Responsabilidade da CrowdStrike por indenização na França com base no precedente da OVH

 (thehftguy.com)
1 pontos por GN⁺ 2024-07-26 | 1 comentários | Compartilhar no WhatsApp

Possibilidade de a CrowdStrike ser responsabilizada por indenização na França

  • Estima-se que o incidente recente da CrowdStrike tenha desativado 8,5 milhões de computadores e causado mais de US$ 5,4 bilhões em prejuízos
  • Há grande possibilidade de a CrowdStrike ser responsabilizada por indenização
  • Houve na França um caso semelhante envolvendo a OVH

Sobre a OVH

  • A OVH é a maior provedora de data center e nuvem da Europa, oferecendo servidores físicos, máquinas virtuais e diversos serviços de nuvem
  • Em 10 de março de 2021, ocorreu um incêndio na unidade SGB, destruindo completamente dois data centers e tornando outros dois temporariamente inoperantes
  • Vários clientes solicitaram indenização e venceram na Justiça
  • Principais pontos discutidos no tribunal:
    • O serviço foi totalmente interrompido durante e após o incidente
    • Os dados foram perdidos de forma completa e irrecuperável
    • A OVH oferecia serviço de backup, mas os backups também foram perdidos de forma irrecuperável
    • Havia vários data centers próximos entre si, mas como todos estavam no mesmo local, o tribunal considerou isso irrazoável
    • Também foi considerado irrazoável que os backups estivessem armazenados no mesmo data center ou em outro data center localizado no mesmo local
    • O tribunal reconheceu que manter backups em vários locais é uma boa prática por parte do cliente
    • O tribunal entendeu que a OVH, como provedora de backup, deveria cumprir padrões razoáveis
    • Foi decidido que o serviço de backup da OVH não atendia a padrões razoáveis e falhou em seu propósito

Sobre a CrowdStrike

  • A CrowdStrike é um software antivírus instalado em computadores, principalmente em dispositivos de grandes empresas
  • Em 19 de julho de 2024, a CrowdStrike distribuiu uma atualização de software, mas essa atualização causou falhas e desativou milhões de computadores
  • Principais pontos em discussão:
    • A CrowdStrike é executada em modo de alto privilégio na inicialização do computador
    • Foi distribuída para milhões de dispositivos críticos
    • A atualização foi implantada simultaneamente em milhões de dispositivos
    • É uma boa prática realizar upgrades de software de forma gradual
    • A CrowdStrike não realizou testes nem implantação gradual
    • Clientes já haviam levantado esse problema anteriormente, mas a CrowdStrike recusou a sugestão
    • O problema não foi percebido por quase duas horas após a distribuição da atualização
    • Todos os computadores foram desativados, impedindo que os usuários resolvessem o problema
    • As equipes de TI tiveram de acessar fisicamente os computadores para reinstalá-los ou excluir o arquivo de driver
    • Levará semanas para recuperar de milhares a centenas de milhares de dispositivos
    • Alguns dispositivos críticos podem ser irrecuperáveis
    • A CrowdStrike destruiu os computadores que deveria proteger
    • Causou danos graves aos clientes

Resumo do GN⁺

  • Assim como no caso da OVH, há grande possibilidade de a CrowdStrike ser responsabilizada por indenização
  • O erro na atualização da CrowdStrike desativou milhões de computadores, causando grandes prejuízos às empresas
  • O caso ressalta a importância da distribuição e dos testes de software, especialmente quando se trata de software implantado em dispositivos críticos, que exige uma validação ainda mais rigorosa
  • Outros softwares de segurança com funções semelhantes incluem Symantec e McAfee

Leituras relacionadas

1 comentários

 
GN⁺ 2024-07-26
Opiniões do Hacker News

  • Como alguém que trabalha em um CSP francês, vivenciei o caso da OVH em tempo real

    • A OVH foi responsabilizada pela perda de dados
    • Perda de dados é um problema permanente e irreversível
    • Algumas empresas ficaram impossibilitadas de operar devido à perda de dados
    • Interrupção de serviço é um problema que pode ser resolvido por meio de contratos de SLA
    • A CrowdStrike provavelmente não terá uma grande responsabilidade
    • O setor de saúde provavelmente precisará de mais regulação

  • Esta manchete é enganosa

    • Ela apresenta uma opinião pessoal como se fosse um fato
    • Algo como "acho que a CrowdStrike deve ser responsabilizada" seria uma formulação mais apropriada

  • Cláusulas gerais de isenção de responsabilidade não têm muito valor em jurisdições fora dos EUA

  • A comparação entre os casos da OVH e da CrowdStrike não é adequada

    • Na OVH, todo o sistema de backup falhou
    • A CrowdStrike derrubou o kernel dos clientes por cerca de 1 hora
    • Bugs de software são tratados como inevitáveis na maioria dos setores
    • O software da CrowdStrike virou notícia porque foi inserido em muitos caminhos críticos
    • O software da CrowdStrike foi desenvolvido de forma ruim
    • É improvável que ela seja responsabilizada dentro do arcabouço legal
    • Os clientes provavelmente votarão com a carteira

  • Muitos reclamantes provavelmente já estão tentando obter compensação por meio de advogados

    • Fico curioso sobre como isso está sendo organizado em várias jurisdições

  • Fico pensando por que a proteção oferecida pelo Falcon não é fornecida pelo próprio OS

    • No Windows, não existe um papel de segurança claramente definido
    • Isso é comparado com Red Hat ou Canonical

  • Em contratos B2B, presume-se que ambas as partes sejam experientes

    • Provavelmente haverá pouca proteção legal além dos termos do contrato
    • Isso se baseia no meu entendimento da legislação do Reino Unido

  • A maioria dos países da UE tem leis que limitam a responsabilidade

    • Hospitais, serviços de emergência etc. podem processar por danos diretos
    • Indivíduos também podem processar por danos
    • Custo de oportunidade ou custo de mão de obra provavelmente serão difíceis de cobrar judicialmente
    • O grau de negligência será um fator importante

  • Em 19 de julho de 2019, a CrowdStrike enviou uma atualização de software

    • O ano parece estar errado; provavelmente é 2024

  • Algumas semanas atrás, houve um incidente em que o agente da CrowdStrike danificou sistemas Linux

    • Fico me perguntando se isso está relacionado a este caso