De lopende rechtszaken tussen Delta Airlines en CrowdStrike (waarbij eerstgenoemde een miljoenenclaim heeft neergelegd bij de tweedegenoemde) werpt licht op een groter probleem dat in de techwereld speelt: wie is aansprakelijk bij softwareproblemen?
Tekst: ROBBERT HOEFFNAGEL Beeld: Marc Weijkamp
De juridische kwestie wordt urgenter nu bedrijven in sterke mate afhankelijk zijn van technologie die niet altijd even betrouwbaar (b)lijkt te zijn. Wat hier op het spel staat, is de vraag of softwareleveranciers financieel of anderszins verantwoordelijk moeten worden gehouden voor gebreken in hun producten, zoals slecht geteste updates en configuratiefouten die hun klanten schade kunnen berokkenen, gegevensverlies veroorzaken of ernstige verstoringen in de bedrijfsvoering teweegbrengen.
In juli van dit jaar werd de wereld opgeschrikt door een storing veroorzaakt door een defecte update in de beveiligingssoftware van CrowdStrike. De update liet wereldwijd miljoenen op Microsoft Windows draaiende computers die crashen. De gevolgen waren aanzienlijk. Luchtvaartmaatschappij Delta Airlines werd zelfs gedwongen om in slechts vijf dagen meer dan zevenduizend vluchten te annuleren, met als gevolg dat 1,3 miljoen passagiers hun reisplannen moesten wijzigen.
De financiële impact was volgens de luchtvaartmaatschappij enorm, met geschatte verliezen van vijfhonderd miljoen dollar. Nog afgezien van aanzienlijke kosten voor herstelmaatregelen, juridische procedures en een flinke reputatieschade. Delta heeft CrowdStrike daarom aangeklaagd in de staat Georgia om deze schade te verhalen. Het benadrukt dat het securitybedrijf tekort is geschoten in het testen van de update voordat deze werd uitgerold. Dit zou volgens Delta onnodige risico’s hebben veroorzaakt.
CrowdStrike beweert dat het bedrijf weinig schuld treft en stelt dat Delta zelf bijdroeg aan de omvang van de schade door een verouderde it-infrastructuur en onvoldoende herstelcapaciteit. CrowdStrike meent dat Delta’s claims gebaseerd zijn op ‘disproven misinformation’ en een gebrek aan begrip van moderne cyberbeveiliging. Ze geven aan dat de storing niet zo ernstig zou zijn geweest als Delta adequaat had geïnvesteerd in hun technologie-upgrades en onderhoud van hun systemen. Een woordvoerder van CrowdStrike benadrukte tegenover Dark Reading dat Delta simpelweg trager herstelde dan andere luchtvaartmaatschappijen vanwege deze verouderde infrastructuur.
De discussie over aansprakelijkheid in de technologie- en software-industrie is niet nieuw. Sinds de opkomst van computersoftware in de jaren tachtig worstelen juristen en beleidsmakers met de vraag of softwarebedrijven aansprakelijk kunnen worden gesteld voor defecten in hun producten. Net zoals autofabrikanten verantwoordelijk worden gehouden voor gebreken in hun voertuigen, wordt steeds vaker geopperd dat ook techbedrijven een ‘standaard van zorg’ zouden moeten hanteren. Dit zou inhouden dat zij aansprakelijk kunnen worden gesteld wanneer hun software niet voldoet aan bepaalde veiligheidsnormen, waardoor klanten ernstige schade kunnen oplopen. Hoewel er nog geen duidelijke consensus bestaat, wordt de druk op de techsector groter, vooral door recente incidenten zoals de storing bij Delta en eerdere cyberaanvallen die aanzienlijke schade hebben veroorzaakt, vertelde Jim Dempsey, senior policy adviser bij Stanford University’s Program on Geopolitics, Technology and Governance, aan The Record.
In reactie op dit soort incidenten heeft het Witte Huis de ontwikkeling van een Nationale Cybersecurity Strategie geïnitieerd. Deze strategie beoogt softwarebedrijven aansprakelijk te stellen wanneer zij niet voldoen aan een redelijke zorgplicht jegens hun klanten. Deze maatregel zou bedrijven verplichten hun software grondig te testen en te beveiligen alvorens deze te lanceren. Toch stuit de invoering van een dergelijk regime op veel uitdagingen. Niet alleen zouden bestaande wettelijke kaders moeten worden herzien, maar er zou ook een specifieke juridische structuur moeten worden ontwikkeld die een onderscheid maakt tussen opzettelijke nalatigheid en menselijke fouten.
Voorstanders van softwareaansprakelijkheid argumenteren dat techbedrijven eindelijk verantwoordelijkheid moeten nemen voor de schade die hun producten kunnen veroorzaken. De vergelijking met de auto-industrie komt vaak terug: autofabrikanten zijn wettelijk verplicht om hun producten te testen en consumenten te compenseren wanneer hun producten falen. Voorstanders beweren dat softwarebedrijven aan dezelfde standaard moeten worden gehouden, vooral gezien de cruciale rol die hun producten spelen in de maatschappij.
Chinmayi Sharma, een professor gespecialiseerd in platformaansprakelijkheid aan de Fordham School of Law, stelt dat de bescherming die de software-industrie sinds haar oprichting geniet, achterhaald is. ‘We reguleren auto’s, en deze worden niet door aansprakelijkheidsclaims uit de markt gedrukt’, aldus Sharma in het artikel bij The Record. Zij ziet geen reden waarom softwarebedrijven niet aan soortgelijke regelgeving zouden moeten voldoen.
