Trách nhiệm bồi thường thiệt hại của CrowdStrike tại Pháp theo tiền lệ OVH

 (thehftguy.com)
1 điểm bởi GN⁺ 2024-07-26 | 1 bình luận | Chia sẻ qua WhatsApp

Khả năng CrowdStrike phải chịu trách nhiệm bồi thường thiệt hại tại Pháp

  • Sự cố CrowdStrike gần đây được ước tính đã làm vô hiệu hóa 8,5 triệu máy tính và gây thiệt hại hơn 5,4 tỷ USD
  • Khả năng CrowdStrike phải chịu trách nhiệm bồi thường thiệt hại là rất cao
  • Tại Pháp từng có một vụ việc tương tự là vụ OVH

Về OVH

  • OVH là nhà cung cấp trung tâm dữ liệu và đám mây lớn nhất châu Âu, cung cấp máy chủ vật lý, máy ảo và nhiều dịch vụ đám mây khác nhau
  • Vào ngày 10 tháng 3 năm 2021, một vụ hỏa hoạn xảy ra tại địa điểm SGB, khiến hai trung tâm dữ liệu bị thiêu rụi hoàn toàn và hai trung tâm dữ liệu khác tạm thời không thể vận hành
  • Nhiều khách hàng đã yêu cầu bồi thường thiệt hại và thắng kiện
  • Các điểm chính được tòa án xem xét:
    • Dịch vụ bị gián đoạn hoàn toàn trong và sau sự cố
    • Dữ liệu bị mất hoàn toàn và không thể khôi phục
    • OVH có cung cấp dịch vụ sao lưu, nhưng bản sao lưu cũng bị mất và không thể khôi phục
    • Nhiều trung tâm dữ liệu nằm gần nhau, nhưng đều ở cùng một địa điểm, điều này bị tòa án đánh giá là không hợp lý
    • Việc lưu bản sao lưu trong cùng trung tâm dữ liệu hoặc trong trung tâm dữ liệu khác nhưng vẫn ở cùng địa điểm bị đánh giá là không hợp lý
    • Tòa án công nhận rằng việc khách hàng có bản sao lưu ở nhiều địa điểm là một thông lệ tốt
    • Tòa án cho rằng OVH, với tư cách là nhà cung cấp dịch vụ sao lưu, phải tuân thủ các tiêu chuẩn hợp lý
    • Tòa phán quyết rằng dịch vụ sao lưu của OVH không đáp ứng tiêu chuẩn hợp lý và không hoàn thành được mục đích của nó

Về CrowdStrike

  • CrowdStrike là phần mềm chống virus được cài đặt trên máy tính, chủ yếu được triển khai trên thiết bị của các doanh nghiệp lớn
  • Vào ngày 19 tháng 7 năm 2024, CrowdStrike phát hành một bản cập nhật phần mềm, nhưng bản cập nhật này gây lỗi và làm vô hiệu hóa hàng triệu máy tính
  • Các điểm tranh luận chính:
    • CrowdStrike chạy ở chế độ đặc quyền cao khi máy tính khởi động
    • Được triển khai trên hàng triệu thiết bị quan trọng
    • Bản cập nhật được phát hành đồng thời tới hàng triệu thiết bị
    • Việc nâng cấp phần mềm theo từng giai đoạn là một thông lệ tốt
    • CrowdStrike đã không thực hiện kiểm thử và triển khai theo từng giai đoạn
    • Khách hàng trước đó cũng đã nêu ra vấn đề này nhưng CrowdStrike đã từ chối
    • Trong gần hai giờ sau khi bản cập nhật được phát hành, vấn đề không được nhận biết
    • Tất cả máy tính đều bị vô hiệu hóa nên người dùng không thể tự khắc phục sự cố
    • Đội ngũ IT phải tiếp cận trực tiếp để cài đặt lại máy tính hoặc xóa tệp driver
    • Việc khôi phục từ hàng nghìn đến hàng trăm nghìn thiết bị sẽ mất nhiều tuần
    • Một số thiết bị quan trọng có thể không thể khôi phục
    • CrowdStrike đã phá hỏng chính các máy tính mà họ lẽ ra phải bảo vệ
    • Gây ra thiệt hại nghiêm trọng cho khách hàng

