Dava, Standartlar, Düzenlemeler ve Uyumluluk
CrowdStrike Kesintisinden Sonra Toplu Menkul Kıymetler Davasında Yanlış Beyan İddiaları Ortaya Çıktı
Michael Novinson (MichaelNovinson) •
14 Ocak 2026
Bu hafta bir federal yargıç, CrowdStrike’ı ürün güvenliği, testlerin titizliği ve mevzuata uygunluk konusunda halkı yanıltmakla suçlayan bir menkul kıymet dolandırıcılığı davasını reddetti.
Ayrıca bakınız: Bulutta Uyumluluk ve Güvenlik Sorunlarının Ele Alınması Konulu OnDemand I Panel Tartışması
ABD’nin Teksas Batı Bölgesi Hakimi Robert Pitman, Austin, Texas merkezli CrowdStrike’ın Temmuz 2024’teki küresel BT kesintisinden önceki ve sonraki açıklamalarının çoğunun dava edilemeyecek şişirme olduğunu veya bağlam içinde bakıldığında maddi olarak yanıltıcı olmadığını tespit etti. Pittman, federal uyumla ilgili iki beyanın yanıltıcı olabileceğini kabul etti, ancak davacıların niyet veya pervasızlık tespit edemediklerini söyledi.
Pitman Pazartesi günü 49 sayfalık bir emirde şöyle yazdı: “‘Sanıkların sermaye artırma ihtiyacı, artırılmış teşvik tazminatı arzusu ve hisse senetlerini şişirilmiş fiyatlarla satma arzusu nedeniyle dolandırıcılık yapmaya motive oldukları’ iddiaları – daha fazlası olmasa da – bilim adamlarının çıkarımını desteklemek için yetersizdir.”
Toplu dava, New York Mali İşler Müdürü Thomas DiNapoli tarafından yönetildi ve CrowdStrike’ın uygun bir kalite güvence ekibinden yoksun olduğunu, aşamalı dağıtım yapmadığını ve üretim öncesi ortamlarda güncellemeleri test etmede başarısız olduğunu söyledi. Pitman Haziran ayında, havayolu yolcuları tarafından CrowdStrike’a karşı açılan bir davanın, zararın havayolu hizmetlerine bağlı olması nedeniyle Havayolu Serbestleştirme Yasası uyarınca önlendiğine karar verdi (bkz: Yargıç Axes, CrowdStrike Kesintisine Bağlı Uçuş Kesintisi Davasını Açtı).
Yargıç: CrowdStrike Yöneticileri Yatırımcıları Bilerek Yanıltmadı
CrowdStrike’ın kesinti sonrası düzeltmeleri kötü yönetim veya operasyonel kusurları işaret etse de Pitman, bunların yöneticilerin açıklamaların yapıldığı sırada yatırımcıları bilerek yanlış yönlendirdiğini kesin olarak kanıtlamadığını söyledi. Pitman, daha güçlü çıkarımın, CrowdStrike yöneticilerinin benzersiz hızlı güncelleme stratejilerinin şaşırtmaca yerine geleneksel test çerçevelerinin dışında kaldığına inandıkları yönünde olduğunu düşündü.
Pitman emrinde, “Davacıların şikayeti, kurumsal kötü yönetim ve kalite kontrol başarısızlıklarına ilişkin çeşitli olayları ve kabulleri anlatıyor.” diye yazdı. “Ancak, kurumsal kötü yönetim tek başına 10b-5 iddiasına yol açmaz ve mea culpa, bilim adamlarının menkul kıymet dolandırıcılığı davalarında savunma gereksinimlerini yeterince karşılamaz.”
Davacılar, CrowdStrike’ın yatırımcılara CI/CD gibi gelişmiş yazılım geliştirme metodolojilerine bağlı kaldığı, yazılım güncellemelerinin üretim dışı ortamlarda test edildiği ve bir kalite güvence ekibi bulundurduğu konusunda güvence verdiğini söyledi. Ancak davacılar, kesintinin ardından CrowdStrike’ın hızlı güncellemeler, aşamalı dağıtımlar ve bağımsız bir QA ekibi için üretim öncesi testlerden yoksun olduğunun açıkça ortaya çıktığını söyledi (bkz: CrowdStrike Küresel BT Kesintisi Nedeniyle Toplu Davayla Karşı Karşıya).
