19 lipca Jonathan Cardi wraz z rodziną obserwował, jak tablica odlotów na międzynarodowym lotnisku Raleigh-Durham w Północnej Karolinie zmienia kolor z zielonego na morze czerwone. „O mój Boże, to było szaleństwo” – mówi Cardi. „Opóźniony, opóźniony, opóźniony, opóźniony”.
Cardi, profesor prawa na Uniwersytecie Wake Forest i członek American Law Institute, miał lecieć liniami Delta Airlines na konferencję w Fort Lauderdale na Florydzie. Wraz z tysiącami innych podróżnych spędził dzień w kolejce, a personel powtarzał ludziom, że loty „za chwilę wystartują” – wspomina. Kiedy jednak stało się jasne, że samoloty nigdzie nie lecą, zamiast tego wybrał się w 11-godzinną podróż wypożyczonym samochodem. Cardi dowiedziała się później, że inne osoby udające się na konferencję nocowały na lotnisku.
Chaos był wynikiem aktualizacji oprogramowania wydanej przez firmę zajmującą się cyberbezpieczeństwem CrowdStrike, która zawierała defekt, który powodował awarie milionów komputerów z systemem Microsoft Windows. Awaria IT, która zakłóciła funkcjonowanie linii lotniczych, usług finansowych i wielu innych branż, to: szacowany spowodował straty finansowe o wartości ponad 5 miliardów dolarów. „Ponieważ stracono tak dużo pieniędzy, będzie podjęcie kroków prawnych” – mówi Cardi, która specjalizuje się w dziedzinie prawa związanej z odpowiedzialnością cywilną za straty lub szkody.
Ten spór prawny już się zaczyna.
29 lipca Delta poinformowała CrowdStrike i Microsoft o zamiarze wniesienia pozwu w związku z Twierdzi, że straciła 500 milionów dolarów w wyniku awarii. Jest pozew zbiorowy został złożony przez kancelarię prawną Labaton Keller Sucharow w imieniu akcjonariuszy CrowdStrike, twierdząc, że zostali wprowadzeni w błąd co do praktyk firmy w zakresie testowania oprogramowania. Inna kancelaria prawnicza, Gibbs Law Group, ma ogłoszony rozważa wniesienie pozwu zbiorowego w imieniu małych firm dotkniętych awarią.
W odpowiedzi na zapytanie WIRED dotyczące pozwu zbiorowego akcjonariuszy CrowdStrike stwierdza: „Uważamy, że ta sprawa nie ma podstaw i będziemy stanowczo bronić firmy”. W piśmie do radcy prawnego Delta, do którego dotarła WIRED, przedstawiciel prawny CrowdStrike oświadczył, że firma „zdecydowanie odrzuca wszelkie zarzuty, jakoby dopuściła się rażącego zaniedbania lub umyślnego działania niezgodnego z prawem”. Microsoft odmówił komentarza. Radca prawny Delta odrzucił prośbę o rozmowę.
Ci, którzy chcą odzyskać straty finansowe, będą musieli znaleźć kreatywne sposoby przedstawienia swoich spraw przeciwko CrowdStrike, który jest w dużym stopniu izolowany klauzulami typowymi dla umów dotyczących oprogramowania, które ograniczają jego odpowiedzialność, twierdzi Cardi. Choć może wydawać się intuicyjne, że CrowdStrike ponosi odpowiedzialność za swój błąd, firma prawdopodobnie będzie „całkiem dobrze strzeżona” przez Drobnym drukiemdodaje.
Klauzula przedawnienia
Mimo że CrowdStrike przyznał się do odpowiedzialności za awarię, ani bezpośredni klienci, ani firmy, na które wpływa bliskość, czyli klienci klientów CrowdStrike, nie będą mogli łatwo odzyskać swoich strat. Pierwsze pytanie brzmi: o co konkretnie mieliby pozywać CrowdStrike? Istnieje kilka teoretycznych opcji – naruszenie umowy, zaniedbanie lub oszustwo – ale żadna z nich nie jest prosta.
Chociaż klienci mogą argumentować, że CrowdStrike w jakiś sposób naruszył swoją umowę, „kwota pieniędzy, jaką mogą odzyskać, będzie prawdopodobnie poważnie ograniczona klauzulą przedawnienia” – mówi Paul MacMahon, profesor nadzwyczajny prawa w London School of Economics and Political Science . Celem każdej takiej klauzuli jest działanie jako swego rodzaju karta umożliwiająca wyjście z więzienia, ograniczająca kwotę pieniędzy, którą sprzedawca oprogramowania musi wypłacić. Konkretna treść umów zawartych przez CrowdStrike i jego klientów będzie się różnić w zależności od przypadku, ale ogólne warunki ograniczyć odpowiedzialność CrowdStrike jedynie do kwoty, jaką klienci płacą za jej usługi.