OVH मिसाल के आधार पर फ्रांस में CrowdStrike की हर्जाना देयता

 (thehftguy.com)
1 पॉइंट द्वारा GN⁺ 2024-07-26 | 1 टिप्पणियां | WhatsApp पर शेयर करें

फ्रांस में CrowdStrike के हर्जाना दायित्व की संभावना

  • हालिया CrowdStrike घटना के कारण अनुमानतः 85 लाख कंप्यूटर निष्क्रिय हो गए और 5.4 अरब डॉलर से अधिक का नुकसान हुआ
  • CrowdStrike के हर्जाना दायित्व वहन करने की संभावना अधिक है
  • फ्रांस में OVH मामले जैसा एक समान उदाहरण मौजूद था

OVH के बारे में

  • OVH यूरोप का सबसे बड़ा डेटा सेंटर और क्लाउड प्रदाता है, जो physical server, virtual machine, और विभिन्न cloud सेवाएं प्रदान करता है
  • 10 मार्च 2021 को SGB लोकेशन पर आग लगी, जिससे दो डेटा सेंटर पूरी तरह नष्ट हो गए और दो डेटा सेंटर अस्थायी रूप से संचालन में असमर्थ हो गए
  • अनेक ग्राहकों ने हर्जाने का दावा किया और मुकदमा जीता
  • अदालत में चर्चा किए गए प्रमुख बिंदु:
    • घटना के दौरान और उसके बाद सेवाएं पूरी तरह बंद रहीं
    • डेटा पूरी तरह से अपरिवर्तनीय रूप से खो गया
    • OVH ने backup सेवा दी थी, लेकिन backup भी अपरिवर्तनीय रूप से खो गया
    • कई डेटा सेंटर पास-पास स्थित थे, लेकिन सभी एक ही स्थान पर होने के कारण अदालत ने इसे अविवेकपूर्ण माना
    • backup का उसी डेटा सेंटर में या उसी स्थान पर स्थित किसी अन्य डेटा सेंटर में संग्रहीत होना अविवेकपूर्ण माना गया
    • अदालत ने माना कि ग्राहकों के लिए कई स्थानों पर backup रखना एक अच्छी प्रथा है
    • अदालत ने निर्णय दिया कि backup प्रदाता के रूप में OVH को उचित मानकों का पालन करना चाहिए
    • फैसला हुआ कि OVH की backup सेवा उचित मानकों को पूरा नहीं करती थी और अपने उद्देश्य में विफल रही

CrowdStrike के बारे में

  • CrowdStrike एक antivirus software है जो कंप्यूटर पर इंस्टॉल किया जाता है, और मुख्यतः बड़े उद्यमों के डिवाइसों पर लगाया जाता है
  • 19 जुलाई 2024 को CrowdStrike ने एक software update जारी किया, लेकिन इस update में त्रुटि थी, जिससे लाखों कंप्यूटर निष्क्रिय हो गए
  • प्रमुख चर्चा बिंदु:
    • CrowdStrike कंप्यूटर के शुरू होते समय उच्च-अधिकार मोड में चलता है
    • इसे लाखों महत्वपूर्ण डिवाइसों पर तैनात किया गया है
    • update लाखों डिवाइसों पर एक साथ वितरित किया गया
    • software upgrade को चरणबद्ध तरीके से करना एक अच्छी प्रथा है
    • CrowdStrike ने testing और चरणबद्ध rollout नहीं किया
    • ग्राहकों ने पहले भी यह मुद्दा उठाया था, लेकिन CrowdStrike ने इसे अस्वीकार किया
    • update जारी होने के बाद लगभग दो घंटे तक समस्या का पता नहीं चला
    • सभी कंप्यूटर निष्क्रिय हो गए, इसलिए उपयोगकर्ता स्वयं समस्या हल नहीं कर सके
    • IT टीमों को भौतिक रूप से पहुंचकर कंप्यूटर फिर से इंस्टॉल करने या driver file हटाने की आवश्यकता पड़ी
    • हजारों से लेकर लाखों के करीब डिवाइसों को पुनर्स्थापित करने में कई सप्ताह लगेंगे
    • कुछ महत्वपूर्ण डिवाइस शायद पुनर्प्राप्त न किए जा सकें
    • CrowdStrike ने उन कंप्यूटरों को ही नष्ट कर दिया जिनकी उसे रक्षा करनी थी
    • इससे ग्राहकों को गंभीर नुकसान पहुंचा

