- Sự cố cập nhật CrowdStrike ngày 19/7/2024 được ước tính đã vô hiệu hóa 8,5 triệu máy tính và gây thiệt hại hơn 5,4 tỷ USD, và có thể dẫn đến lập luận trách nhiệm bồi thường tương tự vụ OVH tại Pháp
- Trong vụ OVH, tòa án cho rằng nhà cung cấp sao lưu phải tuân thủ mức độ hợp lý và các thông lệ tốt nhất; các bản sao lưu đặt cùng địa điểm hoặc tại trung tâm dữ liệu gần đó không được công nhận là vận hành hợp lý
- Vì CrowdStrike là phần mềm bảo mật chạy trước ở cấp kernel, khi được triển khai trên thiết bị của doanh nghiệp và ngành trọng yếu như ngân hàng, du lịch, siêu thị, gánh nặng kiểm thử và triển khai theo từng giai đoạn càng lớn
- Bản cập nhật có vấn đề đã được triển khai đồng thời tới hàng triệu thiết bị trên toàn thế giới và gây BSOD; việc khôi phục đòi hỏi truy cập vật lý, quyền quản trị, vào Safe Mode hoặc chế độ khôi phục, rồi xóa driver
- Khách hàng trong các ngành chịu quản lý bắt buộc phải kiểm thử thay đổi, triển khai theo từng giai đoạn và theo dõi; nếu CrowdStrike không làm hoặc từ chối làm điều này, có thể dẫn đến vi phạm tuân thủ của khách hàng và là căn cứ chấm dứt hợp đồng
Sự cố CrowdStrike và cấu trúc trách nhiệm bồi thường thiệt hại
- Vụ CrowdStrike là một trường hợp trong đó một bản cập nhật dẫn đến sự cố máy tính quy mô lớn
- Quy mô sự cố được ước tính là 8,5 triệu máy tính bị vô hiệu hóa
- Thiệt hại được ước tính là hơn 5,4 tỷ USD
- Khả năng bồi thường thiệt hại được so sánh với án lệ vụ OVH tại Pháp
- Các điều khoản miễn trừ trách nhiệm trong hợp đồng thông thường có hiệu lực hạn chế ở nhiều khu vực tài phán ngoài Mỹ; trách nhiệm liên quan đến sơ suất nghiêm trọng, hành vi phạm tội hoặc vi phạm pháp luật thường khó được miễn trừ
- Điểm cốt lõi là khả năng bồi thường thiệt hại phát sinh khi thiệt hại đã xảy ra kết hợp với cố ý hoặc sơ suất
Những thất bại vận hành lộ ra trong vụ OVH
- OVH là nhà cung cấp trung tâm dữ liệu và đám mây của Pháp, cung cấp máy chủ vật lý, máy ảo và nhiều dịch vụ đám mây
- Ngày 10/3/2021, một vụ cháy xảy ra tại địa điểm SGB của OVH
- Các trung tâm dữ liệu SGB1 và SGB2 bị thiêu hủy
- SGB3 và SGB4 cũng rơi vào tình trạng không thể vận hành trong một thời gian
- Nhiều trang web của khách hàng bị phá hủy, dịch vụ và dữ liệu bị mất không thể khôi phục; một số khách hàng đã kiện OVH và thắng kiện
- Điểm tòa án coi trọng là mất dịch vụ và mất bản sao lưu xảy ra đồng thời
- Đã có tình trạng mất dịch vụ hoàn toàn trong và sau sự cố
- Sau sự cố vẫn còn mất dữ liệu không thể khôi phục
- OVH cung cấp dịch vụ sao lưu cho khách hàng, nhưng các bản sao lưu cũng bị mất hoàn toàn không thể khôi phục
- Dù có nhiều trung tâm dữ liệu, trên thực tế chúng nằm cùng một địa điểm gần nhau, và tòa án không xem đây là cấu hình có thể dự liệu hoặc hợp lý
- Việc bản sao lưu được lưu trong cùng trung tâm dữ liệu hoặc ở một trung tâm dữ liệu khác có thể nằm cùng địa điểm cũng bị phán quyết là không hợp lý
- OVH lập luận rằng khách hàng lẽ ra phải tuân theo thông lệ tốt nhất là đặt nhiều bản sao lưu ở các địa điểm khác nhau, nhưng tòa án cho rằng OVH, với tư cách nhà cung cấp sao lưu, phải cung cấp sao lưu theo tiêu chuẩn hợp lý
