OVH emsaline göre Fransa'da CrowdStrike'ın tazminat sorumluluğu

 (thehftguy.com)
1 puan yazan GN⁺ 2024-07-26 | 1 yorum | WhatsApp'ta paylaş

CrowdStrike'ın Fransa'da tazminat sorumluluğu taşıma ihtimali

  • Son CrowdStrike olayı nedeniyle 8,5 milyon bilgisayarın devre dışı kaldığı ve 5,4 milyar dolardan fazla zararın oluştuğunun tahmin edildiği belirtiliyor
  • CrowdStrike'ın tazminat sorumluluğu taşıma ihtimali yüksek
  • Fransa'da OVH olayıyla benzer bir emsal bulunuyor

OVH hakkında

  • OVH, Avrupa'nın en büyük veri merkezi ve bulut sağlayıcılarından biri olup fiziksel sunucular, sanal makineler ve çeşitli bulut hizmetleri sunuyor
  • 10 Mart 2021'de SGB lokasyonunda çıkan yangın nedeniyle iki veri merkezi tamamen yandı ve iki veri merkezi geçici olarak çalışamaz hale geldi
  • Çok sayıda müşteri tazminat talebinde bulundu ve davaları kazandı
  • Mahkemede tartışılan başlıca noktalar:
    • Olay sırasında ve sonrasında hizmet tamamen kesildi
    • Veriler tamamen ve geri döndürülemez şekilde kaybedildi
    • OVH yedekleme hizmeti sunuyordu, ancak yedekler de geri getirilemeyecek şekilde kayboldu
    • Birden fazla veri merkezi birbirine yakın konumdaydı, ancak hepsi aynı yerde bulunduğundan bu durum mahkeme tarafından makul bulunmadı
    • Yedeklerin aynı veri merkezinde veya aynı lokasyondaki başka bir veri merkezinde tutulması makul bulunmadı
    • Mahkeme, müşterilerin birden fazla lokasyonda yedek bulundurmasının iyi bir uygulama olduğunu kabul etti
    • Mahkeme, OVH'nin yedekleme sağlayıcısı olarak makul standartlara uyması gerektiğine hükmetti
    • OVH'nin yedekleme hizmetinin makul standartları karşılamadığına ve amacını yerine getirmediğine karar verildi

CrowdStrike hakkında

  • CrowdStrike, bilgisayarlara kurulan bir antivirüs yazılımı olup çoğunlukla büyük işletmelerin cihazlarında kullanılıyor
  • 19 Temmuz 2024'te CrowdStrike bir yazılım güncellemesi dağıttı, ancak bu güncelleme hata yaratarak milyonlarca bilgisayarı devre dışı bıraktı
  • Başlıca tartışma noktaları:
    • CrowdStrike, bilgisayar açılışında yüksek yetki modunda çalışıyor
    • Milyonlarca kritik cihaza dağıtılıyor
    • Güncelleme milyonlarca cihaza aynı anda dağıtıldı
    • Yazılım yükseltmelerinin kademeli olarak yapılması iyi bir uygulama olarak kabul edilir
    • CrowdStrike test ve kademeli dağıtım yapmadı
    • Müşteriler bu sorunu daha önce de gündeme getirmişti, ancak CrowdStrike bunu reddetti
    • Güncelleme dağıtıldıktan sonra yaklaşık iki saat boyunca sorun fark edilmedi
    • Tüm bilgisayarlar devre dışı kaldığı için kullanıcılar sorunu kendi başlarına çözemedi
    • BT ekiplerinin fiziksel erişim sağlayarak bilgisayarları yeniden kurması veya sürücü dosyasını silmesi gerekti
    • Binlerce ila yüz binlerce cihazın kurtarılması haftalar sürecek
    • Kritik cihazların bazıları kurtarılamayabilir
    • CrowdStrike, koruması gereken bilgisayarları kullanılmaz hale getirdi
    • Müşterilere ciddi zarar verdi