Pitman, siparişte şöyle yazdı: “Bağlam içinde okunduğunda, hiçbir makul yatırımcı, CrowdStrike’ın 2023 ve 2024 Proxy Beyanlarının Erişilebilirlik bölümündeki tek bir cümleden yola çıkarak, CrowdStrike’ın yazılım güncellemelerini test eden bir kalite güvence ekibine sahip olduğunu varsaymazdı.”
Yargıç: CrowdStrike FedRAMP İddiaları Yanlış İfade Olabilir
Kesintinin ardından davacılar, CrowdStrike’ın kendi Olay Sonrası Ön İncelemesinin, şirketin daha önce her zaman kullandığını iddia ettiği koşullar altında test edilmiş olsaydı güncellemenin yakalanacağını kabul ettiğini söyledi. Ve Ağustos 2024’te davacılar, Başkan Michael Sentonas’ın Las Vegas’taki DEF CON’da “En Epik Başarısız” ödülünü kabul ettiğini ve şirketin “bunu yanlış anladığını” belirtti.
Pitman siparişte şöyle yazdı: “Sektör standartlarının Hızlı Yanıt İçerik güncellemeleri için uygulanamayacağı düşünülüyordu, çünkü bunlar siber güvenlik sektöründe değeri otomatik olarak uygulanmalarına dayanan yeni bir güncelleme türüydü.” “Sanıkların geriye dönüp bakarak daha az sıkı testlerin kötü bir karar olduğunu belirlemesi, menkul kıymet dolandırıcılığı için bir temel oluşturmaz.”
Davacılar, kesintiden önceki iki yıl içinde CrowdStrike yöneticilerinin Falcon platformunun üstünlüğünü, benzersiz gerçek zamanlı güncelleme yeteneklerini ve şirketin güncelleme testindeki disiplinini vurguladıklarını söyledi. Ancak Temmuz 2024’teki kesinti, Falcon’un hızlı güncellemelerinin temel güvenlik önlemlerinden bile yoksun olduğunu ortaya çıkardığında davacılar bu güvencelerin içi boş göründüğünü iddia etti.
Pitman siparişte şöyle yazdı: “Sentonas’ın ‘ajan bulut mimarimiz… sektörde pek çok kez meydana gelen başarısız güncellemeler nedeniyle mavi ekran uç noktaları oluşturmaz’ şeklindeki ifadesi (Dkt. 47-22, 7’de) tartışmasız önemsiz bir şişirmedir,” diye yazdı Pitman siparişte. “Bu ‘genelleştirilmiş, olumlu bir ifadedir’ [] “şirketin rekabet gücüyle ilgili” bir menkul kıymet dolandırıcılığı eylemini desteklemek için “yeterince spesifik değil”.
Davacılar, CrowdStrike’ın FedRAMP programının sıkı siber güvenlik uyumluluk standartlarını karşıladığını sahte bir şekilde belgelediğini ve hız uğruna bu temel uygulamaları terk ettikten sonra bile uyumluluğunu temsil etmeye devam ettiğini söyledi. Pitman, bu iddiaların makul bir şekilde maddi yanlış beyanlar olabileceğini kabul etti, ancak davacıların niyetini kanıtlayamadıkları için iddialar, değişiklik yapılmasına izin verilerek reddedildi.
Pitman, “Davacılar, Davalı Kurtz veya Sentonas’ın FedRAMP doğrulamalarını kendilerinin imzaladıklarını iddia eden spesifik gerçekleri sunmakta başarısız oldu” diye yazdı. “Ve ne olursa olsun, FedRAMP doğrulamalarını imzalamış olsalar bile davacılar, sanık Kurtz veya Sentonas’ın ‘sertifikasyonlardaki herhangi bir ifadenin yanlış veya yanıltıcı olduğunu bildiklerini veya bilmeme konusunda ciddi derecede umursamaz davrandıklarını’ makul bir şekilde iddia etmekte başarısız oldular.”