- Kết quả là dịch vụ sao lưu của OVH không đạt được mục đích, và bị đánh giá là một dịch vụ không được vận hành ở mức hợp lý
Đặc tính kỹ thuật của sự cố CrowdStrike
- CrowdStrike là phần mềm antivirus hoặc EDR (Endpoint Detection and Response) được cài trên thiết bị doanh nghiệp
- Phần mềm này hoạt động khi máy tính khởi động và được tích hợp sâu ở cấp kernel vào hệ điều hành Windows hoặc Linux
- Nó chạy sớm nhất có thể, trước các thành phần khác
- Nó có thể giám sát những gì được thực thi và chặn hoặc báo cáo các mục đáng ngờ
- Ngày 19/7/2024, CrowdStrike triển khai một bản cập nhật phần mềm, và bản cập nhật đó làm các máy tính nhận được bị crash
- Hàng triệu máy tính trên toàn thế giới nhận bản cập nhật cùng lúc và rơi vào trạng thái hoạt động bất thường
- Do cấu trúc chạy trước với đặc quyền cao, lỗi hoặc phán đoán sai của CrowdStrike có thể ngăn cả phần mềm khác hoặc chính hệ thống chạy được
Vấn đề triển khai, kiểm thử và giám sát
- CrowdStrike được triển khai rộng rãi trên thiết bị của các doanh nghiệp lớn như ngân hàng, công ty du lịch, siêu thị, và chủ yếu nhắm tới các ngành trọng yếu cùng thiết bị quan trọng xử lý thông tin mật
- Vì là ứng dụng lõi hoạt động trong môi trường nhạy cảm, việc phát triển và kiểm thử cần được chú ý thêm
- Vào ngày xảy ra sự cố, bản cập nhật được triển khai cùng lúc tới hàng triệu thiết bị trọng yếu, trong khi thông lệ tốt là triển khai phần mềm nâng cấp theo từng giai đoạn
- Trọng tâm tranh luận là bằng cách nào bản cập nhật lỗi lan tới hàng triệu thiết bị chỉ trong vài phút, và liệu có kiểm thử hay triển khai theo từng giai đoạn hay không
- Trong các thảo luận trực tuyến, có báo cáo rằng các khách hàng bệnh viện từng gặp vấn đề này trước đó và đã yêu cầu CrowdStrike trao quyền kiểm soát cập nhật
- Một khách hàng tuyên bố CrowdStrike đã gửi bản ghi nhớ dài 50 trang từ chối triển khai theo từng giai đoạn
- Nếu CrowdStrike không có chức năng triển khai theo từng giai đoạn hoặc từ chối chức năng này, điều đó có thể xung đột với yêu cầu của các ngành chịu quản lý mà họ bán sản phẩm vào
- Bản cập nhật có vấn đề gây BSOD trên các máy tính nhận được, và việc một bản cập nhật rõ ràng bị hỏng không được phát hiện trước khi triển khai ra bên ngoài được dùng làm căn cứ cho thấy thiếu kiểm thử
- Có báo cáo rằng vấn đề tương tự cũng đã xảy ra vài tuần trước với agent CrowdStrike cho Linux, dẫn đến lập luận rằng không thể chỉ xem đây là một sự cố đơn lẻ
- Sau khi bản cập nhật sai được triển khai, CrowdStrike mất gần 2 giờ để nhận ra vấn đề và dừng cập nhật
- Nhà phát triển phần mềm trọng yếu phải giám sát sau triển khai xem phần mềm có hoạt động như dự kiến hay không và có gây vấn đề hay không
Độ khó khôi phục và thiệt hại của khách hàng
- Các máy tính bị ảnh hưởng rơi vào tình trạng không thể boot, và người dùng không thể truy cập máy tính để tạo ticket hoặc chẩn đoán vấn đề
- Tại các doanh nghiệp bị ảnh hưởng, nhân viên nhận các máy tính không hoạt động nên không thể làm việc
- Một cách khôi phục là đội IT nhận máy tính rồi cài đặt lại hoàn toàn hoặc reimage
- Cách khác được phát hiện sau đó là quản trị viên truy cập vật lý vào máy tính, boot vào Safe Mode hoặc chế độ khôi phục, rồi xóa file driver của CrowdStrike
