La admisión pública del fracaso requiere valentía. Al tratar de limitar el daño a la reputación de su empresa de ciberseguridad, el presidente de CrowdStrike, Michael Sentonas, ciertamente demostró descaro al aceptar un premio al fracaso más épico en los recientes premios Pwnie Awards. La táctica parece haber funcionado: Sentonas fue aplaudido por los asistentes al evento DEF CON por reconocer públicamente los errores de su empresa.
“Definitivamente no es un premio del que estar orgulloso de recibirlo”, dijo Sentonas a los delegados en su discurso de aceptación. “Creo que el equipo se sorprendió cuando dije de inmediato que vendría a buscarlo porque nos equivocamos terriblemente. Lo hemos dicho varias veces diferentes y es muy importante reconocerlo cuando se hacen las cosas bien. Es muy importante reconocerlo cuando haces cosas terriblemente mal, como hicimos en este caso”.
Pero más allá de esta astuta medida de relaciones públicas, el legado del incidente de CrowdStrike es tremendamente serio. El 19 de julio, el mundo experimentó una de las mayores interrupciones de TI de la historia cuando una actualización de software defectuosa del escáner de vulnerabilidades de Crowdstrike, Falcon Sensor, provocó que 8,5 millones de sistemas que ejecutaban Microsoft Windows fallaran. A nivel mundial, la infraestructura de TI falló, generando estragos y pérdidas financieras para personas y organizaciones.
El evento de este tipo más grave desde el ciberataque NotPetya en 2022, su impacto fue enorme: la actualización defectuosa provocó cortes informáticos globales que interrumpieron los viajes aéreos, la banca, la radiodifusión, los hoteles, los hospitales y otros servicios vitales. Se estima que las pérdidas aseguradas ascienden a más de 10.000 millones de dólares; Las pérdidas reales pueden ser mucho mayores debido a la falta de cobertura que afecta a miles de PYME.
Para determinar dónde recae la responsabilidad será fundamental la cuestión de la previsibilidad. Muchas personas habrían sabido que este software era fundamental para las organizaciones interconectadas y dependientes de todo el mundo y que se verían gravemente afectadas por una actualización defectuosa. Por lo tanto, es evidente que los proveedores deben contar con procedimientos adecuados para actualizar el software, que incluyan cómo se desarrolla y prueba cada actualización antes de distribuirla a los usuarios.
¿Fue CrowdStrike un evento del ‘Cisne Negro’?
Entonces, ¿fue este un evento del Cisne Negro, impredecible más allá de lo que razonablemente podría esperarse? Estos acontecimientos suelen caracterizarse por su rareza, la gravedad de su impacto y la percepción general de que eran obvios en retrospectiva.
La opinión está dividida sobre si eventos como CrowdStrike se están volviendo, de hecho, más comunes y, por lo tanto, más predecibles. Ciertamente, los innovadores que experimentan de manera desordenada tienen más probabilidades de aumentar la incidencia de tales eventos, haciéndolos menos impredecibles. Las restricciones pueden sofocar la creatividad, pero los innovadores que no toman las medidas de precaución adecuadas para evitar eventos predecibles también pueden enfrentar graves consecuencias legales.
Se debatirá sobre qué procesos de prueba deberían ser obligatorios para quienes lanzan actualizaciones de ciberseguridad, especialmente cuando publicar estas actualizaciones a gran velocidad es necesario para proteger contra nuevas amenazas cibernéticas. Al explicar la vulnerabilidad potencial de diferentes sistemas, los comentaristas de la industria de TI invariablemente señalan que es posible que dichas actualizaciones deban iniciarse varias veces al día.
De manera similar, otros sistemas interdependientes también pueden actualizarse varias veces al día y los dispositivos reciben actualizaciones en un orden o escala de tiempo diferente. Los comentaristas argumentan que el mundo real no puede ofrecer un entorno de prueba perfecto, y si las actualizaciones salen mal, se puede esperar exposición de terceros y cuartos junto con posibles consecuencias en la cadena de suministro. Desde la perspectiva de un abogado, este enfoque de “conejillo de indias” hacia la tecnología crea un escenario de pesadilla con posibles demandas colectivas.
Riesgo de puntos únicos de falla
Los riesgos se ven amplificados aún más por cualquier tecnología que tenga una participación de mercado prominente o dominante. En este caso, los posibles puntos únicos de falla pueden dar lugar a eventos sistémicos que, en última instancia, producen reclamaciones simultáneas de un gran número de demandantes: un pequeño engranaje deficiente puede detener la infraestructura global de TI.
Un punto único de falla de este tipo puede tener un impacto extraordinariamente amplio con pérdidas acumulativas potencialmente catastróficas. Desde una perspectiva legal, surgen preguntas sobre la mitigación de los riesgos de un único punto de falla en una cadena de suministro de TI global y compleja, y si estos riesgos se evalúan adecuadamente.
También surgen cuestiones de agencia y delegación. La seguridad representada de un sistema al interactuar puede no solo bloquear y congelar el sistema, sino también abrirlo a ataques. En alcance y escala, el efecto neto de la interrupción de CrowdStrike fue equivalente a un ataque a una cadena de suministro global por parte de un actor malicioso.
Quizás los problemas que se enfrentan como resultado de NotPetya y otros ciberataques maliciosos simplemente presagian el impacto que podrían tener futuros ciberataques.
¿Podría Microsoft haber rechazado la actualización?
También es importante considerar el vínculo entre CrowdStrike y Microsoft. En particular, está la cuestión de si el sistema operativo de Microsoft fue capaz de rechazar la actualización y volver a una versión anterior. Si pudo, ¿por qué no sucedió?
Aunque no está claro exactamente cómo el sistema MS podría volver a la versión anterior para lograr este resultado, los expertos en inteligencia artificial nos recuerdan constantemente que el sistema puede compararse con un súper cerebro que se calibra a sí mismo para resolver problemas. Si eso es cierto, ¿el supercerebro sigue funcionando o estamos escuchando a los expertos en IA equivocados?
En un blog reciente, los comentaristas de la industria se refieren a los comentarios de Microsoft sobre el desafío de los proveedores externos que lanzan actualizaciones que operan en el sistema operativo de bajo nivel. Sugieren que se podrían realizar cambios para que las aplicaciones de terceros funcionen en niveles superiores del sistema operativo, lo que aliviaría el desafío de gestión de tales problemas: por ejemplo, la capacidad de rechazar actualizaciones que causan pantallazos azules y la necesidad de volver a la versión anterior. .
Fallos predecibles
En todo el sector de TI, algunos argumentan que el desastre podría haberse evitado mediante pruebas más rigurosas de las actualizaciones de seguridad y el escalonamiento de los lanzamientos de actualizaciones a grupos más pequeños o “anillos” de actualización. Desde el punto de vista jurídico, es imposible ignorar el hecho de que todo parece demasiado predecible, especialmente teniendo en cuenta las interminables discusiones durante muchos años sobre las temidas pantallas azules.
Dada la complejidad, novedad (y previsibilidad) de las prácticas de la industria, junto con la escala de los riesgos que conllevan (incluidos los derechos y obligaciones legales), el sector de TI debe considerar plenamente sus responsabilidades para prevenir mayores pérdidas catastróficas resultantes de fallas sistémicas y riesgos de ciberseguridad. .
Hermès Marangos es socio de Signature Litigation