“البجعة السوداء” تحلق في السماء: العواقب القانونية لحادثة “كراود سترايك”
يتطلب الاعتراف العام بالفشل شجاعة. في محاولة للحد من الضرر الذي قد يلحق بسمعة شركته للأمن السيبراني، قال رئيس شركة CrowdStrike مايكل سينتوناس لقد أظهر الجرأة بالتأكيد من خلال قبول جائزة الفشل الأكثر مأساوية في حفل توزيع جوائز Pwnie Awards الأخير، يبدو أن هذا التكتيك نجح: فقد رحب الحاضرون في حدث DEF CON بسينتوناس لاعترافه علنًا بأخطاء شركته.
وقال سينتوناس في خطاب قبوله للوفود: “بالتأكيد ليست الجائزة التي نفخر بتلقيها. أعتقد أن الفريق فوجئ عندما قلت على الفور إنني سأحضر وأحصل عليها لأننا ارتكبنا خطأ فادحًا. لقد قلنا ذلك عدة مرات مختلفة ومن المهم للغاية أن نعترف بذلك عندما نفعل الأشياء بشكل جيد. من المهم للغاية أن نعترف بذلك عندما نفعل الأشياء بشكل خاطئ للغاية، وهو ما فعلناه في هذه الحالة”.
ولكن إلى جانب هذه الخطوة الذكية في مجال العلاقات العامة، فإن إرث حادثة CrowdStrike إن الأمر خطير للغاية. ففي التاسع عشر من يوليو/تموز، شهد العالم واحدة من أكبر حالات انقطاع خدمات تكنولوجيا المعلومات على الإطلاق عندما أدى تحديث برمجي معيب لجهاز فحص الثغرات الأمنية في Crowdstrike، Falcon Sensor، إلى 8.5 مليون نظام تشغيل يعمل بنظام التشغيل Microsoft Windows معرض للتعطلعلى مستوى العالم، تعطلت البنية التحتية لتكنولوجيا المعلومات، مما أدى إلى إحداث الفوضى والخسائر المالية للأفراد والمنظمات.
الحدث الأكثر خطورة منذ هجوم إلكتروني NotPetya في عام 2022كان تأثيرها هائلاً: فقد تسبب التحديث الخاطئ في انقطاعات عالمية لأجهزة الكمبيوتر مما أدى إلى تعطيل السفر الجوي والخدمات المصرفية والبث والفنادق والمستشفيات وغيرها من الخدمات الحيوية. وتقدر الخسائر المؤمن عليها بأكثر من 10 مليارات دولار؛ وقد تكون الخسائر الفعلية أكبر بكثير في ظل غياب التغطية التي تؤثر على آلاف الشركات الصغيرة والمتوسطة الحجم.
إن تحديد المسؤوليات المترتبة على هذا الأمر سوف يعتمد على مسألة القدرة على التنبؤ. فالعديد من الأفراد كانوا ليدركوا أن هذا البرنامج يشكل أهمية بالغة بالنسبة للمؤسسات المترابطة والمعتمدة على بعضها البعض في مختلف أنحاء العالم، وأنهم سوف يتأثرون بشكل خطير بأي تحديث معيب. ومن الواضح إذن أن البائعين لابد وأن يطبقوا الإجراءات الكافية لتحديث البرامج، والتي تتضمن كيفية تطوير كل تحديث واختباره قبل توزيعه على المستخدمين.
هل كان CrowdStrike حدثًا “البجعة السوداء”؟
فهل كان هذا الحدث بمثابة “البجعة السوداء” ـ حدثاً غير متوقع يتجاوز ما يمكن توقعه بشكل معقول؟ إن مثل هذه الأحداث تتسم عادة بندرتها، وشدة تأثيرها، والتصور العام بأنها كانت واضحة بعد فوات الأوان.
إن الآراء منقسمة حول ما إذا كانت الأحداث مثل CrowdStrike أصبحت في الواقع أكثر شيوعاً، وبالتالي أكثر قابلية للتنبؤ. من المؤكد أن المبدعين الذين يجربون بطريقة عشوائية هم أكثر عرضة لزيادة حدوث مثل هذه الأحداث، مما يجعلها أقل قابلية للتنبؤ. قد تؤدي القيود إلى خنق الإبداع، ولكن المبدعين الذين يفشلون في اتخاذ خطوات احترازية كافية لمنع الأحداث المتوقعة قد يواجهون أيضاً عواقب قانونية خطيرة.
سوف يحتدم الجدل حول عمليات الاختبار التي ينبغي أن تكون إلزامية لمن يطلقون تحديثات الأمن السيبراني، وخاصة عندما يكون إصدار هذه التحديثات بسرعة ضروريًا للحماية من التهديدات السيبرانية الجديدة. عند شرح نقاط الضعف المحتملة في الأنظمة المختلفة، يشير المعلقون في صناعة تكنولوجيا المعلومات دائمًا إلى أن مثل هذه التحديثات قد تكون ضرورية لإطلاقها عدة مرات في اليوم.