- Việc khôi phục này cần cả truy cập vật lý lẫn quyền quản trị
- Có thể cần mật khẩu đặc biệt để khởi động laptop vào chế độ khôi phục hoặc USB key chứa mật khẩu
- Việc doanh nghiệp bị ảnh hưởng thu thập vật lý toàn bộ laptop, desktop và server của người dùng có thể mất vài tuần
- Số thiết bị mục tiêu có thể từ hàng nghìn đến hàng trăm nghìn
- Các thiết bị bị niêm kín hoặc khó tiếp cận như màn hình ở sân bay, thiết bị và máy móc y tế trong bệnh viện, bảng điều khiển thang máy có thể mất nhiều thời gian hơn
- Những thiết bị bị chặn về mặt vật lý hoặc không biết mật khẩu khôi phục có thể không thể khôi phục được
- Vì các máy tính dự phòng cũng bị ảnh hưởng bởi cùng vấn đề, rất khó cung cấp thiết bị thay thế cho người dùng bị ảnh hưởng
- CrowdStrike là phần mềm bảo mật nhằm duy trì máy tính ở trạng thái hoạt động và bảo vệ khỏi mối đe dọa, nhưng đã vô hiệu hóa chính các máy tính cần bảo vệ, nên không đạt được mục đích
Ngành chịu quản lý và khả năng chấm dứt hợp đồng
- Khách hàng trong các ngành chịu quản lý như y tế, tài chính, hàng không vũ trụ, vận tải phải kiểm thử thay đổi, triển khai theo từng giai đoạn và theo dõi
- CrowdStrike cho biết họ có nhiều chứng nhận và tiêu chuẩn, nhưng các tiêu chuẩn này yêu cầu những thực hành phát triển cụ thể và thực hiện nhiều cấp độ kiểm thử
- Nếu CrowdStrike không thực hiện các quy trình đó và còn chủ động từ chối, điều đó có thể dẫn đến vi phạm tuân thủ của chính CrowdStrike
- Việc sử dụng CrowdStrike cũng có thể khiến khách hàng rơi vào tình trạng vi phạm tuân thủ, và với khách hàng muốn rời đi, đây có thể là căn cứ đủ để đơn phương chấm dứt hợp đồng với CrowdStrike
Các trường hợp so sánh và căn cứ bổ sung
-
Cách kiểm thử và triển khai của BitLocker
- Thảo luận của nhân viên liên quan đến BitLocker về cách kiểm thử và triển khai được dùng làm căn cứ bổ sung
- BitLocker là công cụ mã hóa an toàn ổ đĩa máy tính
- Khi máy tính bị mất hoặc bị đánh cắp, nó ngăn người khác đọc dữ liệu
- Nó chạy trước khi khởi động, và nếu không có nó thì không thể tải dữ liệu từ ổ đĩa
- Lỗi của BitLocker có thể khiến máy tính không thể hoạt động và khiến toàn bộ dữ liệu không thể đọc được, tương tự mất dữ liệu không thể khôi phục trong vụ OVH
- BitLocker trải qua nhiều giai đoạn kiểm thử nối tiếp nhau: máy tính của bản thân, đội của bản thân, rồi các đội khác
-
Tuyên bố về trải nghiệm sự cố CrowdStrike trước đây
- Trải nghiệm sự cố CrowdStrike trước đây của một nhân viên công ty ẩn danh cũng được dùng làm căn cứ bổ sung
- Công ty đó tuyên bố đã bị ảnh hưởng bởi một vấn đề CrowdStrike trước đây
- Công ty đã chính thức yêu cầu CrowdStrike cho phép triển khai theo từng giai đoạn, nhưng tuyên bố CrowdStrike đã gửi bản ghi nhớ dài 50 trang bác bỏ hoàn toàn yêu cầu này
- Nếu tuyên bố này là đúng, bản ghi nhớ đó có thể trở thành bằng chứng quan trọng bất lợi cho CrowdStrike
1 bình luận
Ý kiến trên Hacker News
Tôi đang làm việc tại Pháp cho một nhà cung cấp dịch vụ đám mây khác của Pháp, đã trải qua sự cố OVH theo thời gian thực và cũng chứng kiến toàn bộ hệ quả sau đó.
