Hvem skal betale for datanedbrud?
En fejl i en opdatering fra it-sikkerhedsselskabet CrowdStrike forårsagede et globalt it-nedbrud og rejste spørgsmål om, hvem der skal betale for de omfattende skader, der løber op i milliarder af kroner. Det stiller dermed skarpt på kontrakter mellem Cloud udbydere, Sikkerhedsudbydere og f.eks. ERP udbydere.
alle udenlandske tjenester BØR ERSTATTES AF DANSKE MED HØJERE OPPETIDSGARANTI
Verden blev pludselig bevidst om, hvor afhængige vi er af it og den bagvedliggende struktur, da en fejlslået opdatering fra CrowdStrike i sidste uge fik millioner af Windows-enheder til at bryde sammen og forårsage et globalt it-nedbrud. Dette nedbrud berører mere end 100 millioner mennesker skønnes det.
Efterhånden er mange cloudtjenester med ringere driftssikkerhed og længere nedbrud end hvis du har billigere tjenester i Danmark. Desuden er Windows det mest usikre operativ system på markedet, sammenlignet med f.eks. Linux, Unix, IOS eller IMAC. I Danmark kan man lave redundante tjenester nemmere og så virker din websider lang hurtigere overfor danske / nordiske kunder.
I forhold til det juridiske tilbyder vi at gennemgå kontrakter og skrive en rapport for:
Hvem der er ansvarlige (typisk dit firma)
Hvilke alternativer der er
Hvordan man kan bygge redundans
Hvilke omkostninger der er ved COOP (Con
Omkostningerne ved nedbruddet HOS MICROSOFT/CROWDSTRIKE
“5.000 kommercielle flyvninger verden over blev aflyst, herunder også i Københavns Lufthavn. Biltema lukkede sine butikker i flere timer, Silvan meldte om længere leveringstider, DSB’s hjemmeside gik ned, og Brandvæsnet kunne ikke modtage automatiske brandalarmer. På globalt plan blev 8,5 millioner Windows-enheder påvirkede af det, der nu kaldes “det største it-nedbrud i historien.”
Det skriver ICARE her og sammenligner hændelsen med sikkerhedshullerne i Meltdown hullet i CPU’er.
Kommende retssager
CrowdStrike har flere gange undskyldt for fejlen, men det er endnu uvist, om selskabet vil give kompensation til de berørte kunder. Dette forventer vi ikke, og der er tillige sikkerhedsparagraffer i licenserne, altså salgs- og leveringsbetingelser der knytter sig til de anvendte abonnementer.
Der er taget forbehold for dette, også hos Microsoft, hvorfor vi vurderer at man ikke kan forvente at vinde sådanne sager, selvom de kører kollektivt, altså hvor et advokathus kører sagerne samlet mod sagsøgte.
Økonomiske konsekvenser
Flyindustrien står over for store tab på grund af aflyste flyvninger og ekstra omkostninger for forsinkede fly. En forsker ved navn James Lewis, Center for Strategic and International Studies, bemærker dog, at CrowdStrikes kundekontrakter sikkert beskytter dem mod ansvar.
Vi mener at tabene, der ikke er endeligt opgjort kan løbe op i ca. 30 milliarder kroner. Andre eksperter mener, at omkostningerne ved nedbruddet kan overstige, kan være på ca. 7 milliarder kroner.
En af dem er Patrick Anderson, CEO for Anderson Economic Group, der sammenligner det med et nyligt hack af softwareselskabet CDK Global, hvor omkostningerne løb op i en milliard dollar. CDK Global, et stort softwareselskab, oplevede et betydeligt cyber angreb, der førte til 2 ugers nedetid og påvirkede næsten 15.000 bilforhandlere i USA. Som reaktion på denne hændelse har CDK Global lovet at kompensere de berørte kunder økonomisk for deres tab. CEO Brian MacDonald har bekræftet, at der vil blive ydet økonomisk kompensation til forhandlere, der har lidt tab som følge af angrebet, selvom de specifikke detaljer om kompensationsplanen endnu ikke er offentliggjort.
Anderson påpeger korrekt set, at CrowdStrike-nedbruddet påvirker langt flere forbrugere og virksomheder og resulterede i udgifter, som de berørte parter ikke nemt kan få dækket.
Kunderne reagerer
Nedbruddet vil sandsynligvis koste CrowdStrike kunder, og Elon Musk har allerede fjernet CrowdStrike fra alle Teslas systemer, dog uden at nævne om det gælder alle de virksomheder, som han kontrollerer.
Denne type af software, som Crowdstrike anvender, er ikke nem at skifte, da det er en software der griber ind i, hvordan selve operativsystemet opererer og tilføjer nye lag af sikkerhed.
Derfor vil der ikke ske en tocifret skade på Crowdstrike, men givetvis vil selskabet fremover blive fravalgt, ikke på grund af deres evne som sikkerhedssoftware, men på grund af denne hændelse. Tænk på at der er tusindvis af tilbud ude over hele verden, og mange af disse samt fremtidige kunder vil formentligt takke nej også fremover.
