CrowdStrike kesintisi hikayesi bu hafta daha da çirkinleşmeyi başardı ve bundan faydalanan tek kişiler avukatlar olabilir. Ayrıca, güvenlik ürünlerinin etkinliğine ve siber güvenliğin kirli sırrına bakıyoruz: bilgi asimetrisi.
Öncelikle, gerçekten önemsiz. CrowdStrike’ın Etsy’deki ve bir parodi web sitesindeki parodileri kaldırmaya çalıştığı bildiriliyor. Parodilere daha fazla dikkat çekmenin yanı sıra, şu anda her şeyden çok güvenliğe ve erişilebilirliğe odaklanması gereken bir şirket için kötü bir görüntü.
CrowdStrike hisseleri (CRWD), yatırımcıların şirketin büyüme yörüngesini şimdiye kadarki en büyük siber saldırının ardından yeniden değerlendirmesiyle birlikte, dünya çapında 8,5 milyon Windows makinesini çökerten ve 28 milyar dolarlık piyasa değerini silen 19 Temmuz kesintisinden bu yana %38 düştü. Şaşırtıcı olmayan bir şekilde, hissedar davaları ortaya çıkmaya başladı.
CrowdStrike, yapması gerekenin tam tersini yapıyor gibi görünüyor: Alçakgönüllülük gösteriyor ve müşterilere şirketin güvenilir bir ortak olduğuna dair güvence veriyor.
Delta, Kesinti Zararları İçin CrowdStrike’a Dava Açabilir
Kesintiden kurtulmak için ABD Ulaştırma Bakanlığı’nın konuyla ilgili bir soruşturma başlatmasına kadar mücadele eden Delta Airlines, kesintiden kaynaklanan zararının 500 milyon dolar olduğunu tahmin ediyor ve CNBC’ye tazminat talep etmeyi planladığını söyledi. Şirket, davayı takip etmesi için tanınmış avukat David Boies’i işe aldı.
“Teknoloji açısından Delta ekosistemine erişiminiz, öncelikli erişiminiz olacaksa, bu şeyleri test etmeniz gerekir. Görev açısından kritik bir 7/24 operasyona gelip bize bir hatamız olduğunu söyleyemezsiniz,” dedi Bastian CNBC’ye.
CrowdStrike, kesintinin, hatalı bir güncellemenin sızmasına neden olan doğrulama yazılımındaki bir hatadan kaynaklandığını açıkladı.
Ancak Delta’nın kesintiden kurtulması rakiplerinden çok daha uzun sürdü ve bu durum kurtarma süreçlerinin yetersiz olma ihtimalini gündeme getirdi.
Tahminimiz: Burada gerçeği asla bilemeyeceğiz çünkü yazılım satıcıları tarihsel olarak hatalardan dolayı sorumluluktan muaf olsalar da CrowdStrike ve Delta, kamuoyunun dikkatini çekmemek ve ifşaatlardan kaçınmak için muhtemelen davayı çözecekler.
Avukatlar, Pazarlamacılar ve Hissedarlar, Aman Tanrım!
Buradaki genel sorunun bir kısmı, Reagan döneminden beri ABD şirketlerine hakim olan “önce hissedar” zihniyeti olabilir – şirketlerin öncelikli olarak hissedarları ödüllendirmek için var olduğu doktrini. Bu uygulama yapay zekanın yükselişiyle birlikte aşırı hız kazandı ve bunun iyi bitme ihtimali çok düşük – müşteriler mutsuzsa hissedarlar ne kadar iyi ödüllendirilecek?
“Önce hissedar” doktrini, şirketlerin çalışanları ve üretkenliği mümkün olduğunca zorlarken asgari yatırımla idare etmeye çalıştıkları anlamına gelir. Bu kırılgan sistemler yaratır ve CrowdStrike-Microsoft-Delta gibi bir olay, yetersiz test, aceleyle yapılan bir güncelleme, kırılgan bir işletim sistemi ve yetersiz kurtarma süreçlerinin bir araya gelerek 500 milyon dolarlık bir kayba yol açması durumunda bu zincirin ne kadar kırılgan olduğunu gösterir. Ve bu sadece bir müşteridir; siber sigortacı Parametrix tarafından toplam kesinti kayıplarının 15 milyar dolar olduğu tahmin edilmektedir ve bunun yalnızca %10-20’si siber sigorta tarafından karşılanabilir.
“Önce hissedar” odaklı maksimum karlılıkla, pazarlama teknolojinin önüne geçiyor ve şirketler aşırı vaatlerde bulunup yetersiz performans gösteriyor. Şirketin her türlü avantajı elinde tutabilmesini sağlamak için avukatlar devreye giriyor.