وعلى نحو مماثل، قد يتم تحديث أنظمة أخرى مترابطة عدة مرات في اليوم بحيث تتلقى الأجهزة التحديثات بترتيب أو جدول زمني مختلف. ويزعم المعلقون أن العالم الحقيقي لا يمكنه توفير بيئة اختبار مثالية، وإذا حدث خطأ في التحديثات، فيمكن توقع التعرض لأطراف ثالثة ورابعة إلى جانب التداعيات المحتملة لسلسلة التوريد. ومن وجهة نظر المحامي، فإن هذا النهج “الخنزير الغيني” للتكنولوجيا يخلق سيناريو كابوسيًا من الدعاوى الجماعية المحتملة.
خطر نقاط الفشل الفردية
تتضاعف المخاطر بشكل أكبر مع أي تقنية تتمتع بحصة سوقية بارزة أو مهيمنة. هنا، هناك احتمالات نقاط الفشل الفردية يمكن أن يؤدي ذلك إلى أحداث منهجية تؤدي في النهاية إلى ظهور مطالبات متزامنة من عدد كبير جدًا من المطالبين: يمكن أن يؤدي أي خلل صغير إلى توقف البنية التحتية العالمية لتكنولوجيا المعلومات.
إن نقطة الفشل الوحيدة هذه قد تخلف تأثيراً واسع النطاق بشكل غير عادي مع خسائر تراكمية كارثية محتملة. ومن منظور قانوني، تثار تساؤلات حول التخفيف من مخاطر نقطة الفشل الوحيدة في سلسلة توريد تكنولوجيا المعلومات العالمية المعقدة، وما إذا كانت هذه المخاطر يتم تقييمها بشكل كاف.
كما تنشأ أيضًا قضايا الوكالة والتفويض. فالأمن الذي يمثله النظام عند الاتصال قد لا يمنع تجميد النظام فحسب، بل قد يفتحه أيضًا للهجوم. ومن حيث النطاق والحجم، كان التأثير الصافي لانقطاع CrowdStrike معادلاً لهجوم على سلسلة توريد عالمية من قبل جهة خبيثة.
ولعل المشكلات التي واجهتنا نتيجة لهجمات NotPetya وغيرها من الهجمات الإلكترونية الخبيثة تنبئنا بالتأثير الذي قد تحدثه الأحداث الإلكترونية المستقبلية.
هل كان من الممكن أن ترفض مايكروسوفت التحديث؟
ومن المهم أيضًا أن نأخذ في الاعتبار العلاقة بين CrowdStrike ومايكروسوفت. وعلى وجه الخصوص، هناك تساؤل حول ما إذا كان نظام التشغيل الخاص بشركة مايكروسوفت قادرًا على رفض التحديث والعودة إلى إصدار سابق. وإذا كان الأمر كذلك، فلماذا لم يحدث ذلك؟
ورغم أنه من غير الواضح كيف يمكن لنظام مايكروسوفت العودة إلى الإصدار السابق من أجل تحقيق هذه النتيجة، فإن خبراء الذكاء الاصطناعي يذكروننا باستمرار بأن النظام يمكن مقارنته بدماغ خارق يضبط نفسه لحل المشكلات. وإذا كان هذا صحيحا، فهل لا يزال الدماغ الخارق يعمل أم أننا نستمع إلى خبراء الذكاء الاصطناعي الخطأ؟
في الآونة الأخيرة مدونةويشير المعلقون في الصناعة إلى تعليقات مايكروسوفت بشأن تحدي البائعين الخارجيين دفع التحديثات التي تعمل في نظام التشغيل منخفض المستوى. يقترحون إجراء تغييرات بحيث تعمل تطبيقات الطرف الثالث على مستوى أعلى في نظام التشغيل، مما يسهل تحدي إدارة مثل هذه المشكلات: على سبيل المثال، القدرة على رفض التحديثات التي تسبب شاشات زرقاء والحاجة إلى العودة إلى الإصدار السابق.
الأعطال المتوقعة
في مختلف أنحاء قطاع تكنولوجيا المعلومات، يزعم البعض أن الكارثة كان من الممكن تجنبها من خلال إجراء اختبارات أكثر صرامة لتحديثات الأمان وتوزيع التحديثات على مجموعات أصغر أو “حلقات” ترقية. ومن منظور قانوني، من المستحيل تجاهل حقيقة مفادها أن كل شيء يبدو متوقعًا للغاية، وخاصة في ضوء المناقشات التي لا تنتهي على مدى سنوات عديدة حول الشاشات الزرقاء المروعة.
ونظراً لتعقيد ممارسات الصناعة وحداثتها (وقابليتها للتنبؤ)، إلى جانب حجم المخاطر المصاحبة (بما في ذلك الحقوق والالتزامات القانونية)، يجب على قطاع تكنولوجيا المعلومات أن يولي اهتماما كاملا بمسؤولياته في منع المزيد من الخسائر الكارثية الناتجة عن الفشل النظامي ومخاطر الأمن السيبراني.
هيرميس مارانجوس هو شريك في التقاضي بالتوقيع