OVH phải chịu trách nhiệm không phải vì gián đoạn dịch vụ, mà vì mất dữ liệu. Mất dữ liệu là thiệt hại không thể đảo ngược, vĩnh viễn và rõ ràng; một số công ty trên thực tế đã phá sản vì không còn dữ liệu để vận hành. Tệ hơn nữa là OVH đã bán “sao lưu ngoại vi” ở một nơi chỉ cách trung tâm dữ liệu theo đúng nghĩa đen vài mét. Gián đoạn dịch vụ thì đáng tiếc nhưng có thể xảy ra, và được xử lý theo hợp đồng SLA mà hai bên đã thỏa thuận. Vài ngày ngừng hoạt động không khiến một công ty phải đóng cửa.
Tôi nghi ngờ việc CrowdStrike sẽ phải chịu trách nhiệm lớn đối với các doanh nghiệp. Nếu phải bồi thường toàn bộ thiệt hại, công ty này sẽ phải đóng cửa. Tuy nhiên, lĩnh vực y tế là một vấn đề riêng, và tôi nghĩ hướng đi sẽ là tăng thêm quy định đối với các tổ chức trọng yếu.
Sự cố lớn nhất trong lịch sử xảy ra vì lỗi của trình phân tích cú pháp cấu hình; có vẻ họ đã không tuân theo các thực hành tốt nhất trong ngành về xử lý cấu hình/phân tích cú pháp, và rất có khả năng cũng không tuân thủ các thực hành tốt nhất trong lập trình mô-đun kernel. Nếu vậy, thật lòng mà nói, việc họ không phải nộp đơn phá sản vì bồi thường thiệt hại là điều kỳ lạ. Điều đó không có nghĩa là phần mềm sẽ biến mất hoặc không được bảo trì nữa; có nhiều cách để ngăn chuyện đó. Ví dụ, dù sao Microsoft cũng đã từng quan tâm đến việc mua lại Falcon.
Về mặt logic, dữ liệu càng quan trọng thì khả năng nó biến mất càng cao. Từ những trường hợp không chính thức xung quanh tôi, rất nhiều người dùng BitLocker, và điều đó cũng có nghĩa là có nhiều trường hợp mất dữ liệu.
Sửa: Tôi đã thấy rằng trong nhiều trường hợp có thể khôi phục ổ đĩa được mã hóa bằng BitLocker. Tôi tò mò không biết mức độ mất dữ liệu thực tế là bao nhiêu.
Tiêu đề này hơi gây hiểu nhầm. Thực tế đây là một quan điểm cá nhân, dù có hiểu biết, của ai đó trên blog, chứ không phải một tuyên bố sự thật.
Tiêu đề nên gần với “Tôi nghĩ CrowdStrike sẽ phải chịu trách nhiệm” hoặc “CrowdStrike nên phải chịu trách nhiệm” hơn.
Thật tốt khi được nhắc rằng các điều khoản miễn trừ trách nhiệm chung thường thấy trong hợp đồng cấp phép có thể không có ý nghĩa bên ngoài thẩm quyền của Mỹ nếu bạn kinh doanh ở các khu vực pháp lý khác.
