Компанія з кібербезпеки CrowdStrike зіткнулася з найбільшою критикою за свою роль у масовому глобальному IT-відключенні в липні під час слухань у Конгресі США.
Адам Мейєрс, старший керівник компанії, виступив перед комітетом Конгресу США, щоб відповісти на запитання про некоректне оновлення програмного забезпечення, яке відключило мільйони ПК 19 липня.
Інцидент призвів до відключення платіжних послуг, скасування рейсів та перенесення медичних процедур у деяких лікарнях.
Мейєрс висловив глибоке вибачення за відключення, яке вразило мільйони людей, і запевнив, що компанія “налаштована запобігти повторенню подібних ситуацій”.
CrowdStrike описала відключення як наслідок “ідеального шторму”.
Законодавці підкомітету з кібербезпеки Палати представників вимагали пояснень від Мейєрса, як таке могло статися.
“Глобальне IT-відключення, яке впливає на всі сектори економіки, є катастрофою, якої ми б очікували в кіно”, – зазначив Марк Грін, голова комітету з питань національної безпеки.
Представник Теннессі порівняв широкий вплив несправного оновлення CrowdStrike з атакою “яку можна було б очікувати від зловмисного державного актора”.
На його думку, “найбільше IT-відключення в історії сталося через помилку”.
Мейєрс зазначив, що компанія продовжить ділитися “уроками, отриманими” з цього інциденту, щоб уникнути повторення в майбутньому.
Серед запитань, які адресувалися Мейєрсу під час 90-хвилинних слухань, були технічні питання про те, чи повинне програмне забезпечення компанії мати доступ до основних частин операційних систем пристроїв.
Також були підняті питання про штучний інтелект (ШІ) і його потенційний вплив на кібербезпеку.
Конгресмен Карлос Хіменес запитав про загрозу, що ШІ може написати шкідливий код. Мейєрс відповів, що вважає, що технологія “поки що не досягла такого рівня”, але додав, що щодня вона “поліпшується”.
Відповідаючи на запитання одного з представників, Мейєрс повторив, що ШІ, який компанія використовує для виявлення загроз, не був відповідальний за несвоєчасне оновлення, яке викликало збій комп’ютерів по всьому світу.
Згідно з його словами, CrowdStrike випускає від 10 до 12 конфігураційних оновлень щодня.
Законодавці комітету висловили занепокоєння щодо впливу масштабних кіберподій на національну безпеку, зазначаючи, що їх можуть експлуатувати зловмисники, які прагнуть скористатися хаосом або панікою.
Проте загалом Мейєрс не піддався такій же суворій критиці, з якою зустрічалися інші високопрофесійні керівники технологічних компаній під час свідчення у Конгресі через виявлені недоліки. Конгресмен Ерік Свалвелл зазначив, що комітет зібрався не для того, щоб “демонізувати” компанію, а Грін вказав, що Мейєрс продемонстрував “вражаючий” рівень скромності.
Замість цього було акцентовано на співпраці з комітетом і урядом для запобігання можливості подібних інцидентів у майбутньому.
Компанія все ще стикається з рядом судових позовів від людей та підприємств, які постраждали під час масового відключення в липні. Деякі постраждалі повідомили BBC News, що це “абсолютно зіпсувало” їх відпустку або призвело до збитків у бізнесі.
Компанію також було засуджено її акціонерами, а також пасажирами Delta Airlines, які залишилися без рейсів через тисячі скасувань. Delta повідомила, що втратила $500 млн (374 млн фунтів стерлінгів) через “недбалість” CrowdStrike.