GN⁺ özeti

  • CrowdStrike olayı, OVH olayına benzer şekilde tazminat sorumluluğu doğurma ihtimali yüksek görünüyor
  • CrowdStrike'ın güncelleme hatası nedeniyle milyonlarca bilgisayar devre dışı kaldı ve şirketler büyük zarar gördü
  • Bu olay, yazılım dağıtımı ve testinin önemini vurguluyor; özellikle kritik cihazlara dağıtılan yazılımlar için çok daha sıkı doğrulama gerekiyor
  • Benzer işlevlere sahip diğer güvenlik yazılımları arasında Symantec ve McAfee bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-26
Hacker News görüşü

  • Fransa'da bir CSP'de çalışan biri olarak OVH olayını gerçek zamanlı yaşadım

    • OVH, veri kaybı nedeniyle sorumlu tutuldu
    • Veri kaybı kalıcı ve geri döndürülemez bir sorundur
    • Bazı şirketler veri kaybı nedeniyle faaliyet gösteremez hale geldi
    • Hizmet kesintisi, SLA sözleşmesiyle çözülebilecek bir sorundur
    • CrowdStrike büyük olasılıkla fazla sorumluluk üstlenmeyecek
    • Sağlık sektöründe daha fazla düzenleme gerekecek

  • Bu başlık yanıltıcı

    • Bir kişinin görüşünü olgu gibi ifade ediyor
    • "CrowdStrike'ın sorumlu tutulması gerektiğini düşünüyorum" gibi bir ifade daha uygun olur

  • Genel sorumluluk reddi maddeleri, ABD dışındaki yargı alanlarında anlamlı değil

  • OVH ile CrowdStrike olaylarını karşılaştırmak uygun değil

    • OVH'de tüm yedekleme sistemi başarısız oldu
    • CrowdStrike müşterilerin kernel'ini yaklaşık 1 saatliğine çökertti
    • Yazılım hataları çoğu sektörde kaçınılmaz kabul edilir
    • CrowdStrike'ın yazılımı birçok kritik yola yerleştirildiği için haber oldu
    • CrowdStrike'ın yazılımı özensiz geliştirilmişti
    • Mevcut hukuki çerçeve içinde sorumlu tutulma olasılığı düşük
    • Müşteriler büyük olasılıkla cüzdanlarıyla oy verecek

  • Birçok talep sahibinin zaten avukatlar aracılığıyla tazminat almaya çalışıyor olması muhtemel

    • Bunun farklı yargı alanlarında nasıl organize edildiğini merak ediyorum

  • Falcon'un sağladığı korumanın neden işletim sisteminin kendisi tarafından sunulmadığını merak ediyorum

    • Windows'ta net bir güvenlik rolü yok
    • Red Hat veya Canonical ile karşılaştırılıyor

  • B2B sözleşmelerde her iki tarafın da yetkin olduğu varsayılır

    • Sözleşme koşullarının ötesinde neredeyse hiç yasal koruma olmayacaktır
    • Bu değerlendirme, Birleşik Krallık hukukuna dair anlayışıma dayanıyor

  • AB ülkelerinin çoğunda sorumluluğu sınırlayan yasalar var

    • Hastaneler, acil servisler vb. doğrudan zararlar için dava açabilir
    • Bireyler de zararlar için dava açabilir
    • Fırsat maliyeti veya iş gücü maliyeti için dava açmak zor olacaktır
    • İhmalin derecesi önemli bir unsur olacaktır

  • 19 Temmuz 2019'da CrowdStrike bir yazılım güncellemesi gönderdi

    • Yılın 2024 olması gerekirken yanlış yazılmış gibi görünüyor

  • Birkaç hafta önce CrowdStrike ajanının Linux sistemlerini bozduğu bir olay olmuştu

    • Bunun bu olayla ilgili olup olmadığını merak ediyorum