19 Temmuz’da yaşanan ve Mavi Ekran Ölümüne (BSOD) yol açan CrowdStrike kesintisinden etkilenen müşterilerin çoğunluğu yalnızca geri ödeme almaya hak kazanabilir. Business Insider’ın bir raporuna göre, CrowdStrike’ın beceriksiz güvenlik güncellemesinden kaynaklanan yıkıcı teknik kesintilere rağmen, şirketin basit bir geri ödemeden daha fazlasını ödemesi gerekmiyor.
Güncelleme, uçuş iptalleri, 112 çağrılarında sorunlar ve tıbbi kayıtlara erişimin kısıtlanması gibi yaygın kesintilere neden oldu.
CrowdStrike’ın Şartlar ve Koşullarında Sınırlı Sorumluluk
CrowdStrike’ın hüküm ve koşulları, şirketin sorumluluğunu yazılım için ödenen tutarla sınırlar. Bu, kesintiden etkilenen işletmelerin, önceden farklı bir sözleşme müzakere etmedikleri sürece kayıp gelir veya zararlar için tazminat talep edemeyecekleri anlamına gelir.
Woods Rogers’daki Siber Güvenlik ve Veri Gizliliği uygulamasının başkanı Elizabeth Burgin Waller şunları söyledi: İş dünyası içeriden CrowdStrike’ın Falcon güvenlik yazılımına ilişkin standart hüküm ve koşulların sorumluluğu “ödenen ücretler” ile sınırladığını.
Bu, şirketlerin kesinti nedeniyle önemli iş kayıpları yaşasalar bile, yalnızca CrowdStrike abonelik maliyetlerini karşılayabilmeleri anlamına geliyor.
Waller, Business Insider’a yaptığı açıklamada, “Kaybedilen geliri veya kesintiyi karşılasalar bile, CrowdStrike’a karşı kurtarmayı ödenen ücretlerle sınırlıyorlar” dedi.
Büyük Şirketlerin Farklı Anlaşmaları Olabilir
Waller, kesintiden etkilenen havayolları veya hastane zincirleri gibi daha büyük şirketlerin CrowdStrike ile daha fazla koruma sunan ayrı sözleşmeler müzakere etmiş olabileceğini öne sürüyor. Bu sözleşmeler kamuya açık değil, ancak CrowdStrike’ı daha geniş bir hasar yelpazesinden sorumlu tutabilirler.
“Eğer büyük bir şirket iseniz, bu konuda bazı pazarlıklar yapabilirsiniz” dedi.
CrowdStrike, bu durumda şart ve koşullarını nasıl uygulayacağına ilişkin sorulara henüz yanıt vermedi.
Siber Sigorta Rahatlama Sağlayabilir
Waller’a göre, çoğu şirket CrowdStrike kesintisiyle ilişkili maliyetleri karşılamak için siber sigortaya yönelecektir. Bu masraflar arasında düzeltmeyi kurmak için BT personeli işe almak, kaybedilen çalışan üretkenliği, müşteri sorunlarının ele alınması ve halka açık şirketler için olası yasal ücretler yer almaktadır.
Birçok siber sigorta poliçesi, işletmelerin güvendikleri üçüncü taraf siber güvenlik şirketlerinden, potansiyel olarak CrowdStrike’ın Falcon yazılımı da dahil olmak üzere, zararlarını tazmin etmelerine olanak tanıyan “olası iş kesintisi” veya “bağımlı iş kesintisi”ni kapsar.
Waller, “Önümde büyük bir dur işareti varsa – CrowdStrike’a karşı şartlar ve koşullar – veya yalnızca geri ödeme alabileceksem, o zaman kendi siber sigorta poliçeme bakmam gerekiyor” dedi.
Ancak Waller, bazı siber sigorta poliçelerinin yalnızca bilgisayar korsanlığı gibi kötü niyetli olayları kapsayabileceğini belirtiyor.
“Sadece bir yazılım arızası var. Bu nedenle, önümüzdeki yıllarda siber sigorta şirketlerine karşı bu kesinti nedeniyle davalar açılacağını düşünüyorum,” dedi Waller. “Bu, siber sigorta açısından oldukça büyük bir olay ve bunun, bu farklı poliçeler kapsamında neyin kapsandığı ve neyin amaçlandığı konusunda çok sayıda davaya yol açacağını düşünüyorum.”
CrowdStrike için Potansiyel Davalar ve SEC İncelemesi
Waller, CrowdStrike’ın hissedarlardan, daha yüksek tazminat talep eden müşterilerden ve muhtemelen Menkul Kıymetler ve Borsa Komisyonu’ndan (SEC) bir soruşturmadan hukuki zorluklarla karşılaşabileceğini öngörüyor.
Halka açık bir şirket olan CrowdStrike, önümüzdeki birkaç gün içinde SEC’ye Falcon güncelleme arızasının nedenini ayrıntılı olarak açıklayan bir 8-K raporu sunmakla yükümlüdür.
İlginçtir ki, bu olay Manhattan’daki bir federal yargıcın 2020’de Rusya’nın siber casusluk kampanyasında tehlikeye atılan bir teknoloji güvenlik şirketi olan SolarWinds’in SEC davasına karşı lehine karar vermesinden hemen sonra gerçekleşti. SEC, SolarWinds’in yatırımcıları ve halkı saldırının etkisinin tam boyutu hakkında yeterince bilgilendirmediğini savundu. Ancak, Yargıç Paul Engelmayer buna katılmayarak şirketin SEC tarafından talep edilen “maksimum ayrıntıyı” sağlamak zorunda olmadığını belirtti.
Bu karar, 73 milyar dolarlık bir şirket olan CrowdStrike için biraz esneklik sağlıyor. Yatırımcıları ve kamuoyunu güncelleme sorumluluğuna sahip olsalar da, her karmaşık ayrıntıyı ifşa etmeleri gerekmeyebilir.
Waller, “Olanların ciddiyetini aktarmanız gerekiyor, ancak ince ayrıntılarla veya bilmediğimiz şeylerle gerçekten ilgilenmemize gerek yok” dedi.
Avustralyalı Bakan Dolandırıcılıklara Karşı Uyarıyor
Bu arada Avustralya Siber Güvenlik Bakanı Clare O’Neil, Avustralyalılara CrowdStrike kesintisiyle ilgili yardım iddiasında bulunan şüpheli mesajlar, çağrılar veya e-postalara karşı son derece dikkatli olmaları çağrısında bulundu.
O’Neil, yaşlı akrabalar da dahil olmak üzere savunmasız bireylerin olası dolandırıcılıklardan korunmasının önemini vurguladı. Şüpheli iletişimlerin Scamwatch aracılığıyla bildirilmesini teşvik etti.
Bakan, suçluların havayolu şirketlerini taklit ederek uçuş gecikmelerini çözmeyi teklif ettiği ve teknik destek personelinin etkilenen teknolojiyi düzeltmeyi önerdiği dolandırıcılık bildirimlerini kabul etti.
O’Neil, süpermarketlerin asgari düzeyde sorun yaşadığını ve gıda sıkıntısı olmadığını kamuoyuna temin etti. Çeşitli sektörlerde sistemleri yeniden kuran çalışanlara karşı sabırlı olmanın önemini vurguladı.
Son olarak O’Neil, hem CrowdStrike’ın hem de Microsoft’un, ekonomi genelindeki sistemlerin tekrar çevrimiçi olma hızını artıracak bir güncellemeyle soruna otomatik çözüm bulma çalışmalarını tamamlamak üzere olduklarını söyledi.