CrowdStrike, Cuma günü Windows sistemleri için yaptığı hatalı içerik güncellemesinin küresel çapta kitlesel bir BT kesintisine yol açmasının ardından yazılım test etme biçimini iyileştirme sözü verdi.

Siber güvenlik şirketinin hatası, milyonlarca bilgisayarın “ölümün mavi ekranlarını” göstermesiyle bankalar, hastaneler ve havayolları için sorunlara yol açtı.

CrowdStrike, Çarşamba günü yayınladığı olayla ilgili detaylı incelemesinde, sorunun yazılım güncellemelerinin düzgün çalışıp çalışmadığını kontrol etmek için kullanılan sistemdeki bir “hatadan” kaynaklandığını belirtti.

Bu aksaklık, sistemin bir dosyadaki “sorunlu içerik verisini” tespit edememesi anlamına geliyordu.

Şirket, daha iyi yazılım testleri ve kontrolleri ile geliştiricilerin daha fazla inceleme yapmasıyla olayın tekrar yaşanmasının önlenebileceğini söyledi.

Hatalı güncelleme dünya çapında 8,5 milyon Microsoft Windows bilgisayarının çökmesine neden oldu ve Crowdstrike’ın patronu George Kurtz kesintinin etkisinden dolayı özür diledi.

Ancak siber güvenlik uzmanları BBC News’e yaptıkları açıklamada, incelemenin firma tarafından “büyük hatalar” yapıldığını ortaya çıkardığını söyledi.

Siber güvenlik danışmanı Daniel Card, “Otopside açıkça görüldüğü üzere, bu tür olayları önlemek veya meydana gelme riskini azaltmak için doğru güvenlik önlemlerine sahip değiller” dedi.

Siber güvenlik araştırmacısı Kevin Beaumont da aynı düşüncelere sahip. Beaumont, CrowdStrike incelemesinden çıkan en önemli dersin, firmanın “dalgalar halinde test yapmadığı” olduğunu söyledi.

“Sözde ‘hızlı yanıt güncellemesi’ adı altında aynı anda tüm müşterilere dağıtım yapıyorlar ki bu açıkça büyük bir hataydı” dedi.

Ancak siber güvenlik firması NetSPI’dan Sam Kirkman, BBC’ye yaptığı açıklamada, incelemenin CrowdStrike’ın kesintileri önlemek için “adımlar attığını” gösterdiğini söyledi.

Bu adımların “geçtiğimiz haftaya kadar sayısız olayın önlenmesinde etkili olduğunu” söyledi.

Sigorta şirketi Parametrix’e göre, Microsoft hariç, gelir bakımından en büyük 500 ABD şirketi, kesintiden dolayı yaklaşık 5,4 milyar dolarlık (4,1 milyar sterlin) mali kayıpla karşı karşıya kaldı.

Bu kayıpların yalnızca 540 milyon dolar (418 milyon sterlin) ile 1,08 milyar dolar (840 milyon sterlin) arasındaki kısmının sigortalı olduğu belirtildi.

Bu arada Kurtz, kesintiyle ilgili olarak Kongre önünde ifade vermeye çağrıldı.

“Bu olay, ağ bağımlılığıyla ilişkili ulusal güvenlik riskleri konusunda daha geniş bir uyarı niteliğinde olmalı” denildi Bay Kurtz’a yazılan mektupta.

Siber güvenlik şirketine, duruşma planlamak için çarşamba akşamına kadar süre verdi.

Joe Tidy’den ek raporlama