Tôi đoán đã có một số lượng khổng lồ bên yêu cầu bồi thường đang nói chuyện với luật sư về cách nhận bồi thường. Không chỉ ở Pháp mà trên toàn thế giới.
Tôi tò mò không biết một việc như thế này sẽ được tổ chức ra sao khi có nhiều khu vực pháp lý như vậy.
Vì vậy, nhiều tòa án và luật sư trên khắp thế giới sẽ khá bận rộn với vụ này trong một thời gian.
Tôi không phải luật sư, càng không phải luật sư Pháp, nhưng tôi cho rằng việc so sánh với OVH là không phù hợp.
Trong vụ OVH, toàn bộ hệ thống sao lưu đã thất bại. Nhiều khách hàng bị mất sạch dữ liệu, và theo bài viết, “tòa án nhận định rằng dịch vụ sao lưu của OVH không được vận hành ở mức hợp lý và không đạt được mục đích của nó”.
Ngược lại, CrowdStrike “chỉ” làm kernel của khách hàng bị crash trong khoảng 1 giờ. Trong thời gian đó, hẳn họ đã an toàn 100% trước các cuộc tấn công mạng. Sự chậm trễ trong việc đưa hệ thống hoạt động trở lại sau đó, theo góc nhìn của tôi, là do kế hoạch khôi phục sau thảm họa của khách hàng chưa đủ tốt. Rõ ràng vẫn có thể tranh luận rằng phần mềm CrowdStrike “không ở mức hợp lý”, nhưng tác động ban đầu là phần mềm bị crash hoàn toàn không cùng quy mô với việc mất vĩnh viễn toàn bộ dữ liệu theo đúng nghĩa đen trong biển lửa như OVH.
Phần mềm lúc nào cũng crash. Dù thích hay không, phần lớn ngành công nghiệp xem lỗi phần mềm là điều không thể tránh khỏi. Tất nhiên vẫn có ngoại lệ. “Trách nhiệm” đối với lỗi phần mềm thuộc về nhà cung cấp, nhưng việc giảm thiểu tác động là trách nhiệm của những người triển khai nó. Lý do duy nhất khiến sự cố CrowdStrike trở thành tin tức, so với các vụ crash phần mềm khác xảy ra hằng ngày, là vì nhiều khách hàng của CrowdStrike đã chèn phần mềm này vào nhiều đường dẫn trọng yếu.
CrowdStrike đã bán một lá bài át chủ bài, và các khách hàng collectively đã dùng nó để xây nhà.
Tái bút: Mong đừng hiểu đây là lời bênh vực CrowdStrike. Tôi nghĩ phần mềm của họ rất tệ và được phát triển cẩu thả. Tôi cho rằng họ nên phải trả giá cho sự cẩu thả đó, nhưng theo hệ thống pháp luật hiện hành thì có lẽ điều đó sẽ không xảy ra. Cùng lắm là về sau mọi người có thể bỏ phiếu bằng ví tiền của mình.
Phần lớn máy tính bị ảnh hưởng bởi lỗi này bị kẹt trong vòng lặp khởi động lại và không thể tải bản sửa lỗi, nên cần can thiệp vật lý bằng cách khởi động vào Safe Mode. Theo tôi hiểu, trong hầu hết trường hợp, kỹ thuật viên IT phải đến tận nơi và truy cập vật lý vào máy tính để sửa.
Sau một tuần, tức 168 giờ, vẫn còn rất nhiều máy tính bị biến thành cục gạch vì lỗi này, bởi việc sửa nó cực kỳ khó chịu.
Vì vậy, cần nhìn nhận nó khá khác với một vụ crash thông thường. Việc khôi phục khó hơn nhiều, và nó ảnh hưởng đồng thời đến rất nhiều máy tính.
Hơn nữa, cũng có những công ty thất bại trong chính quy trình khôi phục của họ. Nhưng ngay cả khi quy trình tốt, đây vẫn có thể là một sự cố lớn, vì nó không dễ đảo ngược và thường ảnh hưởng đồng thời đến nhiều cấu hình vốn được thiết kế dự phòng cho rất nhiều sự cố khác.
