Theo các điều khoản và điều kiện hợp đồng của CrowdStrike, hầu hết khách hàng chỉ được hoàn lại tiền do sự cố ngừng hoạt động lớn, luật sư an ninh mạng cho biết.
Sự cố máy tính toàn cầu nghiêm trọng từ bản cập nhật bảo mật bị lỗi của CrowdStrike hôm 19.7 khiến nhiều chuyến bay bị gián đoạn, các đường dây cuộc gọi 911 gặp sự cố và bệnh nhân không thể truy cập hồ sơ y tế của họ. Song theo các điều khoản và điều kiện của mình, CrowdStrike không cần phải chi thêm gì ngoài việc hoàn tiền đơn giản nếu bị yêu cầu bồi thường.
Các điều khoản dành cho phần mềm bảo mật Falcon Sensor của CrowdStrike, được hàng chục ngàn công ty và cơ quan chính phủ trên toàn thế giới sử dụng, giới hạn trách nhiệm ở "phí đã thanh toán". Điều đó đồng nghĩa là nếu một công ty có yêu cầu bồi thường với CrowdStrike vì thiệt hại hoặc doanh thu bị mất cho doanh nghiệp của mình thì số tiền tối đa mà họ có thể thu hồi chỉ bằng số tiền từng trả cho CrowdStrike, theo Elizabeth Burgin Waller - Chủ tịch bộ phận Thực hành An ninh mạng & Quyền riêng tư dữ liệu tại hãng Woods Rogers. Theo đó, những người dùng CrowdStrike đã ký các điều khoản và điều kiện tiêu chuẩn không thể mong đợi nhận được nhiều hơn một khoản hoàn lại từ hãng an ninh mạng Mỹ này, Elizabeth Burgin Waller nói.
"Ngay cả khi CrowdStrike có đền bù cho doanh thu bị mất hoặc thời gian ngừng hoạt động, số tiền mà khách hàng có thể yêu cầu CrowdStrike bồi thường bị giới hạn ở mức phí mà khách hàng trả cho CrowdStrike. Nói cách khác, nếu đã trả khoản tiền nhất định cho CrowdStrike, mức tối đa mà các công ty có thể nhận được từ CrowdStrike chỉ bằng số tiền đó, không hơn. Đây là giới hạn trách nhiệm được quy định trong các điều khoản và điều kiện của CrowdStrike", Elizabeth Burgin Waller nói.
Các công ty lớn hơn sử dụng phần mềm của CrowdStrike, chẳng hạn một số hãng hàng không hoặc chuỗi bệnh viện bị ảnh hưởng, có thể đã đàm phán hợp đồng với điều khoản và điều kiện khác với hãng an ninh mạng Mỹ này. Những hợp đồng đó không được công khai và có thể có các điều khoản mà sẽ khiến CrowdStrike chịu trách nhiệm về nhiều thiệt hại hơn, Waller nói.
"Nếu là công ty lớn, bạn có thể đã đàm phán về điều đó", bà cho hay.
Đại diện CrowdStrike đã không ngay lập tức trả lời về cách hãng sẽ bồi thường ra sao theo các điều khoản và điều kiện của mình.
Muốn trang trải tất cả chi phí được trả để xử lý hậu quả do CrowdStrike gây ra (gồm thuê nhân viên CNTT cài đặt một bản cập nhật khác khắc phục sự cố trên các máy chạy Windows, năng suất lao động bị mất, khắc phục sự cố cho khách hàng và các chi phí pháp lý có thể xảy ra với công ty đại chúng cần nộp báo cáo chứng khoán liên quan các nhà đầu tư), hầu hết công ty sẽ phải chuyển sang nhà bảo hiểm mạng, Waller nói.
Theo Waller, hầu hết công ty dạng này đều có chính sách bảo hiểm "gián đoạn kinh doanh phụ thuộc". Những chính sách này cho phép các công ty thu hồi thiệt hại từ một số nhà bảo hiểm với các công ty an ninh mạng bên thứ ba mà họ phụ thuộc. Nếu sử dụng phần mềm Falcon Sensor để giám sát các mối đe dọa trên máy tính và gặp sự cố do bản cập nhật lỗi của CrowdStrike, các công ty có thể đủ điều kiện yêu cầu bồi thường từ hãng bảo hiểm của mình theo các chính sách này.
"Nếu các điều khoản và điều kiện của CrowdStrike đặt ra rào cản lớn, như việc chỉ có thể nhận được khoản hoàn lại tiền từ CrowdStrike, công ty cần xem xét đến chính sách bảo hiểm mạng của mình để tìm kiếm sự bồi thường", Waller nói.
Nhiều chính sách như vậy chỉ bảo hiểm các sự kiện độc hại như tấn công mạng, bà cho hay.