Tóm tắt của GN⁺

  • Tương tự vụ OVH, sự cố CrowdStrike có khả năng cao dẫn đến trách nhiệm bồi thường thiệt hại
  • Lỗi cập nhật của CrowdStrike đã làm vô hiệu hóa hàng triệu máy tính, gây thiệt hại lớn cho các doanh nghiệp
  • Vụ việc này nhấn mạnh tầm quan trọng của quy trình phát hành và kiểm thử phần mềm, đặc biệt là với phần mềm được triển khai trên các thiết bị quan trọng, nơi cần có khâu thẩm định nghiêm ngặt hơn
  • Các phần mềm bảo mật khác có chức năng tương tự gồm Symantec, McAfee, v.v.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-07-26
Ý kiến trên Hacker News

  • Là người làm việc tại một CSP ở Pháp, tôi đã trực tiếp trải qua vụ OVH theo thời gian thực

    • OVH phải chịu trách nhiệm vì mất dữ liệu
    • Mất dữ liệu là vấn đề vĩnh viễn và không thể khôi phục
    • Một số doanh nghiệp đã không thể tiếp tục vận hành vì mất dữ liệu
    • Gián đoạn dịch vụ là vấn đề có thể được xử lý bằng thỏa thuận SLA
    • Có vẻ CrowdStrike sẽ không phải chịu trách nhiệm lớn
    • Lĩnh vực y tế sẽ cần nhiều quy định hơn

  • Tiêu đề này dễ gây hiểu lầm

    • Đây là việc diễn đạt ý kiến cá nhân như thể là sự thật
    • Cách nói như "Tôi nghĩ CrowdStrike nên chịu trách nhiệm" sẽ phù hợp hơn

  • Các điều khoản miễn trừ trách nhiệm thông thường không có nhiều ý nghĩa ở các khu vực tài phán ngoài Mỹ

  • So sánh vụ OVH với vụ CrowdStrike là không phù hợp

    • OVH là trường hợp toàn bộ hệ thống sao lưu bị thất bại
    • CrowdStrike đã làm sập kernel của khách hàng trong khoảng 1 giờ
    • Lỗi phần mềm được xem là điều khó tránh khỏi trong hầu hết các ngành
    • Phần mềm của CrowdStrike trở thành tin tức vì đã được cài vào nhiều đường đi quan trọng
    • Phần mềm của CrowdStrike được phát triển một cách cẩu thả
    • Khả năng phải chịu trách nhiệm trong khuôn khổ pháp lý là thấp
    • Khách hàng có thể sẽ bỏ phiếu bằng ví tiền của mình

  • Có lẽ nhiều bên yêu cầu bồi thường đã đang cố gắng nhận đền bù thông qua luật sư

    • Tôi tò mò việc này được tổ chức ra sao ở nhiều khu vực tài phán khác nhau

  • Tôi thắc mắc vì sao các tính năng bảo vệ mà Falcon cung cấp lại không được chính hệ điều hành cung cấp

    • Trên Windows không có vai trò bảo mật rõ ràng
    • Điều này được đem so với Red Hat hoặc Canonical

  • Hợp đồng B2B được xem là giữa hai bên đều có chuyên môn

    • Có lẽ sẽ gần như không có bảo vệ pháp lý nào vượt quá các điều khoản hợp đồng
    • Nhận định này dựa trên hiểu biết về luật pháp Vương quốc Anh

  • Hầu hết các quốc gia EU đều có luật giới hạn trách nhiệm

    • Bệnh viện, dịch vụ khẩn cấp, v.v. có thể kiện đòi bồi thường thiệt hại trực tiếp
    • Cá nhân cũng có thể kiện vì thiệt hại
    • Chi phí cơ hội hoặc chi phí nhân sự sẽ khó kiện đòi hơn
    • Mức độ bất cẩn sẽ là một yếu tố quan trọng

  • Vào ngày 19 tháng 7 năm 2019, CrowdStrike đã đẩy một bản cập nhật phần mềm

    • Có vẻ năm đúng phải là 2024 chứ không phải 2019

  • Vài tuần trước đã có một sự cố trong đó agent của CrowdStrike làm hỏng các hệ thống Linux

    • Tôi tự hỏi liệu việc đó có liên quan đến vụ này không