Vụ việc cập nhật phần mềm gây lỗi gần đây của CrowdStrike khiến hàng triệu thiết bị Windows bị treo đã châm ngòi cho một cuộc tranh luận gay gắt trong ngành công nghệ về việc ai nên chịu trách nhiệm khi lỗi phần mềm của bên thứ ba gây gián đoạn hoạt động kinh doanh. Khi các công ty đang vật lộn với hậu quả, nhiều doanh nghiệp đang đánh giá lại hợp đồng với nhà cung cấp và chiến lược quản lý rủi ro của họ.
Sự cố CrowdStrike
Tháng trước, một bản cập nhật phần mềm lỗi từ công ty an ninh mạng CrowdStrike đã dẫn đến tình trạng treo hệ thống trên diện rộng, gây hỗn loạn cho nhiều doanh nghiệp. Sự cố này dẫn đến mất doanh số, gián đoạn hoạt động và hàng triệu đô la chi phí khắc phục. Các nạn nhân đáng chú ý bao gồm Delta Air Lines, buộc phải hủy hàng nghìn chuyến bay, và Catholic Health Long Island, với phần lớn hệ thống bệnh viện bị ngừng hoạt động.
Giới hạn trách nhiệm pháp lý và bảo hiểm
Vụ việc CrowdStrike đã làm nổi bật sự phức tạp xung quanh trách nhiệm pháp lý trong những tình huống như vậy:
- Nhiều hợp đồng với nhà cung cấp phần mềm giới hạn trách nhiệm pháp lý ở mức tương đối thấp
- CrowdStrike tuyên bố hợp đồng với Delta giới hạn trách nhiệm pháp lý dưới 10 triệu đô la, trong khi Delta đòi bồi thường 500 triệu đô la
- Bảo hiểm gián đoạn kinh doanh thường không bao gồm lỗi phần mềm của bên thứ ba
- Một số hợp đồng bảo hiểm an ninh mạng có thể cung cấp bảo hiểm hạn chế, nhưng với các điều kiện nghiêm ngặt
Suy nghĩ lại về mối quan hệ với nhà cung cấp
Để đối phó với sự cố, các công ty đang áp dụng nhiều cách tiếp cận khác nhau:
- Tăng cường giám sát các hợp đồng với nhà cung cấp và điều khoản về trách nhiệm pháp lý
- Thực hiện kiểm tra tình trạng hợp đồng thường xuyên hơn
- Cải thiện kênh liên lạc với nhà cung cấp
- Xem xét tăng cường giám sát con người đối với các bản cập nhật phần mềm
- Đa dạng hóa nhà cung cấp phần mềm và phần cứng để giảm thiểu rủi ro
Asha Palmer, một lãnh đạo về tuân thủ, đại diện cho sự cần thiết phải cải thiện giám sát nhà cung cấp và quản lý rủi ro sau các sự cố về phần mềm |
Bối cảnh rộng hơn: Sự xuống cấp phần mềm
Sự cố CrowdStrike là biểu hiện của một vấn đề lớn hơn trong ngành công nghệ - sự xuống cấp phần mềm. Kiến trúc phần mềm hiện đại ngày càng trở nên phức tạp, với các nhà phát triển dành tới 42% thời gian cho việc bảo trì. Sự phức tạp này khiến hệ thống dễ bị tổn thương hơn trước các lỗi dây chuyền từ những thay đổi tưởng chừng nhỏ nhặt.
Hướng tới tương lai
Khi doanh nghiệp ngày càng phụ thuộc vào phần mềm của bên thứ ba, việc tìm ra sự cân bằng phù hợp giữa đổi mới và ổn định sẽ là điều quan trọng. Các công ty phải cân nhắc giữa chi phí và lợi ích của các thỏa thuận nhà cung cấp nghiêm ngặt hơn với nhu cầu cập nhật và cải tiến nhanh chóng. Trong khi đó, sự cố này đóng vai trò như một hồi chuông cảnh tỉnh cho ngành công nghiệp để giải quyết thách thức ngày càng tăng trong việc quản lý các hệ sinh thái phần mềm ngày càng phức tạp.