"Chúng ta chỉ gặp một sự cố phần mềm. Vì vậy, tôi nghĩ chúng ta sẽ thấy các vụ kiện chống lại các nhà bảo hiểm an ninh mạng trong nhiều năm tới về sự máy tính toàn cầu này. Đây là một vấn đề lớn. Từ quan điểm bảo hiểm mạng, tôi nghĩ điều đó cũng sẽ tạo ra nhiều tranh chấp pháp lý về những gì được bảo hiểm và những gì được dự định theo các chính sách khác nhau này", Waller nói.
CrowdStrike có thể đối mặt các vụ kiện từ cổ đông, khách hàng muốn cố gắng bồi thường nhiều hơn và có khả năng là cuộc điều tra từ Ủy ban Giao dịch và Chứng khoán Mỹ (SEC), Waller nói.
CrowdStrike sẽ phải nộp báo cáo 8-K trong vài ngày tới với SEC, trong đó trình bày điều gì đã xảy ra với bản cập nhật Falcon Sensor. Báo cáo 8-K (báo cáo sự kiện hiện hành) là loại báo cáo bắt buộc được nộp lên SEC bởi các công ty đại chúng, tiết lộ các sự kiện quan trọng có thể ảnh hưởng đến tình hình tài chính hoặc giá trị cổ phiếu của công ty.
Thật trùng hợp khi sự cố của CrowdStrike diễn ra một ngày sau khi phán quyết lớn từ một thẩm phán liên bang ở quận Manhattan (thành phố New York, Mỹ) có lợi cho SolarWinds (hãng an ninh công nghệ bị hack trong một chiến dịch gián điệp mạng của Nga vào năm 2020) ở vụ kiện do SEC khởi xướng.
SEC cáo buộc SolarWinds không cập nhật đủ thông tin cho các nhà đầu tư và công chúng về quy mô lớn của hậu quả từ vụ hack này. Thế nhưng, thẩm phán Paul Engelmayer đã phán quyết hôm 18.7 rằng SolarWinds không cần cung cấp "mức độ chi tiết tối đa" mà SEC yêu cầu.
Phán quyết đó mang lại một chút thời gian cho CrowdStrike (công ty với vốn hóa thị trường 74,22 tỉ USD, phục vụ gần 30.000 khách hàng toàn cầu) có trách nhiệm cập nhật cho các nhà đầu tư và công chúng về những gì đã xảy ra, nhưng lo lắng ít hơn về việc cung cấp chi tiết bao nhiêu.
"Bạn cần truyền đạt mức độ nghiêm trọng của những gì đang xảy ra, nhưng chúng ta không cần quá lo lắng đến các chi tiết cụ thể hoặc những gì chúng ta không biết", Waller nói.
Lý do bản cập nhật phần mềm Falcon Sensor có thể đánh sập hàng loạt máy tính toàn cầu
Các chuyên gia bảo mật cho biết bản cập nhật thông thường cho phần mềm an ninh mạng được sử dụng rộng rãi của CrowdStrike, khiến hệ thống máy tính khách hàng bị treo toàn cầu hôm 19.7, dường như không trải qua kiểm tra chất lượng đầy đủ trước khi được triển khai.
Phiên bản mới nhất phần mềm Falcon Sensor của CrowdStrike nhằm mục đích giúp hệ thống khách hàng an toàn hơn trước hacker bằng cách cập nhật các mối đe dọa mà công ty bảo vệ chống lại. Thế nhưng, mã lỗi trong các file cập nhật đã dẫn đến một trong những sự cố sập lan rộng nhất những năm gần đây với các công ty sử dụng hệ điều hành Windows của Microsoft.
CrowdStrike đã công bố thông tin để khắc phục các hệ thống bị ảnh hưởng, nhưng một số chuyên gia cho biết việc đưa chúng trở lại trực tuyến sẽ mất thời gian vì phải loại bỏ mã sai sót theo cách thủ công.
Các vấn đề xuất hiện nhanh chóng sau khi bản cập nhật được triển khai hôm 19.7 và người dùng đã đăng ảnh trên mạng xã hội về các máy tính có màn hình xanh hiển thị thông báo lỗi.
Patrick Wardle, nhà nghiên cứu bảo mật chuyên nghiên cứu các mối đe dọa chống lại hệ điều hành, nói phân tích của ông đã xác định được mã gây ra sự cố này.
"Vấn đề của bản cập nhật nằm trong một file chứa thông tin cấu hình hoặc chữ ký", ông nói. Chữ ký như vậy là mã để phát hiện các loại mã độc hoặc phần mềm độc hại cụ thể.
"Việc các sản phẩm bảo mật được cập nhật chữ ký là điều rất bình thường, chẳng hạn như mỗi ngày một lần, vì công ty liên tục theo dõi phần mềm độc hại mới và muốn đảm bảo rằng khách hàng của họ được bảo vệ khỏi các mối đe dọa mới nhất", Patrick Wardle nói.
