ความเป็นไปได้ที่ CrowdStrike จะต้องรับผิดชดใช้ค่าเสียหายในฝรั่งเศส
- คาดว่าเหตุการณ์ CrowdStrike ล่าสุดทำให้คอมพิวเตอร์ 8.5 ล้านเครื่องใช้งานไม่ได้ และก่อให้เกิดความเสียหายมากกว่า 5.4 พันล้านดอลลาร์
- มีความเป็นไปได้สูงที่ CrowdStrike จะต้องรับผิดชดใช้ค่าเสียหาย
- ในฝรั่งเศสเคยมีกรณีคล้ายกันกับคดี OVH
เกี่ยวกับ OVH
- OVH เป็นผู้ให้บริการดาต้าเซ็นเตอร์และคลาวด์รายใหญ่ที่สุดในยุโรป โดยให้บริการทั้งเซิร์ฟเวอร์จริง เวอร์ชวลแมชชีน และบริการคลาวด์หลากหลายประเภท
- เมื่อวันที่ 10 มีนาคม 2021 ได้เกิดเพลิงไหม้ที่ไซต์ SGB ส่งผลให้ดาต้าเซ็นเตอร์ 2 แห่งถูกเผาทำลายทั้งหมด และอีก 2 แห่งไม่สามารถดำเนินงานได้ชั่วคราว
- ลูกค้าจำนวนมากยื่นฟ้องเรียกค่าเสียหายและชนะคดี
- ประเด็นสำคัญที่มีการพิจารณาในศาล:
- บริการหยุดชะงักโดยสมบูรณ์ระหว่างเหตุการณ์และหลังจากนั้น
- ข้อมูลสูญหายโดยไม่สามารถกู้คืนได้อย่างสิ้นเชิง
- OVH มีบริการสำรองข้อมูล แต่ข้อมูลสำรองก็สูญหายจนไม่สามารถกู้คืนได้เช่นกัน
- แม้จะมีดาต้าเซ็นเตอร์หลายแห่งตั้งอยู่ใกล้กัน แต่ทั้งหมดอยู่ในสถานที่เดียวกัน ซึ่งศาลเห็นว่าไม่สมเหตุสมผล
- การเก็บข้อมูลสำรองไว้ในดาต้าเซ็นเตอร์เดียวกัน หรือในดาต้าเซ็นเตอร์อื่นที่อยู่ในสถานที่เดียวกัน ถูกมองว่าไม่สมเหตุสมผล
- ศาลยอมรับว่าการที่ลูกค้ามีข้อมูลสำรองไว้หลายสถานที่เป็นแนวปฏิบัติที่ดี
- ศาลเห็นว่า OVH ในฐานะผู้ให้บริการสำรองข้อมูลต้องปฏิบัติตามมาตรฐานที่สมเหตุสมผล
- ศาลตัดสินว่าบริการสำรองข้อมูลของ OVH ไม่เป็นไปตามมาตรฐานที่สมเหตุสมผลและล้มเหลวต่อวัตถุประสงค์
เกี่ยวกับ CrowdStrike
- CrowdStrike เป็นซอฟต์แวร์แอนติไวรัสที่ติดตั้งบนคอมพิวเตอร์ และมักติดตั้งบนอุปกรณ์ขององค์กรขนาดใหญ่
- เมื่อวันที่ 19 กรกฎาคม 2024 CrowdStrike ได้ปล่อยอัปเดตซอฟต์แวร์ แต่การอัปเดตนี้ก่อให้เกิดข้อผิดพลาดจนทำให้คอมพิวเตอร์หลายล้านเครื่องใช้งานไม่ได้
- ประเด็นสำคัญที่ต้องพิจารณา:
- CrowdStrike ทำงานด้วยโหมดสิทธิ์ระดับสูงเมื่อคอมพิวเตอร์เริ่มทำงาน
- ถูกติดตั้งบนอุปกรณ์สำคัญหลายล้านเครื่อง