Có thể giải thích vì sao hệ điều hành tự thân không cung cấp các chức năng bảo vệ mà Falcon cung cấp không? Không phải là tôi hoàn toàn không biết; tôi cũng đã bảo mật khá nhiều máy chủ Linux quan trọng, nhưng trên Windows thì việc phân chia vai trò bảo mật có vẻ không rõ ràng tương tự
So với Red Hat hay Canonical, ở phía đó tôi có cảm giác như người dùng đang phải đấu với bảo mật hệ thống để đưa ứng dụng của mình vào trạng thái có thể dùng được, nhưng điều đó lại có vẻ là hướng đúng hơn
https://www.theregister.com/2024/07/22/windows_crowdstrike_k...
Một số trong đó có phương án thay thế mặc định của hệ điều hành, một số thì không, và phần lớn không được tích hợp sẵn trong Linux. Ví dụ, nhóm kernel Linux không có cơ sở dữ liệu chữ ký mã độc để đối chiếu các thành phần phần mềm mới trước khi kernel, hệ thống init hay shell chạy chúng. Falcon làm việc này
Một ví dụ khác, Linux hay không gian người dùng Linux thông thường hiện không tích hợp mặc định với hệ thống quản lý fleet để kiểm tra liệu người dùng hiện tại có được phép chạy một phần mềm cụ thể hay không. Còn nhiều câu hỏi tương tự
Cuối cùng, ngay cả khi hệ điều hành cung cấp sẵn các dịch vụ như vậy — chẳng hạn các bản Windows Enterprise có cung cấp các chức năng trên — thì việc ưu tiên giải pháp của nhà cung cấp khác vẫn hoàn toàn hợp lý. Ví dụ, bạn có thể tin danh sách chữ ký mã độc của CrowdStrike hơn Microsoft, và khi đó đó là lý do để mua CrowdStrike thay vì Windows Defender
Tôi không có ý bênh CrowdStrike hay Windows. Chỉ là dưới chiếc ô “bảo mật” rõ ràng có rất nhiều chức năng mà ta không muốn đưa vào bản thân hệ điều hành, và ngay cả khi có phiên bản tích hợp sẵn, một công ty vẫn có thể muốn nguồn cung khác
Nhưng thực tế đã cho thấy như vậy là chưa đủ để ngăn nhiều vấn đề ngoài đời thực như ransomware
Vì thế mới hình thành thị trường các giải pháp bên thứ ba hung hăng hơn. Để theo kịp các mối đe dọa thực tế, chúng phải được cập nhật thường xuyên và phải chạy ở mức đặc quyền cao. Kết quả là các giải pháp bên thứ ba như vậy có thể gây màn hình xanh hoặc vòng lặp khởi động. Nếu vậy, cách triển khai cập nhật phải được thiết kế cực kỳ tốt
Ví dụ như tải một tệp xuống rồi thực thi nội dung của nó như mã, hoặc tải lên hay mã hóa mọi tệp có thể truy cập
CrowdStrike và Defender xử lý các hành vi có thể xảy ra nhưng đáng ngờ như vậy
Dù được triển khai trên nhiều hệ thống, con số dưới 1% hệ thống Windows về tuyệt đối vẫn là một ngách. Phần lớn mọi người thậm chí không biết CrowdStrike là gì, nói gì đến các đối thủ của họ
Tôi cho rằng một khác biệt lớn giữa CrowdStrike và phần mềm diệt virus là chi phí quá lớn nên không kỳ vọng lúc nào cũng có con người can thiệp. Với phần mềm tiêu dùng, điều đó cũng không feasible vì vấn đề quyền riêng tư
Ngay cả trong ngách nhỏ này, các giải pháp cũng rất không đồng nhất, không có nhiều ý nghĩa trên một máy đơn lẻ, và thực tế có thể được thiết kế để hoạt động ở cấp độ mạng
