في 19 يوليو، تم العثور على خطأ في إصدار جديد كراود سترايك أدى إصدار البرنامج إلى ظهور “شاشة الموت الزرقاء” التي تسببت في 8.5 مليون نظام مهدد بالانهياروقد تكون هذه الهجمات قد كلفت شركات فورتشن 500 ما يصل إلى 5.4 مليار دولار من العائدات المفقودة والأرباح الإجمالية، وفقًا لشركة بارامتركس، وهي شركة تقدم خدمات التحليلات والتأمين. كما تقدر بارامتركس أن 10-20% فقط من الشركات المتضررة ستكون مشمولة بالتأمين السيبراني.
وبمجرد تخفيف وطأة الكارثة، كان رد الفعل التلقائي من جانب الشركات هو مراجعة عقودها ومحاولة معرفة ما إذا كان بوسعها تعويض الخسائر التي تكبدتها، وقد أصيب العديد منها بخيبة الأمل. ولكن ما وجدته هو أن البنود الصغيرة في العقود التي وقعتها كانت تستبعدها من التعويضات التي كانت تريدها.
البنود الصغيرة في عقود البائعين
عندما تحدث خسائر مالية وسمعية ناجمة عن البائعين، فإن فهم ما سيغطيه البائعون وما لن يغطيوه يعد قضية بالغة الأهمية، خاصة مع تحول المزيد من المؤسسات إلى تكنولوجيا المعلومات إلى السحابة. ومع ذلك، فإن القليل من أقسام تكنولوجيا المعلومات تتوقف عن النظر في استثناءات الطباعة الدقيقة التعاقدية للمسؤولية عندما توقع عقود السحابة. في الواقع، في عملي الخاص مع الشركات، اكتشفت العديد من الشركات الصغيرة والمتوسطة الحجم (SMBs) على وجه الخصوص التي لا تستطيع حتى العثور على عقود البائعين الأصلية الخاصة بها!
إن ما تنص عليه البنود الدقيقة في التعامل مع السحابة وغيرها من شركات تكنولوجيا المعلومات عادة هو أن الشركة ستبذل “أقصى جهد” أثناء وقوع كارثة أو انقطاع. كما تعفي الشركة نفسها من المسؤولية عن انقطاع التيار في حالة وقوع ما يسميه القانون “أحداث القوة القاهرة” التي تقع خارج سيطرة الشركة، مثل الكوارث الطبيعية والحرب وما إلى ذلك. وتعهد الشركة بممارسة “الاجتهاد” و”العناية الواجبة” في عملياتها، على الرغم من عدم وجود معايير موحدة في صناعة البرمجيات توضح بشكل قاطع ما هي معايير الاجتهاد والعناية الواجبة.
الآن، دعونا نلقي نظرة على ما حدث في انقطاع CrowdStrike.
في تحديث لمنتج الشركة، وهو برنامج اكتشاف نقاط النهاية والاستجابة الذي يراقب نشاط الكمبيوتر ويبحث عن علامات البرامج الضارة، قامت CrowdStrike بتعديل تكوينات المستشعر، وأدت التعديلات عن غير قصد إلى حدوث خطأ منطقي أدى إلى تعطل النظام وظهور شاشات زرقاء (BSODs) على الأنظمة المتأثرة. أوضحت CrowdStrike أن تحديثًا من هذا النوع كان ممارسة روتينية، وأن الخطأ كان غير مقصود وغير متوقع، وأن الخطأ المنطقي تم إصلاحه على وجه السرعة، وأن CrowdStrike كانت تقوم بإصلاح خطأ منطقي. تحليل مفصل للسبب الجذري لرؤية كيف يمكن أن يحدث الخطأ في المقام الأول.
هل تستطيع مقاضاة أحد؟
يمكن لأي شخص أن يرفع دعوى قضائية للمطالبة بالتعويض عن خسائر اقتصادية ملموسة، ولكن النجاح في مثل هذه الدعوى القضائية بسبب خلل في البرمجيات يظل سؤالاً مفتوحاً يكافح قطاع المحاماة والقطاع الخاص والقطاع العام للإجابة عليه.
من الناحية القانونية، قد يتم متابعة نظريات المسؤولية الصارمة عن المنتج أو الإهمال، ولكن هل ستنجح؟
في عام 2023، إدارة بايدن الاستراتيجية الوطنية للأمن السيبرانيوطالبت اللجنة بإصدار تشريعات وإجراءات من جانب الوكالات المختصة لتحويل المسؤولية عن البرامج غير الآمنة إلى منتجي البرامج الذين يفشلون في اتخاذ “الاحتياطات المعقولة”. ومع ذلك، لا يوجد حتى الآن أساس ثابت لمقاضاة مطوري البرامج بسبب وجود ثغرات في البرامج.
