El cortes devastadores La fallida actualización de seguridad de CrowdStrike del viernes provocó la suspensión de vuelos, fallos en las líneas de llamada al 911 y bloqueo del acceso de pacientes a sus registros médicos.
Pero, según los términos y condiciones de la empresa de ciberseguridad, CrowdStrike no tiene que desembolsar nada más que un simple reembolso.
Esto significa que si una empresa presentara un reclamo contra CrowdStrike por daños o pérdida de ingresos en su negocio, lo máximo que podría recuperar es lo que pagó a CrowdStrike, según Elizabeth Burgin Waller, presidenta de la práctica de Ciberseguridad y Privacidad de Datos en Woods Rogers.
Eso significa que los usuarios de CrowdStrike que firmaron los términos y condiciones estándar no pueden esperar recibir más que un reembolso de la compañía, dijo Waller.
“Incluso si cubrieran esa pérdida de ingresos o el tiempo de inactividad, limitan la recuperación contra CrowdStrike a las tarifas pagadas”, dijo Waller a Business Insider. “Así que, independientemente de lo que haya pagado por las tarifas a CrowdStrike, esa sería la limitación de responsabilidad”.
Es posible que las empresas más grandes que utilizan el software de CrowdStrike (como algunas de las aerolíneas o cadenas de hospitales afectadas) hayan negociado contratos con términos y condiciones diferentes con la empresa de ciberseguridad. Esos contratos no son públicos y es posible que contengan cláusulas que responsabilicen a CrowdStrike de más daños, dijo Waller.
“Si eres una empresa grande, es posible que hayas podido negociar algo al respecto”, dijo.
Un representante de CrowdStrike no respondió de inmediato a la solicitud de Business Insider de comentarios sobre cómo hará cumplir sus términos y condiciones.
Para cubrir todos los gastos que se pagan para lidiar con las consecuencias de CrowdStrike (incluyendo la contratación de personal de TI para instalar otra actualización que solucione el problema en las máquinas con Windows, la pérdida de productividad de los empleados, la solución de problemas para los clientes y los posibles gastos legales para las empresas que cotizan en bolsa que necesitan presentar informes de valores relevantes para los inversores), la mayoría de las empresas tendrán que recurrir a aseguradoras cibernéticas, dijo Waller.
Según Waller, la mayoría de las compañías de seguros cibernéticos tienen pólizas que cubren la “interrupción comercial contingente” o la “interrupción comercial dependiente”. Estas pólizas permiten a las compañías recuperar los daños de las aseguradoras contra las empresas de ciberseguridad de terceros de las que dependen. El software Falcon de CrowdStrike, que monitorea las amenazas en las computadoras, podría cumplir con los requisitos.
“Si tengo una gran señal de stop frente a mí (términos y condiciones contra CrowdStrike) o si solo puedo obtener un reembolso, entonces necesito revisar mi propia póliza de seguro cibernético”, dijo Waller.
Muchas de estas políticas cubren únicamente eventos maliciosos como la piratería informática, dijo Waller.
“Simplemente se produjo un fallo en el software, por lo que creo que veremos demandas presentadas contra las compañías de seguros cibernéticos durante años, me imagino, debido a esta interrupción”, dijo Waller. “Es un problema bastante grave desde el punto de vista de los seguros cibernéticos, y creo que también generará muchos litigios sobre lo que está cubierto y lo que se pretende con estas diferentes pólizas”.
CrowdStrike puede esperar el escrutinio de la SEC
En cuanto a CrowdStrike, puede esperar demandas de accionistas, clientes que quieran intentar obtener más daños y perjuicios y, probablemente, una investigación de la Comisión de Bolsa y Valores, dijo Waller.
La empresa, que cotiza en bolsa, tendrá que presentar en los próximos días un informe 8-K ante la SEC que explica qué salió mal con la actualización de Falcon.
Por una extraña coincidencia, el desastre de CrowdStrike se produjo un día después de un importante fallo de un juez federal en Manhattan a favor de SolarWinds, una empresa de seguridad tecnológica que fue vulnerada en una campaña de ciberespionaje rusa en 2020, en una demanda presentada por la SEC.
La SEC alegó que SolarWinds no informó lo suficiente a los inversores y al público sobre el enorme alcance de las consecuencias del ataque ruso. Pero el juez de distrito estadounidense Paul Engelmayer dictaminó el jueves que la empresa no necesitaba proporcionar la “máxima especificidad” que exigía la SEC.
Esa decisión le da un respiro a CrowdStrike, una empresa de 73 mil millones de dólares, que tiene la responsabilidad de informar a los inversores y al público sobre lo sucedido, pero que ahora necesita preocuparse menos por la cantidad de detalles que proporciona.
“Es necesario transmitir la gravedad de lo que está sucediendo, pero no tenemos que preocuparnos demasiado por los detalles esenciales o por lo que no sabemos”, dijo Waller.