GN⁺ का सार

  • OVH मामले की तरह CrowdStrike घटना में भी हर्जाना देयता तय होने की संभावना अधिक है
  • CrowdStrike की update त्रुटि के कारण लाखों कंप्यूटर निष्क्रिय हो गए, जिससे कंपनियों को भारी नुकसान हुआ
  • यह घटना software deployment और testing के महत्व को रेखांकित करती है, खासकर उस software के मामले में जो महत्वपूर्ण डिवाइसों पर तैनात किया जाता है, जहां और अधिक कठोर सत्यापन आवश्यक है
  • समान कार्यक्षमता वाले अन्य security software में Symantec, McAfee आदि शामिल हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-07-26
Hacker News राय

  • फ़्रांस के एक CSP में काम करने वाले व्यक्ति के रूप में, मैंने OVH मामले को रियल-टाइम में अनुभव किया

    • OVH को data loss की वजह से ज़िम्मेदार ठहराया गया
    • data loss एक स्थायी और अपरिवर्तनीय समस्या है
    • कुछ कंपनियाँ data loss की वजह से संचालन करने में असमर्थ हो गईं
    • service outage ऐसा मुद्दा है जिसे SLA कॉन्ट्रैक्ट से सुलझाया जा सकता है
    • लगता है CrowdStrike पर बहुत बड़ी ज़िम्मेदारी नहीं आएगी
    • healthcare सेक्टर में अधिक regulation की ज़रूरत होगी

  • यह headline भ्रामक है

    • इसमें एक व्यक्ति की राय को तथ्य की तरह पेश किया गया है
    • मुझे लगता है कि CrowdStrike को ज़िम्मेदार ठहराया जाना चाहिए जैसी अभिव्यक्ति अधिक उपयुक्त होगी

  • सामान्य liability waiver clauses का अमेरिका के बाहर के jurisdictions में कोई खास मतलब नहीं होता

  • OVH और CrowdStrike मामलों की तुलना उचित नहीं है

    • OVH में पूरा backup system फेल हो गया था
    • CrowdStrike ने ग्राहकों के kernel को लगभग 1 घंटे के लिए डाउन कर दिया
    • software bug को ज़्यादातर industries में अपरिहार्य माना जाता है
    • CrowdStrike का software कई critical paths में डाला गया था, इसलिए यह खबर बना
    • CrowdStrike का software खराब तरीके से विकसित किया गया था
    • कानूनी ढाँचे के भीतर इसके ज़िम्मेदार ठहराए जाने की संभावना कम है
    • संभव है कि ग्राहक अपने बटुए से वोट करें

  • संभव है कि कई दावेदार पहले से ही वकीलों के ज़रिए मुआवज़ा पाने की कोशिश कर रहे हों

    • यह जानना दिलचस्प होगा कि अलग-अलग jurisdictions में यह कैसे संगठित होता है

  • यह सोचने वाली बात है कि Falcon द्वारा दी जाने वाली सुरक्षा OS खुद क्यों नहीं देता

    • Windows में security role स्पष्ट नहीं है
    • इसकी तुलना Red Hat या Canonical से की गई

  • B2B कॉन्ट्रैक्ट में दोनों पक्षों को कुशल माना जाता है

    • कॉन्ट्रैक्ट की शर्तों से आगे जाने वाला कानूनी संरक्षण शायद बहुत कम होगा
    • यह समझ UK law की जानकारी पर आधारित है

  • ज़्यादातर EU देशों में liability को सीमित करने वाले कानून हैं

    • hospital, emergency services आदि direct damages के लिए मुकदमा कर सकते हैं
    • व्यक्ति भी नुकसान के लिए मुकदमा कर सकते हैं
    • opportunity cost या labor cost पर मुकदमा करना मुश्किल होगा
    • negligence की डिग्री एक महत्वपूर्ण कारक होगी

  • 19 जुलाई 2019 को CrowdStrike ने software update push किया था

    • लगता है वर्ष 2024 होना चाहिए था, लेकिन गलती से 2019 लिखा गया

  • कुछ हफ़्ते पहले CrowdStrike agent ने Linux systems को नुकसान पहुँचाया था

    • सोचता हूँ कि क्या यह उसी घटना से जुड़ा है