Ketika pembaruan perangkat lunak CrowdStrike yang sekarang terkenal melumpuhkan perusahaan di seluruh dunia pada bulan Juli, tuntutan hukum pun tak dapat dielakkan lagi — dan tuntutan hukum memang telah terjadi. Delta menggugat perusahaan tersebut dengan ganti rugi hingga $500 juta dan mempekerjakan pengacara David Boies mungkin merupakan contoh yang paling menonjol.
Di antara berbagai macam Boies klien profil tinggi adalah Theranos, Harvey Weinstein, korban Jeffrey Epstein, dan Al Gore dalam kasus Bush v. Gore terkait hasil pemilihan presiden tahun 2000. Ia juga memimpin kasus antimonopoli pemerintah terhadap Microsoft pada tahun 1990-an.
Bahkan sebelum Delta muncul, para pemegang saham sudah mencari keuntungan dengan mengajukan gugatan class action terhadap CrowdStrike dengan tuduhan bahwa perusahaan tersebut telah menyesatkan mereka mengenai prosedur pembaruan perangkat lunaknya.
Sementara itu, CrowdStrike menyewa firma hukum Quinn Emanuel Urquhart & Sullivan untuk membela perusahaan terhadap serangan hukum yang diperkirakan akan terjadi, memberikan kepercayaan pada gagasan bahwa pengacara akan mendapat banyak uang dari kesalahan ini.
Pada tingkat yang lebih rendah, Microsoft juga telah ditarik ke dalam pertempuran karena pembaruan perangkat lunak CrowdStrike yang salah hanya memengaruhi komputer Windows.
Namun, sebagian besar, CrowdStrike harus menanggung beban berat, dan menghadapi tantangan hukum yang berat, kata Rob Wilkins, yang bekerja di firma hukum Florida Jones Foster, tempat ia menjadi salah satu ketua kelompok praktik litigasi dan penyelesaian sengketa yang rumit. Namun, yang dapat menyelamatkan CrowdStrike adalah batasan kontraktual atas ganti rugi, yang biasanya tercantum dalam kontrak perangkat lunak perusahaan.
“Yang saya temukan menarik adalah adanya batasan kontraktual atas ganti rugi antara CrowdStrike dan Delta, dan saya berasumsi bahwa akan ada jenis batasan kontraktual serupa atas ganti rugi dalam kontrak pelanggan lain,” kata Wilkins kepada TechCrunch.
Delta menduga, bagaimanapun, bahwa pembaruan perangkat lunak yang buruk tersebut merupakan kelalaian berat atau pelanggaran yang disengaja dari pihak CrowdStrike, yang berpotensi membatalkan batasan kontrak. Layanan Delta terganggu selama lima haridibandingkan dengan United, yang hanya menghadapi tiga hari penundaan terkait CloudStrike. CrowdStrike mengatakan bahwa Delta memiliki masalah dengan sistem internalnya sendiri dan bahwa perusahaan tidak dapat menghubungkan seluruh gangguan tersebut dengan pembaruan yang salah dari CrowdStrike.
Wilkins mengatakan Delta bisa saja mengalami kesulitan dalam membuktikan kelalaian berat atau pelanggaran yang disengaja, yang membawa beban pembuktian yang signifikan. Pemegang saham menuduh perusahaan disesatkan dan menipu mereka dengan tidak memperingatkan mereka tentang kurangnya rencana pengujian perangkat lunak juga menghadapi tantangan signifikan dalam membuktikannya di pengadilan.
“Intinya adalah: Apakah CrowdStrike secara sengaja memberikan pernyataan yang keliru atau tidak memberi tahu investor bahwa mereka telah sepenuhnya mengikuti perkembangan semua prosedur keamanan dan prosedur kontrol yang berkaitan dengan platform perangkat lunaknya?” kata Wilkins.
Wilkins mengatakan bahwa apa pun yang terjadi, perusahaan-perusahaan yang menggugat CrowdStrike kemungkinan akan bersatu untuk mengajukan gugatan class action terhadap perusahaan tersebut karena gugatan individual akan memakan biaya besar dan sulit bagi semua pihak yang terlibat. Perlu dicatat, katanya, bahwa begitu ada gugatan class action, hal itu cenderung menarik lebih banyak perusahaan yang ingin ikut serta.
“Biasanya dalam gugatan class action, orang-orang berbondong-bondong datang, dan saya tidak akan terkejut jika itu yang terjadi, dan kemudian Anda melihat semuanya dikonsolidasikan ke dalam panel litigasi multidistrik, menugaskan semua kasus di seluruh negeri ke satu pengadilan distrik federal tertentu untuk semua tujuan terkait pengungkapan — dan itu secara signifikan mengurangi proses,” katanya.
Setelah itu, biasanya akan ada uji coba “pertanda”, di mana satu kasus diajukan sebagai kasus uji coba untuk semua penggugat lain dalam gugatan class action, dan apa pun keputusan juri, itu adalah peta jalan untuk penyelesaian lain yang akan datang. “Kemudian Anda dapat kembali ke CrowdStrike dan berkata, 'Lihat, Anda dirugikan $20 juta oleh satu perusahaan ini, dan kami memiliki 15 perusahaan lain yang menggugat Anda dalam gugatan class action ini dengan fakta yang sama, dll., Anda harus menyelesaikannya,'” katanya.
Faktor lain yang mempersulit adalah peran perusahaan asuransi, yang akan menanggung CrowdStrike dan pelanggannya terhadap kemungkinan kerugian dalam kasus ini. Perusahaan asuransi pelanggan mungkin akan menuntut CrowdStrike juga untuk mendapatkan kembali sebagian pembayaran yang telah mereka lakukan.
“Mungkin ada asuransi di sana, dan mereka mungkin akan meminta operator untuk datang, dan biasanya mereka akan melindungi hal-hal ini. Meskipun saya belum melihat kebijakan khusus mereka, dalam kebijakan keamanan siber yang saya tinjau, kebijakan tersebut akan mencakup jenis kelalaian ini. Jadi, itu tergantung pada apa yang mereka miliki, dan pengecualian apa yang mereka miliki dalam polis mereka, tetapi saya melihat asuransi menjadi bagian darinya.”
Selain masalah keuangan, Wilkins mengatakan ada komponen reputasi, dan semakin cepat semua ini berlalu, semakin cepat CrowdStrike dapat bergerak maju. Perusahaan telah mempekerjakan pengacara yang baik untuk membela diri, tetapi pada akhirnya, perusahaan harus berdamai dengan pemegang saham dan pelanggan, hubungan yang merupakan kunci keberhasilan bisnis apa pun.
“Menurut saya, pendekatan mereka terhadap masalah ini adalah dengan melawan, tetapi juga dengan pemahaman bahwa mereka benar-benar perlu menyelesaikannya dan melangkah maju, jadi itulah yang saya harapkan.”
