CrowdStrike musi stawić czoła procesom sądowym ze strony klientów i inwestorów po klęsce związanej z niebieskim ekranem w systemie Windows

Wkraczając w ważny rozwój w dziedzinie bezpieczeństwa komputerowego, CrowdStrike (NASDAQ: CRWD) po katastrofalnym incydencie, który miał miejsce 19 lipca, stoi w obliczu fali procesów sądowych zarówno ze strony inwestorów, jak i klientów. W wyniku tego incydentu około 8,5 miliona urządzeń z systemem Windows na całym świecie wpadło w pętlę niebieskiego ekranu śmierci (BSOD) z powodu nieprawidłowo przetestowanej aktualizacji wydanej przez firmę zajmującą się cyberbezpieczeństwem . Globalne awarie siały spustoszenie w wielu sektorach, w tym w lotnictwie, finansach, opiece zdrowotnej i edukacji, a przywrócenie normalnej funkcjonalności większości urządzeń zajęło około tygodnia .

Skutki finansowe tej klęski są zdumiewające. Ubezpieczyciel Parametrix szacuje bezpośrednie straty finansowe samych amerykańskich firm z listy Fortune 500 – z wyłączeniem Microsoft – na 5,4 miliarda dolarów, a łączna strata gwałtownie rośnie do szacunkowo 15 miliardów dolarów. Niepokojące jest to, że oczekuje się, że jedynie 10–20% tych strat zostanie objętych ubezpieczeniem. Sektor lotniczy szczególnie ucierpiał, a linie lotnicze poniosły średnie straty w wysokości 143 mln dolarów. Linie lotnicze Delta Airlines okazały się jedną z najbardziej dotkniętych stratą, która przez wiele dni walczyła o odzyskanie sił i szacowała swoje straty na 350–500 mln dolarów. Linia lotnicza ma obecnie do czynienia z ponad 176 000 wniosków o zwrot kosztów lub zwrot kosztów w związku z tysiącami odwołanych lotów. Aby dochodzić odszkodowania, Delta skorzystała z usług znanego prawnika Davida Boiesa, znanego ze swojej pracy w prominentnych sprawach z udziałem Microsoft, Harveya Weinsteina i Elizabeth Holmes.

Konsekwencje CrowdStrike wykraczają poza procesy sądowe klientów. Firma zajmująca się cyberbezpieczeństwem stoi także w obliczu pozwu zbiorowego złożonego przez inwestorów. Labaton Keller Sucharow, kancelaria prawna reprezentująca stowarzyszenie emerytów hrabstwa Plymouth, złożyła pozew zbiorowy dotyczący papierów wartościowych, zarzucając CrowdStrike składanie „istotnie fałszywych i wprowadzających w błąd oświadczeń oraz pominięć” w odniesieniu do aktualizacji swoich produktów. Oświadczenia te rzekomo wprowadziły inwestorów w błąd co do potencjalnego ryzyka i konsekwencji takich aktualizacji, co spowodowało, że akcje CrowdStrike były notowane po zawyżonych cenach. Kilka innych kancelarii prawnych bada potencjalne pozwy zbiorowe w imieniu właścicieli firm dotkniętych incydentem.

Pomimo powagi tych wyzwań prawnych, CrowdStrike może zostać chroniony przed najcięższymi konsekwencjami finansowymi. Licencje na oprogramowanie ograniczające odpowiedzialność programisty, w połączeniu z polisami ubezpieczeniowymi posiadanymi zarówno przez CrowdStrike, jak i jego klientów, mogłyby zapewnić znaczną ochronę. Perspektywę tę podkreślono w niedawnej opinii MarketWatch, w której zasugerowano, że chociaż szkoda dla reputacji jest niezaprzeczalna, skutki finansowe dla CrowdStrike można w znacznym stopniu złagodzić.

Ten incydent podkreśla kluczowe znaczenie rygorystycznych testów i zapewniania jakości aktualizacji oprogramowania, szczególnie w przypadku firm zajmujących się cyberbezpieczeństwem, których produkty są integralną częścią działalności największych organizacji na całym świecie. W miarę rozwoju batalii prawnych branża będzie uważnie obserwować konsekwencje dla odpowiedzialności za oprogramowanie i solidność zabezpieczeń przed zakłóceniami na tak dużą skalę.