin dağıtıldığı ortamlar üzerinde kontrole sahip değildir, ancak müşterilerini korumayı amaçlayan çözümlerinin büyük BT kesintilerine neden olmaması riskini en aza indirmek için ellerinden geleni yapabilir ve yapmalıdırlar.
Öte yandan müşteriler, modern bir BT altyapısı sürdürmeli, mevcut yazılım yamaları konusunda güncel kalmalı ve çeşitli risk senaryolarına hazırlıklı olmalıdır. Bu tür ilişkiler için henüz tanımlanmış bir paylaşımlı sorumluluk modeli yoktur, ancak bu, birinin ortaya çıkmasına neden olan belirleyici olay olabilir.