Geçtiğimiz hafta Delta Air Lines Temmuz ayında beş gün boyunca 7 bine yakın seferini iptal etmesine neden olduğu için Atlanta’da CrowdStrike siber güvenlik şirketi aleyhine dava açtı. Hatırlanacağı üzere zaman farkından dolayı önce doğuda başlayan hatalı bir güncelleme, sonrasında tüm ülkelerde kesintiler görülmüştü. Yeterince test edilmediği söylenen bir güncellemeyi alan Microsoft temelli sistemler çalışamaz hale gelmişti. Delta sırf bu yüzden 500 milyon dolar gelir kaybı ve diğer masraflarının oluştuğunu, itibar kaybı yaşadığını, bunun “derin cep” Microsoft tarafından karşılanmasını talep etmişti.
Ağustos ayında devam eden görüşmelerde Microsoft kendisinin taraf olmadığını belirtmiş, CrowdStrike avukatları Delta’ya yazılımın doğrudan verdiği hasarın 10 milyon dolar civarında olduğunu söylemişti. Görüşmeler sürüyordu ki ajanslara düşen bir haber ile CrowdStrike aleyhine dava açıldığını öğrendik. Davanın Microsoft yerine CrowdStrike aleyhine açılması, şirket hissedarları ve müşteriler nezdinde itibarı kurtarmak için bir etkinlik mi yoksa örnek dava olarak görülüp de Microsoft’a dava açılmasın diye mi yoksa Washington’daki kapalı kapılar ardındakilerin tavsiyeleri mi bilinmez. Davanın karşı tarafında CrowdStrike ise Delta’nın yanıltıcı bilgi verdiğini, uçak şirketinin siber güvenlikten anlamadığını, Delta’nın teknoloji grubunun yavaşlığını kendi yazılım firmasına yüklemeye çalıştığını söylüyor.
İşin içinde Delta ve Microsoft gibi iki dev olunca, doğal olarak Ulaştırma Bakanlığı müfettişlerine de iş düşüyor. Onlar da Delta’nın sistemlerini neden bu kadar yavaş düzelttiğini, neden dışarıdan yardım almaktan imtina ettiğini araştırıyorlar. Muhtemelen bu davada Bakanlık iki tarafı da kollayacaktır, mamafih bu karar için taraflardan neler isteneceği yine bir diplomasi içinde tartışılmaktadır muhtemelen.
Testler her zaman maliyet unsuru. Pazar ise daha hızlı çözümlere ihtiyaç duyuyor. Bunu gören CrowdStrike ise kestirme yolları kullandığını, köşeleri yuvarlattığını, sertifikalandırma sürecini hızlandırdığını bugüne kadar tanıtım belgelerinde ilan ediyordu ki Delta da genel merkezinin bulunduğu Fulton, Georgia’daki mahkemeye verdiği dava dilekçesinde kendi yararına ve karına testten feragat ettiğini belirtmiş. CrowdStrike ise Delta’nın sistemlerinin en son sürüm olmadığını, bu yüzden sorun yaşandığını hala söylüyor.
Yukarıdaki dava örnek teşkil eder ve bu güncellemeden etkilenen taşımacılık şirketleri, bankalar, hastaneler ve diğer şirketlerine de dava yolunu seçerler mi? Türkiye’ye nasıl yansıması olur? Şu anki düşünceme göre Türkiye’de faaliyet gösteren şirketler dava açmaz, şirket yerli şirketlere eğitim, gezi vb. öneriler getirir ve konu kapanır.
Anamalcı düzende aldığınız her sistem sizden bütçenizin bir kısmını istiyor. Bu sadece Amerikan ya da Alman yazılım/donanım şirketlerinde değil hepsinde aynı şekilde. Devlet destekli sermaye transfer mekanizması, “modernizasyon” veya “güncelleme” olarak sizden sattıkları sistem kadar bir bedeli bakım/güncelleme/destek adı altında almak istiyor. Bu durumda şirketinizi böylesi istenmeyen durumlardan korumak için ya kendiniz detaylı test yapacak ya da bir test-sertifikasyon firmasından bunu alacaksınız ki bu da bir maliyet. Bir başka çözüm ise çok yıllar önce söylediğimiz üzere, kendi linux kernel’inizi geliştirip kullanmak ki bu da toplam edinim olarak bakıldığında ciddi bir maliyet. Mainframe çok pahalı diyenler haklıydılar ama böylesi ani maliyetler pek görülmezdi. Hatta sloganı bile vardı: Buy an… They will never fire you. Test ve sertifikasyondan kaçınmak veya kaçmak riskini de beraberinde getiriyor.