- อัปเดตถูกปล่อยไปยังอุปกรณ์หลายล้านเครื่องพร้อมกัน
- การอัปเกรดซอฟต์แวร์แบบค่อยเป็นค่อยไปเป็นแนวปฏิบัติที่ดี
- CrowdStrike ไม่ได้ทำการทดสอบและไม่ปล่อยอัปเดตแบบเป็นขั้นตอน
- ลูกค้าเคยยกประเด็นนี้มาก่อนแล้ว แต่ CrowdStrike ปฏิเสธ
- หลังปล่อยอัปเดตไปแล้วเกือบ 2 ชั่วโมง จึงมีการรับรู้ปัญหา
- คอมพิวเตอร์ทั้งหมดใช้งานไม่ได้ ทำให้ผู้ใช้ไม่สามารถแก้ปัญหาได้เอง
- ทีม IT ต้องเข้าถึงเครื่องทางกายภาพเพื่อติดตั้งคอมพิวเตอร์ใหม่หรือลบไฟล์ไดรเวอร์
- การกู้คืนอุปกรณ์ตั้งแต่หลักพันถึงหลักแสนเครื่องจะใช้เวลาหลายสัปดาห์
- อุปกรณ์สำคัญบางส่วนอาจกู้คืนไม่ได้
- CrowdStrike ทำลายคอมพิวเตอร์ที่ตนควรปกป้อง
- ก่อให้เกิดความเสียหายร้ายแรงแก่ลูกค้า
สรุปของ GN⁺
- เหตุการณ์ CrowdStrike มีแนวโน้มสูงที่จะนำไปสู่ความรับผิดในการชดใช้ค่าเสียหาย เช่นเดียวกับคดี OVH
- ความผิดพลาดของอัปเดต CrowdStrike ทำให้คอมพิวเตอร์หลายล้านเครื่องใช้งานไม่ได้ ส่งผลให้ภาคธุรกิจได้รับความเสียหายอย่างหนัก
- เหตุการณ์นี้ตอกย้ำความสำคัญของการปล่อยซอฟต์แวร์และการทดสอบ โดยเฉพาะซอฟต์แวร์ที่ถูกติดตั้งบนอุปกรณ์สำคัญ ซึ่งจำเป็นต้องมีการตรวจสอบอย่างรัดกุมยิ่งขึ้น
- ซอฟต์แวร์ความปลอดภัยอื่นที่มีฟังก์ชันคล้ายกัน ได้แก่ Symantec, McAfee เป็นต้น
1 ความคิดเห็น
ความเห็นจาก Hacker News
ในฐานะคนที่ทำงานอยู่กับ CSP ฝรั่งเศส เคยเจอกรณี OVH แบบเรียลไทม์
พาดหัวนี้ชวนให้เข้าใจผิด
ข้อกำหนดยกเว้นความรับผิดโดยทั่วไปแทบไม่มีความหมายในเขตอำนาจศาลนอกสหรัฐฯ
การเปรียบเทียบกรณี OVH กับ CrowdStrike ไม่เหมาะสม
ผู้เรียกร้องค่าเสียหายจำนวนมากคงกำลังพยายามขอชดเชยผ่านทนายความกันอยู่แล้ว
สงสัยว่าทำไมความสามารถด้านการป้องกันที่ Falcon มีให้ จึงไม่มีอยู่ในตัว OS เอง
สัญญา B2B ถือว่าทั้งสองฝ่ายเป็นผู้มีความเชี่ยวชาญ
ประเทศส่วนใหญ่ใน EU มีกฎหมายที่จำกัดความรับผิด
วันที่ 19 กรกฎาคม 2019 CrowdStrike ได้ push อัปเดตซอฟต์แวร์ออกไป
เมื่อไม่กี่สัปดาห์ก่อนมีเหตุการณ์ที่เอเจนต์ของ CrowdStrike ทำให้ระบบ Linux เสียหาย