Responsabilidad de CrowdStrike por daños en Francia según el precedente de OVH

 (thehftguy.com)
1 puntos por GN⁺ 2024-07-26 | 1 comentarios | Compartir por WhatsApp

Posible responsabilidad de CrowdStrike por daños en Francia

  • Se estima que el reciente incidente de CrowdStrike deshabilitó 8.5 millones de computadoras y causó pérdidas por más de 5.4 mil millones de dólares
  • Es muy probable que CrowdStrike sea responsable por daños y perjuicios
  • En Francia hubo un caso similar con OVH

Sobre OVH

  • OVH es el mayor proveedor europeo de centros de datos y nube, y ofrece servidores físicos, máquinas virtuales y diversos servicios en la nube
  • El 10 de marzo de 2021, se produjo un incendio en el sitio SGB, que destruyó por completo dos centros de datos y dejó temporalmente fuera de operación otros dos
  • Numerosos clientes reclamaron indemnización por daños y ganaron sus casos
  • Puntos principales discutidos en el tribunal:
    • El servicio se interrumpió por completo durante y después del incidente
    • Los datos se perdieron por completo y no pudieron recuperarse
    • OVH ofrecía servicios de respaldo, pero también se perdieron de forma irrecuperable
    • Varios centros de datos estaban ubicados cerca entre sí, pero al estar todos en el mismo lugar, el tribunal lo consideró irrazonable
    • También se consideró irrazonable que los respaldos estuvieran almacenados en el mismo centro de datos o en otro centro ubicado en el mismo sitio
    • El tribunal reconoció que es una buena práctica que los clientes mantengan respaldos en varias ubicaciones
    • El tribunal determinó que OVH, como proveedor de respaldos, debía cumplir estándares razonables
    • Dictaminó que el servicio de respaldo de OVH no cumplía estándares razonables y falló en su propósito

Sobre CrowdStrike

  • CrowdStrike es un software antivirus que se instala en computadoras, principalmente en dispositivos de grandes empresas
  • El 19 de julio de 2024, CrowdStrike distribuyó una actualización de software, pero esta actualización causó fallas y deshabilitó millones de computadoras
  • Principales puntos de discusión:
    • CrowdStrike se ejecuta con privilegios elevados al iniciar la computadora
    • Está desplegado en millones de dispositivos críticos
    • La actualización se distribuyó a millones de dispositivos al mismo tiempo
    • Es una buena práctica realizar las actualizaciones de software de forma gradual
    • CrowdStrike no realizó pruebas ni un despliegue gradual
    • Los clientes ya habían señalado este problema antes, pero CrowdStrike lo rechazó
    • El problema no fue reconocido durante casi dos horas después de distribuir la actualización
    • Todas las computadoras quedaron deshabilitadas y los usuarios no pudieron resolver el problema por sí mismos
    • Los equipos de TI tuvieron que acceder físicamente para reinstalar las computadoras o eliminar archivos del controlador
    • Recuperar desde miles hasta cientos de miles de dispositivos tomará semanas
    • Puede haber dispositivos críticos que no se puedan recuperar
    • CrowdStrike destruyó las computadoras que debía proteger
    • Causó daños graves a sus clientes

Resumen de GN⁺

  • Es muy probable que el incidente de CrowdStrike genere responsabilidad por daños y perjuicios, de forma similar al caso de OVH
  • El error en la actualización de CrowdStrike deshabilitó millones de computadoras y provocó grandes pérdidas a las empresas
  • Este caso subraya la importancia de la distribución y las pruebas de software, y la necesidad de una validación aún más rigurosa para software desplegado en dispositivos críticos
  • Otros programas de seguridad con funciones similares incluyen Symantec y McAfee

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-26
Opiniones de Hacker News

  • Como alguien que trabaja en un CSP francés, viví el caso de OVH en tiempo real

    • OVH fue considerado responsable por la pérdida de datos
    • La pérdida de datos es un problema permanente e irreversible
    • Algunas empresas no pudieron seguir operando debido a la pérdida de datos
    • La interrupción del servicio es un problema que puede resolverse con contratos SLA
    • Parece poco probable que CrowdStrike cargue con una gran responsabilidad
    • El sector salud necesitará más regulación

  • Este titular es engañoso

    • Presenta una opinión personal como si fuera un hecho
    • Algo como "Creo que CrowdStrike debería ser considerado responsable" sería una expresión más adecuada

  • Las cláusulas generales de exención de responsabilidad no significan mucho en jurisdicciones fuera de EE. UU.

  • No es apropiado comparar los casos de OVH y CrowdStrike

    • En OVH falló todo el sistema de respaldos
    • CrowdStrike dejó caídos los kernels de los clientes durante aproximadamente 1 hora
    • En la mayoría de las industrias, los bugs de software se consideran inevitables
    • El software de CrowdStrike se volvió noticia porque está insertado en muchas rutas críticas
    • El software de CrowdStrike fue desarrollado de forma deficiente
    • Es poco probable que sea considerado responsable dentro del marco legal
    • Es posible que los clientes voten con la cartera

  • Muchos reclamantes probablemente ya estén intentando obtener compensación a través de abogados

    • Me intriga cómo se estará organizando eso en distintas jurisdicciones

  • Me pregunto por qué la protección que ofrece Falcon no la brinda el propio OS

    • En Windows no existe un rol de seguridad claro
    • Se compara con Red Hat o Canonical

  • En los contratos B2B se considera que ambas partes son competentes

    • Probablemente haya muy poca protección legal más allá de lo establecido en el contrato
    • Esto se basa en una comprensión de la legislación del Reino Unido

  • La mayoría de los países de la UE tienen leyes que limitan la responsabilidad

    • Hospitales, servicios de emergencia, etc., podrían demandar por daños directos
    • Los individuos también podrían demandar por daños
    • Sería difícil demandar por costo de oportunidad o costos de personal
    • El grado de negligencia será un factor importante

  • El 19 de julio de 2019 CrowdStrike publicó una actualización de software

    • Parece que el año correcto sería 2024

  • Hace unas semanas hubo un incidente en el que el agente de CrowdStrike dañó sistemas Linux

    • Me pregunto si está relacionado con este caso