Tổng giám đốc của CrowdStrike xin lỗi trước Quốc hội Mỹ vì sự cố lớn trong hệ thống IT toàn cầu

Công ty an ninh mạng CrowdStrike đã phải đối mặt với cuộc thẩm vấn khắt khe nhất về vai trò của mình trong sự cố IT toàn cầu vào tháng 7 vừa qua tại Quốc hội vào thứ Ba.

Adam Meyers, một ấn phẩm cao cấp của công ty, đã xuất hiện trước một ủy ban của Quốc hội Hoa Kỳ để trả lời các câu hỏi về bản cập nhật phần mềm lỗi làm tê liệt hàng triệu máy tính vào ngày 19 tháng 7.

Sự cố đã khiến dịch vụ thanh toán tê liệt, hạ cánh các chuyến bay và buộc một số bệnh viện phải hủy cuộc hẹn và hoãn các ca phẫu thuật.

Ông Meyers nói rằng công ty “xâm nhập” xin lỗi về sự cố này ảnh hưởng đến hàng triệu người và quyết tâm “ngăn chặn việc tái diễn”.

CrowdStrike miêu tả sự cố là kết quả của một “bão tố hoàn hảo”.

Những người lập pháp trong ủy ban an toàn mạng của Hạ viện đã đặt ra câu hỏi cho ông Meyers về cách sự cố xảy ra ban đầu.

“Một sự cố IT toàn cầu ảnh hưởng đến mọi lĩnh vực của kinh tế là một tai họa mà chúng ta sẽ mong đợi thấy trong một bộ phim,” – chủ tịch ủy ban An ninh Nội địa Hạ viện Mark Green nói trong bài phát biểu mở đầu của mình.

Đại diện Tennessee so sánh ảnh hưởng rộng lớn của bản cập nhật nội dung lỗi của CrowdStrike với một cuộc tấn công “chúng ta mong đợi sẽ được thực hiện cẩn thận bởi một tác động quốc gia độc hại và tinh vi”.

Thay vì “sự cố IT lớn nhất trong lịch sử là kết quả của một sai lầm”, ông nói.

Ông Meyers nói rằng công ty sẽ tiếp tục hành động và chia sẻ “bài học học được” từ sự cố để đảm bảo rằng nó sẽ không xảy ra lại.

Trong các câu hỏi được đặt ra cho ông Meyers trong phiên điều trần kéo dài 90 phút, có các câu hỏi kỹ thuật về việc liệu phần mềm của công ty có nên có quyền truy cập vào các phần cốt lõi của hệ điều hành thiết bị hay không.

Nhưng cũng có các câu hỏi chung hơn về trí tuệ nhân tạo (AI) và tác động tiềm năng của nó đối với an ninh mạng.

Đại biểu Carlos Gimenez đặt câu hỏi về mối đe dọa của AI viết mã độc hại.

Ông Meyers nói rằng ông nghĩ công nghệ “chưa đến đó” nhưng thêm rằng mỗi ngày nó “trở nên tốt hơn”.

Trả lời trên dây chuyền câu hỏi của một đại diện, ông Meyers lặp lại rằng AI – mà công ty sử dụng để phát hiện mối đe dọa đối với hệ thống – không phải là nguyên nhân đẩy bản cập nhật lỗi làm đổ máy tính trên toàn thế giới.

Ông nói rằng CrowdStrike phát hành giữa 10 và 12 cập nhật cấu hình mỗi ngày.

Những người lập pháp trên ủy ban nâng cao lo ngại về ảnh hưởng của các sự kiện mạng lớn về an ninh quốc gia, thêm rằng chúng cũng có thể bị lợi dụng bởi những diễn viên xấu muốn lợi dụng sự hỗn loạn hoặc hoảng loạn.

Nhưng nhìn chung, ông Meyers không phải đối mặt với mức độ kiểm tra như các nhà quản lý công nghệ cấp cao khác khi được triệu tập để chứng minh trước Quốc hội về những vấn đề thất bại.

