Zajímá nás
Lukáš Kovanda ke kauze Microsoft. Cesta do pekel je dlážděna dobrými úmysly
Microsoft viní z pátečního největšího IT výpadku dějin Evropskou unii. Koncem předminulého desetiletí hrozilo americké firmě vyšetřování a tučné pokuty ze strany Evropské unie, a to kvůli údajně nesoutěžnímu jednání (přeloženo: systémy Windows plnily svoji roli dostatečně spolehlivě, takže běžní uživatelé neměli moc důvod hledat alternativy). Takže roku 2009 raději s Bruselem uzavřela dohodu, že bude sdílet své rozhraní API pro klientské a serverové operační systémy Windows s vývojáři bezpečnostního softwaru třetích stran.
I když přitom má svůj vlastní bezpečnostní software, MS Defender, musel Microsoft kvůli dohodě s Bruselem umožnit využívání právě třeba softwaru od jiné americké firmy, CrowdStrike, jehož kolize se systémy Microsoftu páteční mohutný celosvětový výpadek způsobila. Jen v Česku škody činí až stovky milionů korun, celosvětově jde o stovky miliard.
Šéf kyberbezpečnostní firmy Crowdstrike George Kurtz se v rozhovoru odvysílaném americkou televizí NBC News omluvil za globální výpadek počítačových systémů, který způsobila aktualizace softwaru jeho společnosti na systémech Windows. 
Největší výpadek IT v dějinách zanechává svět v šoku. Hluboce nás to mrzí, omlouvá se viník
Zprávy z firem
Konkurenční systémy Apple podobně postiženy nebyly. Apple totiž žádnou takovou dohodu jako Microsoft s Bruselem neuzavřel – nemusel uzavřít. Takže roku 2020 dokonce v zájmu vyšší spolehlivosti a bezpečnosti, jak tehdy uvedl, zamezil vstupu poskytovatelů bezpečnostního softwaru třetích stran do svých systémových rozhraní.
Zdá se, že se opět jednou naplňuje ono známé „cesta do pekla jest dlážděna…”. Bruselský úředník se „vrtal” ve věci, jejíž všechny nezamýšlené důsledky nedohlédl, až to celé „rozvrtal”, s nezměrnými celosvětovými škodami.
Stamiliardové škody. Kdo to zaplatí?
Odhady škod nejčastěji ukazují na jejich celkovou částku v přepočtu zhruba 600 miliard korun. Celosvětově bylo například zrušeno na 5000 letů. Svůj provoz musely přerušit či omezit ale nejen aerolinky, nýbrž také banky, finanční domy, nemocnice, přepravní společnosti, ale i řetězce obchodů či restaurací a mnozí další.
Jejich klienti a zákazníci se na ně nyní budou obracet s žádostí o finanční kompenzaci. Vítězem celého IT výpadku tak nepochybně budou právníci, advokáti a právní firmy. Globálně lze čekat vlnu žalob a soudních sporů vztažených k IT výpadku, z nichž mnohé se mohou vléci roky.
Jenže například aerolinky mohou nárok klienta, případně jeho cestovní kanceláře smést snadno ze stolu poukazem na to, že IT výpadek je události, na niž neměly a nemohly mít vliv. Že je to něco, jako když se let zruší kvůli špatnému počasí nebo bezpečnostní hrozbě. Klient pak bude muset u soudu dokázat, že za výpadek mohou tím, jakého si zvolili dodavatele IT služeb. Což bude tedy především Microsoft. Ale ten se zase odvolá na firmu CrowdStrike, jejíž chybná aktualizace vlastního kyberbezpečnostního softwaru jej dostala do kolize se systémem Microsoftu, která pak – v duchu efektu motýlích křídel a kvůli enormnímu rozšíření produktů Microsoftu – celosvětový výpadek způsobila.
Společnost CrowdStrike je logicky stěžejním viníkem celého výpadku. Ačkoli Microsoft také nemusí mýt fakticky zcela bez viny. Někteří IT experti upozorňují, že měl svůj operační systém lépe koncipovat tak, aby jej jedná chybná aktualizace softwaru třetí strany nemohla takto „rozhodit“. Například operační systémy Applu nebo Linuxu IT výpadek nepostihl.
Microsoft ale zase může odkázat na to, že například daná aerolinka, jež jeho služeb využívá, měla také zvýšit svoji odolnost vůči IT výpadku. Například tak, že by měla zrcadlové IT řešení, postavené na úplně jiném dodavateli – třeba právě Applu –, které by fungovalo jako záloha.
Samotná texaská společnost CrowdStrike se navíc ze svých dodavatelských podmínek ze širší odpovědnosti za škody vyvléká. Omezuje ji totiž jen do výše již uhrazených poplatků. Pokud tedy nakonec aerolinka nebo banka či provozovatel rychlého občerstvení zažaluje samotnou CrowdStrike, maximálně z ní může vymoci to, co jí již zaplatil. Takže uživatelé softwaru od CrowdStriku, kteří podepsali (či „odklikli“) standardní podmínky jeho využívání, mají nárok nejvýše na prostou refundaci daných poplatků. Která samozřejmě zdaleka nemusí pokrývat škody, jež výpadek reálně způsobil.
Je ovšem možné, že některé velké společnosti, jež služeb CrowdStriku využívají, třeba právě aerolinky či nemocnice, si vyjednaly nadstandardní podmínky spolupráce. Takové smlouvy, které mohou obsahovat pasáže o mnohem vyšší odpovědnosti za případné škody, ale nejsou veřejně přístupné.
Zbývá samozřejmě pojištění vztažené ke kyberbezpečnostním škodám. Jenže, je otázkou, zaprvé, zda poškozené společnosti nebo jejich klienti takové pojištění vůbec měli, neboť se jedná o specifickou, stále poměrně mladou oblast pojišťování. Zadruhé, kyberbezpečnostní pojištění se často vztahuje pouze k nekalým aktivitám typu hackerských útoků. Při nich je zřejmý úmysl tak či onak poškodit pojištěného. To však není případ aktuálního IT výpadku, který – jak sama CrowdStrike rychle ujistila – žádným kyberútokem není.