Khi đối mặt với người tiêu dùng thì tôi biết chuyện như vậy là có thể, nhưng vì hợp đồng B2B được coi là hợp đồng giữa hai bên tinh vi, tôi từng nghĩ sẽ hầu như không có bảo vệ lập pháp nào vượt ra ngoài điều khoản hợp đồng
Hiểu biết pháp lý của tôi chủ yếu theo chuẩn Anh, nhưng khi sự kiện làm phát sinh trách nhiệm không thuộc lĩnh vực sức khỏe・an toàn hay một lĩnh vực khác được lập pháp mạnh, mà là vấn đề thiện chí/năng lực thông thường trong thực hiện hợp đồng, tôi không biết luật nào có thể vô hiệu hóa điều khoản giới hạn trách nhiệm
Vì vậy tôi không chắc với nội dung bài viết rằng đây không chỉ là vấn đề của “hệ thống pháp luật Pháp” và các khu vực tài phán khác cũng có thể đưa ra cùng kiểu phán quyết
Nếu cố ý không triển khai phát hành theo giai đoạn thì trong mắt tôi trông giống như sơ suất, nhưng tôi không phải luật sư. Việc dùng canary là có lý do
Nếu không làm như vậy thì có thể là vi phạm hợp đồng, và điều khoản giới hạn trách nhiệm có thể không còn được áp dụng
Không chỉ là chuyện riêng của Pháp
Phần lớn, có lẽ là tất cả các nước EU đều có luật hạn chế né tránh trách nhiệm bất kể hợp đồng viết gì
Tôi không biết ranh giới chính xác ở từng nước, nhưng tôi khá chắc rằng ít nhất các bệnh viện, dịch vụ gọi khẩn cấp, v.v. có thể kiện đối với một phần không nhỏ thiệt hại trực tiếp do sự cố gây ra
Những cá nhân bị thiệt hại vì không được phẫu thuật kịp thời nhiều khả năng cũng có thể kiện đối với toàn bộ thiệt hại của mình. Tuy nhiên việc tính thiệt hại sẽ khó, và có thể phải đi gián tiếp bằng cách kiện bệnh viện trước, rồi bệnh viện đòi khoản thiệt hại lớn hơn
Có lẽ phần khó kiện sẽ là tổn thất chi phí cơ hội, chi phí nhân lực bỏ ra để khôi phục, v.v.
Ngoài ra, trong nhiều trường hợp không nghiêm trọng như thiệt hại về nhân mạng nhưng cũng không gián tiếp như tổn thất chi phí cơ hội, cách các thẩm phán nhìn nhận mức độ sơ suất có lẽ sẽ là yếu tố lớn. Ở đây “sơ suất” không chỉ là thay đổi cụ thể đã tạo ra lỗi, mà còn bao gồm việc có thực hiện nghĩa vụ cẩn trọng trong lựa chọn công cụ, cách tiếp cận, quy trình kinh doanh, v.v. để giảm rủi ro một cách hợp lý hay không. Ví dụ như cách phân tích cú pháp cấu hình có không phù hợp không, có tuân theo thực tiễn tốt nhất trong ngành không — theo tôi thì có vẻ là không. Hoặc việc đánh dấu driver đó là bắt buộc khi khởi động có phù hợp hay không. Nếu không đánh dấu như vậy thì Windows đã tự động vô hiệu hóa rồi khởi động lại
Có ghi rằng “CrowdStrike đã phát hành bản cập nhật phần mềm vào ngày 19 tháng 7 năm 2019”, nhưng có vẻ năm được nói đến là 2024
Về đoạn “Đây không phải là một sự cố riêng lẻ. Vài tuần trước, điều tương tự cũng đã xảy ra với agent CrowdStrike trên Linux, làm sập hệ thống, và trước đó có thể cũng đã có các trường hợp khác”, có liên kết nào về vụ này không?
“CrowdStrike's Falcon Sensor also linked to Linux kernel panics and crashes”, https://news.ycombinator.com/item?id=41030352