Yani CrowdStrike’ınki gibi ağır şartlar ve koşullar elde ediyorsunuz; burada zararlar iadelerle sınırlı ve yüksek güvenlik gereksinimleri olan kuruluşlara tedarikçi olarak dikkatlice bir itibar oluşturmuş bir şirketle uyumsuz görünen aşağıdaki gibi tuhaf bir dil kullanılıyor (üst sınırlar CrowdStrike’ın):
“TEKLİFLER VE CROWDSTRIKE ARAÇLARI HATA TOLERANSLI DEĞİLDİR VE HATA GÜVENLİ PERFORMANS VEYA ÇALIŞMA GEREKTİREN HERHANGİ BİR TEHLİKELİ ORTAMDA KULLANILMAK ÜZERE TASARLANMAMIŞ VEYA AMAÇLANMAMIŞTIR. NE TEKLİFLER NE DE CROWDSTRIKE ARAÇLARI UÇAK NAVİGASYONU, NÜKLEER TESİSLER, İLETİŞİM SİSTEMLERİ, SİLAH SİSTEMLERİ, DOĞRUDAN VEYA DOLAYLI YAŞAM DESTEK SİSTEMLERİ, HAVA TRAFİK KONTROLÜ VEYA HATA DURUMUNUN ÖLÜM, CİDDİ FİZİKSEL YARALANMA VEYA MAL ZARARIYLA SONUÇLANABİLECEĞİ HERHANGİ BİR UYGULAMA VEYA KURULUMUN ÇALIŞTIRILMASI İÇİN DEĞİLDİR. Müşteri, bir Teklifin ve CrowdStrike Araçlarının bu tür uygulamalarda ve kurulumlarda güvenli bir şekilde kullanılmasını sağlamanın kendi sorumluluğunda olduğunu kabul eder.”
CrowdStrike bu tür terimlere sahip tek güvenlik sağlayıcısı değil, ancak bu durum kritik altyapımızın güvenliği konusunda size güven vermiyor.
Sektörün önde gelen yetkililerinden biri olan SentinelOne’ın yeni CISO’su Alex Stamos, bu hafta başında yayınladığı bir podcast’te CrowdStrike’ı ihmalkarlıkla suçlarken, Fortinet ve Sophos gibi rakipler de müşterilerini rahatlatmak için çekirdek güncellemelerini nasıl işlediklerini açıklıyor.
Ancak şunu sormak adildir: Güvenlik araçlarımız ne kadar güvenli? Cevap belirsizdir, çünkü siber güvenlikten daha fazla “bilgi asimetrisi” çeken çok az sektör vardır; burada satıcılar, bu ürünlerin gerçekte ne kadar iyi çalıştığı konusunda alıcılardan çok daha fazla şey bilir ve etkinlik için hiçbir standart yoktur.
Bilgi Asimetrisi: Siber Güvenliğin Büyük Sorunu
CrowdStrike Falcon’un merkezinde yer alan uç nokta algılama ve yanıt (EDR) ürünleri, en iyi test edilmiş güvenlik ürünlerinden bazılarıdır; yıllık MITRE ATT&CK değerlendirmeleri, sektörün karşı karşıya kaldığı en zorlu testlerden bazılarıdır; ancak orada bile, EDR araçları kaçırılan algılamalara, baypas saldırılarına ve gerçek dünya koşullarında ne kadar iyi çalıştıkları konusunda genel olarak belirsizliğe maruz kalmaktadır.
Bu hafta yayınlanan bir Picus Security raporu, güvenlik araçlarının endişe verici sayıda saldırıyı kaçırdığını buldu. Önleme etkinliği 2023 raporunda %59’dan 2024’te %69’a yükselirken, tespit etkinliği -ve özellikle uyarı puanları- %16’dan %12’ye düştü. Picus, “Bu, bazı saldırıları önlemede daha iyi olduğumuz anlamına geliyor, ancak bunları hemen tespit etmekte hala zorlanıyoruz” dedi.
Raporda, “Gerçek dünya verileri, kontrollü ortamlarda %100 puan alan en iyi cins ürünlerin bile, kullanıma sunulduktan sonra geniş bir yelpazede önleme ve tespit etkinliği gösterebileceğini gösteriyor” denildi.
Sorunun bir kısmı uygulama ve ortamlardaki farklılıklardır. Diğer kısmı ise saldırganların ve savunucuların sürekli olarak yanıt vermesi ve uyum sağlaması gereken, bir taraf veya diğer taraf için ara sıra avantajlara yol açan siber güvenliğin kedi-fare oyunudur. Ve davranışa, makine öğrenimine ve yapay zekaya dayalı araçlar bile sürekli olarak yeni bilgilere uyum sağlamalıdır.
Güvenlik ürünleri mükemmel değildir, bu nedenle kuruluşlar derinlemesine savunma ve dayanıklılık konusunda ısrarcıdır: Bir saldırgan ne kadar çok engelle karşılaşırsa, pes edip daha kolay bir hedefe geçme olasılığı o kadar artar.
Ancak yine de daha iyisini bekleyebiliriz – hatta talep edebiliriz. Siber güvenlik, havayolları, sağlık, gıda ve tarım veya diğer kritik sektörler olsun, bağımlı olduğumuz herhangi bir sektör, hissedarlar hariç, bu kaynakları korumak için yeterli yatırım yapmalıdır. Ve yeterli koruma konusunda ısrar etmek, kanun koyucuların, düzenleyicilerin, tüketicilerin ve bazen hisse senedi fiyatı yeterince düşerse hissedarların da işidir.