Svijet je relativno brzo saznao da tvrtka za kibernetičku sigurnost CrowdStrike stoji iza globalnog IT zastoja u petak. Ali otkrivanje činjenice tko će platiti račun za štetu moglo bi trajati puno dulje.
Ono što je jedan stručnjak za kibernetičku sigurnost rekao da se čini kao “najveći IT prekid u povijesti” dovelo je do otkazivanja više od 5000 letova komercijalnih zračnih prijevoznika diljem svijeta. Poremetio je i poslovanje od maloprodaje od dostave paketa do bolničkih zahvata. A to je koštalo.
Problem je uzrokovalo nekoliko bitova vlastitog lošeg koda CrowdStrikea u “ažuriranju sadržaja” softvera. Nažalost, popravljanje pogreške oduzima mnogo više vremena nego njezino izazivanje. I mogli bi proći dani prije nego što se svi sustavi vrate u normalu.
Iako se CrowdStrike ispričao, nije naveo namjerava li ili ne dati kompenzaciju pogođenim kupcima. A na pitanje CNN-a planiraju li platiti odštetu nisu odgovorili.
Stručnjaci kažu da očekuju da će biti zahtjeva za naknadama, a vrlo moguće i tužbi.
“Ako ste odvjetnik za CrowdStrike, vjerojatno nećete uživati u ostatku ljeta”, rekao je Dan Ives, tehnički analitičar za Wedbush Securities.
Račun od milijardu dolara
Stručnjaci se uglavnom slažu da je prerano za čvrstu informaciju što se tiče cijene globalnog pada interneta u petak. No ti bi troškovi lako mogli premašiti milijardu dolara. Rekao je to Patrick Anderson, izvršni direktor Anderson Economic Group, istraživačke tvrtke iz Michigana koja se specijalizirala za procjenu ekonomske cijene događaja poput štrajkova i drugih prekida poslovanja.
Njegova tvrtka procjenjuje da je nedavno hakiranje CDK Globala, softverske tvrtke koja opslužuje američke zastupnice automobila, dosegnulo taj trošak od milijardu dolara. Iako je taj prekid trajao puno dulje, oko tri tjedna, bio je ograničen na jednu usku industriju.
“Ovaj prekid utječe na mnogo više potrošača i tvrtki na način koji varira od neugodnosti do ozbiljnih poremećaja i rezultira troškovima iz džepa koje ne mogu lako nadoknaditi.”
Patrick Anderson
Anderson je dodao da bi troškovi mogli biti posebno značajni za zrakoplovne tvrtke, zbog izgubljenog prihoda od otkazanih letova i troškova rada i goriva za zrakoplove koji su letjeli, ali su se suočili sa značajnim kašnjenjima.
Unatoč dominaciji CrowdStrikea u polju kibernetičke sigurnosti, njegov prihod iznosi nešto manje od 4 milijarde dolara godišnje.
Ali mogla bi postojati pravna zaštita za CrowdStrike u njegovim klijentskim ugovorima koja bi ga zaštitila od odgovornosti, prema jednom stručnjaku.
“Pretpostavljam da ih ugovori štite”, rekao je James Lewis, istraživač u Centru za strateške i međunarodne studije.
Lewis je ukazao na slučaj koji je u četvrtak odlučen u korist SolarWinds, druge softverske tvrtke. Sudac je odbacio optužbe Komisije za vrijednosne papire protiv SolarWindsa povezane s ruskim hakiranjem saveznih vladinih agencija krajem 2020. Lewis je rekao da se u tom slučaju SolarWinds suočavao s optužbama samo zato što nije otkrio ranjivosti svog sustava vanjskom haku, a ne za štetu prouzročenu vlastite radnje. No ipak je dobio odbacivanje slučaja.
Hoće li klijenti ostati?
Također nije jasno koliko bi kupaca CrowdStrike mogao izgubiti zbog događaja od petka.
Ives iz Wedbush Securitiesa procjenjuje da bi manje od 5% njegovih klijenata moglo otići negdje drugdje.
“Oni su tako ukorijenjeni igrač, da bi udaljiti se od CrowdStrikea bilo kockanje”, rekao je.
Bit će teško, i ne bez dodatnih troškova, za mnoge kupce prijeći s CrowdStrikea na konkurenta. Ali pravi udarac za CrowdStrike mogla bi biti šteta za ugled koja će otežati pridobivanje novih kupaca.
“Sada CrowdStrike postaje poznato ime, ali ne na pozitivan način, i trebat će vremena da se to popravi”, rekao je Ives.
Izvršni direktor CrowdStrikea George Kurtz rekao je da je tvrtka bila usredotočena na rješavanje stalnih problema i da je do sada vjerovao da je većina kupaca imala razumijevanja.
“Trenutno mi je cilj osigurati da svakiom korisniku ponovno sve radi”, rekao je. “Mislim da mnogi korisnici shvaćaju da je ovo složeno okruženje i da bi ostali korak ispred loših momaka potrebna ova ažuriranja sadržaja.”
No čak i ako kupci imaju razumijevanja, vjerojatno će CrowdStrikeovi rivali nastojati iskoristiti događaje u petak kako bi ih pokušali namamiti.
“To je vrlo konkurentan posao. Doći će prodavači iz svih drugih kompanija, …uskočiti i reći: ‘Ovo nam se nikada nije dogodilo’. Crowdstrike je izvrsna tvrtka koja obavlja važan posao. Nadam se da će preživjeti ovo. Ako to ne učine, jedini dobitnik bit će kibernetički kriminalci.”
Eric O’Neill, stručnjak za kibernetičku sigurnost i bivši protuobavještajni operativac FBI-a