Tegenstanders van uitgebreide aansprakelijkheidsregels voor softwarebedrijven waarschuwen echter dat te strenge regels innovatie remmen en bedrijven kunnen afleiden van hun kernactiviteit: het verbeteren van de beveiliging. Henry Young, een beleidsdirecteur bij de software- en dienstenorganisatie BSA, stelt in hetzelfde artikel dat de druk van aansprakelijkheid ertoe leidt dat bedrijven zich meer gaan richten op juridische verdediging dan op het oplossen van daadwerkelijke beveiligingsproblemen. Daarnaast wijst hij op phishing-aanvallen als een voorbeeld van veelvoorkomende cyberbedreigingen die niet gerelateerd zijn aan softwarebugs, maar vaak door menselijke fouten worden veroorzaakt. Focussen op softwareaansprakelijkheid zal middelen wegnemen van andere, misschien wel effectievere maatregelen, aldus Young.
Een factor die de Amerikaanse discussies over softwareaansprakelijkheid kan beïnvloeden, is de regelgeving in de Europese Unie. Net zoals de Algemene Verordening Gegevensbescherming (AVG) wereldwijde impact heeft gehad, zou ook strengere Europese wetgeving rondom softwareaansprakelijkheid druk kunnen uitoefenen op Amerikaanse beleidsmakers om soortgelijke wetgeving te overwegen. Deskundigen verwachten dat, mocht de EU verregaande regels invoeren, de Amerikaanse software-industrie mogelijk zou pleiten voor een mildere Amerikaanse versie van aansprakelijkheidsregels om voor te sorteren op deze dreigende veranderingen.
Het debat over softwareaansprakelijkheid is dus nog in volle gang. Het is ook verre van zeker dat er op korte termijn significante veranderingen komen. Jim Dempsey van de Stanford University gaf aan dat zelfs grote incidenten zoals de storing bij CrowdStrike zelden langdurige gevolgen hebben voor de praktijk van bedrijven. Hij stelt dat het jaren kan duren voordat beleidsmakers tot een werkbaar regime komen. Er is een breed besef dat er iets moet veranderen, maar significante beleidsveranderingen liggen waarschijnlijk nog ver in de toekomst, aldus Dempsey.
Een mogelijke katalysator voor verandering zou een incident kunnen zijn waarbij de storing van een cruciaal softwaresysteem ernstige gevolgen heeft voor een nationale infrastructuur, zoals ziekenhuizen of energiecentrales. Dergelijke incidenten zouden bedrijven in vitale sectoren ertoe kunnen brengen om actief te pleiten voor aansprakelijkheidsregels die hen beter beschermen tegen de risico’s van slecht functionerende software. Een ander scenario dat beleidsveranderingen zou kunnen versnellen, is de implementatie van strikte regels in de EU, wat de Amerikaanse industrie mogelijk onder druk zou zetten om zelf met voorstellen te komen. Wat ook een rol kan spelen, is een beleidswijziging binnen grote onderneming geen. Zij baseren hun technische infrastructuur vaak op de technologie van een of enkele techgiganten en zijn hierdoor in hoge mate afhankelijk van het naar behoren functioneren van deze bedrijven en hun voorzieningen. Heeft zo’n techgigant een grote storing, dan valt een groot deel van hun infrastructuur uit. Diversifiëren en bijvoorbeeld vaker gebruik maken van regionale spelers in plaats van global players kan bij grote gebruikers veel problemen voorkomen.
De rechtszaken tussen Delta en CrowdStrike geven een interessant beeld van de complexe kwesties die rondom softwareaansprakelijkheid spelen. Enerzijds is er een groeiende behoefte aan bescherming van bedrijven tegen fouten in essentiële software. Maar anderzijds is er een legitieme zorg dat verregaande aansprakelijkheidsregels een rem kunnen zetten op innovatie in de techsector.
Voor nu lijkt het alsof het Witte Huis, onder druk van zowel de industrie als publieke opinie, de kwestie stap voor stap benadert. Totdat er meer duidelijkheid komt over een mogelijke standaard voor softwareaansprakelijkheid, zullen zowel techbedrijven als hun klanten afhankelijk blijven van bestaande contracten en serviceovereenkomsten om zich in te dekken tegen risico’s. Dit maakt dat de rechtszaken zoals die van Delta en CrowdStrike niet alleen de financiële belangen van de betrokken partijen raken, maar ook fungeren als testcase voor de toekomst van softwareaansprakelijkheid in de VS en daarbuiten. In dat opzicht is het opmerkelijk dat er vanuit de EU nog geen concrete initiatieven op dit gebied zijn ontplooid. Net als bij privacy en ai, zou de EU ook hier een rol kunnen spelen in het afwegen van de belangen van alle betrokken partijen.
Air France-KLM hield in eerste instantie rekening met een schadepost van rond de tien miljoen euro door de it-storing bij cyberbeveiliger CrowdStrike. Vooral Transavia en KLM hadden er veel last van met onder andere uitgevallen vluchten en verloren omzet in de dagen na de storing. De luchtvaartmaatschappij liet bij de recente derde-kwartaalcijfers echter weten dat deze post veel hoger uitkomt, namelijk zo’n vijfentwintig miljoen euro. Op de vraag of Air France-KLM nog een schadeclaim indient bij Crowdstrike laat de luchtvaartmaatschappij weten dat zij ‘alle opties bekijkt’.