Đại biểu Eric Swalwell nói rằng ủy ban không họa giọng công ty, trong khi ông Green nói rằng ông Meyers đã thể hiện một “độ khiêm tốn ấn tượng”.

Thay vào đó, có một sự nhấn mạnh về việc hợp tác với ủy ban và chính phủ để ngăn chặn khả năng xảy ra những sự cố như vậy trong tương lai.

Công ty vẫn đối diện với một số vụ kiện từ người dân và doanh nghiệp bị áy náy trong sự cố toàn cầu vào tháng 7.

Một số người bị ảnh hưởng nói với BBC News rằng nó “hủy hoại hoàn toàn” kỳ nghỉ của họ, hoặc khiến họ bị thiệt hại về kinh doanh.

Công ty đã bị kiện bởi cổ đông của chính mình, cũng như bởi hành khách của Hãng hàng không Delta bị kẹt lại do hàng ngàn chuyến bay bị hủy.

Delta nói rằng hãng đã mất 500 triệu USD (£374 triệu) tại do “sự cẩu thả” của CrowdStrike.

Cybersecurity company CrowdStrike faced its biggest grilling yet over its role in July’s mass global IT outage in Congress on Tuesday.

Adam Meyers, a senior executive at the company, appeared before a US congressional committee to answer questions about its faulty software update that disabled millions of PCs on 19 July.

The incident knocked payment services offline, grounded flights and forced some hospitals to cancel appointments and delay operations.

Mr Meyers said the firm was “deeply sorry” for the outage that affected millions of people and is “determined to prevent it from happening again”.

CrowdStrike described the outage as the result of a “perfect storm”.

Lawmakers on the House of Representatives cybersecurity subcommittee pressed Mr Meyers on how it occurred in the first place.

“A global IT outage that impacts every sector of the economy is a catastrophe that we would expect to see in a movie,” said Mark Green, chairman of the House Homeland Security Committee, in his opening remarks.

The Tennessee representative likened the widespread impact of CrowdStrike’s faulty content update to an attack “we would expect to be carefully executed by a malicious and sophisticated nation-state actor”.

Instead “the largest IT outage in history was due to a mistake”, he said.

Mr Meyers said the company would continue to act on and share “lessons learned” from the incident to make sure it would not happen again.

Among the questions directed at Mr Meyers during the 90-minute hearing were technical queries about whether the company’s software should have access to core parts of device operating systems.

But there were also more general questions about artificial intelligence (AI) and its potential impact on cybersecurity.

Congressman Carlos Gimenez asked about the threat of AI writing malicious code.

Mr Meyers said he thought the tech was “not there yet” but added that every day it “gets better”.

In response to one representative’s line of questioning, Mr Meyers reiterated that AI – which the company leverages to detect threats to systems – was not responsible for pushing the erroneous update that crashed computers around the world.

He said CrowdStrike releases between 10 and 12 configuration updates each day.

Lawmakers on the committee raised concerns about the impact of large-scale cyber events on national security, adding they could also be exploited by bad actors looking to capitalise on confusion or panic.

But all in all, Mr Meyers did not face quite the level of scrutiny that other high-level technology executives have when called to testify in Congress over apparent failings.

Congressman Eric Swalwell said the committee had not gathered to “malign” the firm, while Mr Green said Mr Meyers showed an “impressive” degree of humility.

Instead there was an emphasis on working together with the committee and government to prevent the possibility of any such further incidents in future.

The company still faces a number of lawsuits from people and businesses that were caught up in July’s mass outage.

Some of the people affected told BBC News it “totally ruined” their holidays, or caused them to lose out on business.

The firm has been sued by its own shareholders, as well as by Delta Airlines passengers left stranded by thousands of flight cancellations.

Delta said it lost $500m (£374m) due to CrowdStrike’s “negligence”.