全球大當機代價…10億損失誰埋單 CrowdStrike恐被告

網路安全服務供應商「CrowdStrike」19日的例行安全更新造成全球微軟(Microsoft)系統大當機，高達10億元的損失代價由誰埋單？

有線電視新聞網(CNN)引述網路安全專家說法報導，這宗「史上最大規模的資訊科技(Information Technology, IT)中斷」事件造成全球5000多個商業航班取消，打亂零售、物流、醫院手術等業務，造成營收與生產力損失且浪費眾人的時間。

CrowdStrike軟體例行更新出包，卻花費更多時間亡羊補牢，許多系統的修復時間費時數日。CrowdStrike已公開道歉，卻未提及損害賠償。

專家表示，CrowdStrike的客戶可能提出求償或告上法院。韋德布希證券公司(Wedbush Securities)分析師艾夫斯(Dan Ives)說：「CrowdStrike的律師可能無法繼續享受夏日時光。」

專家普遍認為，目前推敲19日全球網路癱瘓的代價為時過早，但安德森經濟集團(Anderson Economic Group, AEG)執行長安德森(Patrick Anderson)表示，此次事件的代價很容易就突破10億元。

安德森經濟集團估計，為汽車銷售軟體供應商「CDK Global」最近遭駭客攻擊造成的損失已達10億元；該次延宕的時間長達三周，但僅限於單一產業。安德森說：「CrowdStrike造成的全球當機影響更多消費者和企業，從輕微不便道服務中斷，這讓他們必須自掏腰包收拾爛攤子。」

安德森解釋，航班取消造成的營收損失，以及嚴重延誤飛機產生的額外勞動力和燃油成本，這對航空業而言，成本特別高。

CrowdStrike在網路安全領域盤踞主導地位，但該公司的年收入未達40億元。

但也有專家認為，CrowdStrike的客戶合約可能會受法律保護，使其毋須承擔責任。

華府智庫「戰略與國際研究中心」(CSIS)研究員路易斯(James Lewis)說：「我猜，這些合約會保護CrowdStrike。」

路易斯指出，證券管理委員會對軟體公司「SolarWinds」的指控案件18日遭主審法官駁回，此案涉及2020年底俄羅斯對聯邦政府機構的駭客攻擊。路易斯說，「SolarWinds」僅因沒有揭露其系統對外部駭客攻擊的弱點而面臨指控，而非其行動造成的損失；法官駁回案件，「SolarWinds」勝訴。