全球大當機代價…10億損失誰埋單 CrowdStrike恐被告
網路安全服務供應商「CrowdStrike」19日的例行安全更新造成全球微軟(Microsoft)系統大當機,高達10億元的損失代價由誰埋單?
有線電視新聞網(CNN)引述網路安全專家說法報導,這宗「史上最大規模的資訊科技(Information Technology, IT)中斷」事件造成全球5000多個商業航班取消,打亂零售、物流、醫院手術等業務,造成營收與生產力損失且浪費眾人的時間。
CrowdStrike軟體例行更新出包,卻花費更多時間亡羊補牢,許多系統的修復時間費時數日。CrowdStrike已公開道歉,卻未提及損害賠償。
專家表示,CrowdStrike的客戶可能提出求償或告上法院。韋德布希證券公司(Wedbush Securities)分析師艾夫斯(Dan Ives)說:「CrowdStrike的律師可能無法繼續享受夏日時光。」
專家普遍認為,目前推敲19日全球網路癱瘓的代價為時過早,但安德森經濟集團(Anderson Economic Group, AEG)執行長安德森(Patrick Anderson)表示,此次事件的代價很容易就突破10億元。
安德森經濟集團估計,為汽車銷售軟體供應商「CDK Global」最近遭駭客攻擊造成的損失已達10億元;該次延宕的時間長達三周,但僅限於單一產業。安德森說:「CrowdStrike造成的全球當機影響更多消費者和企業,從輕微不便道服務中斷,這讓他們必須自掏腰包收拾爛攤子。」
安德森解釋,航班取消造成的營收損失,以及嚴重延誤飛機產生的額外勞動力和燃油成本,這對航空業而言,成本特別高。
CrowdStrike在網路安全領域盤踞主導地位,但該公司的年收入未達40億元。
但也有專家認為,CrowdStrike的客戶合約可能會受法律保護,使其毋須承擔責任。
華府智庫「戰略與國際研究中心」(CSIS)研究員路易斯(James Lewis)說:「我猜,這些合約會保護CrowdStrike。」
路易斯指出,證券管理委員會對軟體公司「SolarWinds」的指控案件18日遭主審法官駁回,此案涉及2020年底俄羅斯對聯邦政府機構的駭客攻擊。路易斯說,「SolarWinds」僅因沒有揭露其系統對外部駭客攻擊的弱點而面臨指控,而非其行動造成的損失;法官駁回案件,「SolarWinds」勝訴。
留言