CrowdStrikes egen CEO, George Kurtz, “udtalte på CNBC, “at firmaet fokuserer på at løse problemerne, og at de fleste kunder har været forstående”. Hvorvidt dette er rigtigt kan man jo kun gisne om. Siden nedbruddet er CrowdStrike-aktien faldet med cirka 30 procent.
Her hos os anvender vi kun IMAC og LINUX servere og kører med helt andre sikkerhedstjenester. Netop IMACog LINUX er ikke berørt af denne fejl.
Har du været udsat for fejlen har ICARE SECURITY A/S udgivet en artikel om hvordan du kommer op og køre igen på ca. 1 time.
Her er en tabel over kendte aktører, der har været ramt af it-nedbruddet forårsaget af CrowdStrikes fatale opdatering, både i Danmark og internationalt:
Land | Aktør | Beskrivelse |
---|---|---|
Danmark | Københavns Lufthavn | Flere kommercielle flyvninger blev aflyst |
Danmark | Biltema | Butikker lukkede i flere timer |
Danmark | Silvan | Meldte om længere leveringstider |
Danmark | DSB | Hjemmesiden gik ned |
Danmark | Brandvæsnet | Kunne ikke modtage automatiske brandalarmer |
USA | Delta Airlines | Flyvninger blev aflyst |
USA | United Airlines | Flyvninger blev aflyst |
Storbritannien | Hospitaler | Operationer måtte udsættes |
Tyskland | Hospitaler | Operationer måtte udsættes |
Israel | Hospitaler | Operationer måtte udsættes |
Globalt | Flere lufthavne | Flyvninger blev aflyst eller forsinket |
Globalt | Banker | Blev påvirket af nedbruddet |
Globalt | Medier | Tv-stationer gik i sort |
Globalt | CrowdStrike kunder (generelt) | Omfattende forstyrrelser hos mange virksomheder og offentlige myndigheder |
Globalt | Tesla | Fjernede CrowdStrike fra deres systemer |
COOP (Continuity of Operations Plan)
COOP og DR (Disaster Recovery) er vigtige begreber inden for datasikkerhed og kontinuitetsplanlægning. Her er en kort forklaring af begge begreber:
COOP står for Continuity of Operations Plan, som er en plan, der sikrer, at en organisation kan opretholde sine kritiske funktioner under og efter en katastrofe eller forstyrrelse. Formålet med COOP er at minimere nedetid og sikre, at vitale operationer kan fortsætte, selv når der opstår uforudsete hændelser som naturkatastrofer, cyberangreb eller andre kriser.
Nøgleelementer i COOP:
- Identifikation af kritiske funktioner: Definere hvilke funktioner og processer, der er afgørende for organisationens drift.
- Risikovurdering: Vurdere potentielle trusler og deres indvirkning på organisationen.
- Planlægning af kontinuitet: Udvikle strategier og procedurer for at opretholde eller hurtigt genoptage kritiske funktioner.
- Kommunikationsplan: Etablere en kommunikationsplan for at informere medarbejdere, kunder og andre interessenter under en krise.
- Træning og øvelser: Gennemføre regelmæssige træningsøvelser for at sikre, at alle relevante parter kender deres roller og ansvar i tilfælde af en katastrofe.
DR (Disaster Recovery)
DR står for Disaster Recovery, som er en del af en bredere COOP-plan. DR fokuserer specifikt på genopretning af it-systemer og data efter en katastrofe. Det indebærer at have procedurer og værktøjer på plads for at kunne genoprette mistede data og gendanne it-systemer til normal drift.
Nøgleelementer i DR:
- Backup: System backup, inkrementel sikkerhedskopiering af data for at sikre, at de kan gendannes i tilfælde af tab.
- Genoprettelsesprocedurer: Definere de trin, der skal tages for at genoprette systemer og data efter en hændelse.
- Redundans: Implementere redundante systemer og netværk for at minimere nedetid.
- Test og øvelse: Regelmæssig testning af DR-planen for at sikre, at den er effektiv og opdateret.
Begge disse begreber er afgørende for at sikre, at en organisation kan modstå og hurtigt komme sig efter forstyrrelser, hvilket er essentielt for at opretholde forretningskontinuitet og minimere økonomiske tab.
Dertil kommer at man er nødt til at gennemgå forsikringerne. Hvordan dækker forsikringer i Danmark, hvis man ikke har ovenstående og overholder andre lovgivninger f.eks. manglende/fejende køling, lavstrømsdirektivet, manglende backup, ransomware/hacking eller medarbejderkriminalitet?
Kilde: Advokat og Revisor Samvirket, AORS.DK
Fotokredit:
Personer/Firmaer/Emner/#: #CrowdStrike, #it-nedbrud, #Windows, #cybersikkerhed, #KøbenhavnsLufthavn, #Biltema, #Silvan, #DSB, #DeltaAirlines, #UnitedAirlines, #Tesla, #Hospitaler
Copyrights: Ⓒ 2024 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.