“هناك العديد من الأسباب التي جعلت البرمجيات تفلت إلى حد كبير من المسؤولية حتى الآن”، هذا ما ذكره أحد المنشورات على فقط الأمن“إن منتدى الإنترنت لتحليل الأمن والديمقراطية والسياسة الخارجية والحقوق، هو منتدى غير رسمي. “أولاً، إن جميع تراخيص البرمجيات تقريباً، تلك الصفحات من النصوص التي يتصفحها المستخدمون بلا تفكير، تتنصل من مسؤولية المنتج. بالإضافة إلى ذلك، لا يوجد معيار قانوني معترف به على نطاق واسع يفصل بين ممارسات تطوير البرمجيات الآمنة وغير الآمنة… وإذا أخذنا هذا في الاعتبار، من الناحية القانونية، فإن هذا يعني أن مصنعي البرمجيات ليس لديهم قواعد واضحة. واجب لإصلاح الأخطاء؛ لا يوجد حل ثابت معيار الرعاية “ويجب على المستخدمين الالتزام بها؛ ولا يمكن للمستخدمين دائمًا إدراك وقوع أي ضرر، ولا تكون المحكمة مستعدة دائمًا للاعتراف بذلك.”
وأفضل ما يمكن فعله في هذه الظروف هو التحدث مع البائع ومعرفة ما يمكن تقديمه من تعويضات للأضرار في شكل خصومات على الأسعار واعتبارات أخرى، وهو ما يكون العديد من البائعين على استعداد للقيام به من أجل الحفاظ على حسن النية.
هل يمكنك الحصول على بوليصة التأمين السيبراني الخاصة بك للدفع؟
هناك العديد من أنواع التأمين السيبراني المتاحة للمؤسسات. يغطي بعضها الأضرار التي تلحق بالطرف الأول، مثل بياناتك، بما في ذلك معلومات الموظفين والعملاء. يغطي بعضها المسؤولية تجاه الطرف الثالث مثل عندما يرفع شخص دعوى قضائية ضدك بسبب خرق إلكتروني؛ ويغطي بعضها الهجمات الإلكترونية على بياناتك التي يحتفظ بها البائعون، وفقًا لـ لجنة التجارة الفيدراليةومع ذلك، فإن المسؤولية السيبرانية عن أخطاء البرامج مثل تلك التي حدثت في CrowdStrike تشكل منطقة رمادية.
“سيتعين على حاملي الوثائق البحث عن بنود تأمين توفر تغطية لـ “”أعطال النظام”” أو ما شابه ذلك،”” وفقًا لـ قانون ستيوارتس“إن الخطر الذي يحمل تعريفًا واسعًا، مثل “”الانقطاع غير المقصود وغير المخطط له لأنظمة الكمبيوتر””، يوفر تغطية واسعة قد تمتد إلى حادثة CrowdStrike؛ ومع ذلك، فقد يشمل استثناءات لفشل النظام الناجم عن هجمات ضارة أو خروقات أمنية أخرى.”
الوجبات الجاهزة
إذا كان من المقرر الحصول على تعويضات في الدعاوى القضائية، فإن أفضل من يمكنه الحصول عليها هي الشركات الكبيرة التي تتمتع بالقدرة على إملاء شروط العقود التي تتجاوز ما تقدمه العقود العامة للبائعين. لا تتمتع الشركات الصغيرة والمتوسطة الحجم بهذا النوع من النفوذ، لذا فإن أفضل ما يمكنها فعله هو قراءة الطباعة الدقيقة للعقد وتحديد مجموعة من اتفاقيات مستوى الخدمة (SLA) التي يمكن إرفاقها ودمجها كملحقات للعقد العام، والتي تصف مستويات الأداء والعناية الواجبة المتوقعة من البائع في مجالات مثل متوسط الوقت اللازم للتعافي، ومتطلب اختبار التعافي من الكوارث والتعافي من الفشل سنويًا، وما إلى ذلك.
ينبغي للشركات الصغيرة والمتوسطة الحجم أيضًا التحقق من ملفاتها للتأكد من وجود نسخ من العقود لكل بائع تتعامل معه. إذا كان العقد مفقودًا، فاطلب من البائع نسخة.
أخيرًا، هناك تذكير للشركات التي تتعامل مع بائعي تطبيقات SaaS مثل إدارة علاقات العملاء (CRM)، والتي بدورها تستعين بمزود سحابي تابع لجهة خارجية لاستضافة منصاتها. إذا حدث انقطاع في النظام الأساسي بسبب مزود السحابة الأساسي، فلن يكون هناك الكثير من الإجراءات التي يمكنك اتخاذها ضد مزود السحابة الأساسي لأن شركتك ليست في “خصوصية” (عقد مباشر) مع بائع السحابة.
لا تزال هذه المجموعة من القضايا القانونية التي تؤثر على كيفية تعامل تكنولوجيا المعلومات مع شركات الحوسبة السحابية وغيرها من شركات التكنولوجيا في المراحل الأولى من المراجعة القانونية، وتحاول الحكومة، على حد قولها، معالجتها. وفي الوقت نفسه، فإن أفضل ممارسة هي التأكد من أن لديك جميع عقودك في الملف، وأنك تتمتع بحماية التأمين السيبراني، وأنك لا توقع عقدًا مع أي بائع دون قراءة البنود الصغيرة أولاً.