"Tần suất cập nhật cao có lẽ là lý do tại sao CrowdStrike đã không kiểm tra nó nhiều", ông cho hay.
Không rõ mã lỗi đó đã lọt vào bản cập nhật như thế nào và tại sao nó không được phát hiện trước khi phát hành cho khách hàng.
"Lý tưởng nhất là bản cập nhật này sẽ được triển khai cho một nhóm hạn chế trước. Đó là cách tiếp cận an toàn hơn để tránh một mớ hỗn độ lớn như thế này", John Hammond, nhà nghiên cứu bảo mật chính tại hãng Huntress Labs, bình luận.
Các công ty bảo mật khác cũng đã gặp sự cố tương tự trong quá khứ. Bản cập nhật phần mềm chống virus có lỗi của McAfee vào năm 2010 đã khiến hàng trăm ngàn máy tính bị đình trệ.
Thế nhưng, tác động toàn cầu từ sự cố lần này phản ánh sự thống trị của CrowdStrike trên thị trường an ninh mạng. Hơn một nửa số công ty trong Fortune 500 và nhiều cơ quan chính phủ, gồm cả Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ, sử dụng phần mềm của CrowdStrike.
Theo Bloomberg, Falcon Sensor cung cấp khác biệt với các phần mềm bảo mật cũ. Phần mềm chống virus kiểu truyền thống tỏ ra rất hữu ích trong thời khai sinh của máy tính và internet nhờ khả năng truy lùng các dấu hiệu của phần mềm độc hại. Tuy nhiên, chúng không còn được ưa chuộng khi các cuộc tấn công ngày càng tinh vi.
Giờ đây, các phần mềm “phát hiện và phản hồi các mối nguy hại điểm cuối” mà CrowdStrike phát triển có nhiều tiềm năng hơn. Chúng liên tục quét máy tính để tìm tất cả dấu hiệu hoạt động đáng ngờ và tự động phản hồi. Song để làm được điều này, các phần mềm này phải được cấp quyền truy cập, đi sâu vào bên trong hệ điều hành máy tính, tìm các lỗi bảo mật. Quyền truy cập này chính là con dao 2 lưỡi bởi cũng có thể phá hỏng chính những hệ thống đang được bảo vệ. Đây cũng chính là cách hệ thống máy tính Windows đồng loạt sập diện rộng vào ngày 19.7.
Đại diện của CrowdStrike đã xác nhận rằng một bản cập nhật Falcon Sensor đã đánh sập hàng triệu máy tính Windows của các công ty và chính phủ trên khắp thế giới, gây ra “màn hình xanh chết chóc”.
Công ty cho rằng sự cố này là do “lỗi xuất hiện trong bản cập nhật dành cho máy chủ Windows”. CrowdStrike cũng khẳng định sự cố không phải do tấn công mạng hay xâm phạm an ninh.
CrowdStrike là hãng công nghệ an ninh mạng Mỹ có trụ sở tại thành phố Austin (bang Texas), cung cấp các giải pháp bảo mật cho người dùng và doanh nghiệp. Công ty được thành lập năm 2011 bởi George Kurtz, Dmitri Alperovitch và Gregg Marston, hoạt động trong lĩnh vực lĩnh vực bảo mật mạng, bảo vệ điểm cuối (endpoint security), bảo mật đám mây (cloud security), phản ứng tấn công mạng (cyber incident response).
CrowdStrike được biết đến với các giải pháp bảo mật điểm cuối tiên tiến, sử dụng công nghệ trí tuệ nhân tạo (AI) để phát hiện và ngăn chặn các mối đe dọa mạng một cách hiệu quả.
Falcon Sensor có chức năng theo dõi một cách chi tiết những hoạt động đang diễn ra trên máy tính, giúp tìm kiếm những hoạt động bất thường, độc hại và chặn các mối đe dọa này. Phần mềm này của CrowdStrike từng được dùng để điều tra vụ hack Sony Pictures vào năm 2014, dẫn đến việc tiết lộ loạt dữ liệu bí mật từ hãng phim. Falcon Sensor còn xuất hiện khi điều tra vụ hack Ủy ban Quốc gia đảng Dân chủ vào năm 2016, làm lộ email của bà Hillary Clinton...
CrowdStrike phục vụ khoảng 29.000 khách hàng và có doanh thu hàng năm khoảng 4 tỉ USD.
Các nhà cung cấp nền tảng đám mây lớn hợp tác với CrowdStrike gồm Microsoft Azure, Google Cloud của Alphabet và Amazon Web Services.
Theo công ty nghiên cứu thị trường IDC, CrowdStrike kiểm soát 18% trong thị trường phần mềm bảo mật điểm cuối trị giá 12,6 tỉ USD, chỉ đứng sau Microsoft (có 25,8% thị phần).