Kekacauan pembaruan perangkat lunak CrowdStrike baru-baru ini yang menyebabkan crash pada jutaan perangkat Windows telah memicu diskusi sengit di industri teknologi tentang siapa yang harus bertanggung jawab ketika kegagalan perangkat lunak pihak ketiga mengganggu operasi bisnis. Saat perusahaan-perusahaan bergulat dengan dampaknya, banyak yang mengevaluasi kembali kontrak vendor dan strategi manajemen risiko mereka.
Insiden CrowdStrike
Bulan lalu, pembaruan perangkat lunak yang cacat dari perusahaan keamanan siber CrowdStrike menyebabkan crash sistem secara luas, menimbulkan kekacauan bagi banyak bisnis. Insiden ini mengakibatkan hilangnya penjualan, gangguan operasional, dan jutaan dolar dihabiskan untuk upaya pemulihan. Korban yang menonjol termasuk Delta Air Lines, yang harus membatalkan ribuan penerbangan, dan Catholic Health Long Island, yang melihat sebagian besar sistem rumah sakitnya lumpuh.
Batasan Tanggung Jawab dan Asuransi
Kasus CrowdStrike telah menyoroti kompleksitas seputar tanggung jawab dalam situasi seperti ini:
- Banyak kontrak vendor perangkat lunak membatasi tanggung jawab pada jumlah yang relatif kecil
- CrowdStrike mengklaim kontraknya dengan Delta membatasi tanggung jawab kurang dari $10 juta, meskipun Delta menuntut ganti rugi $500 juta
- Asuransi gangguan bisnis seringkali tidak mencakup kegagalan perangkat lunak pihak ketiga
- Beberapa polis asuransi siber mungkin menawarkan cakupan terbatas, tetapi dengan syarat yang ketat
Memikirkan Ulang Hubungan dengan Vendor
Menanggapi insiden tersebut, perusahaan-perusahaan mengambil berbagai pendekatan:
- Meningkatkan pengawasan terhadap kontrak vendor dan klausul tanggung jawab
- Melakukan pemeriksaan status kontrak lebih sering
- Meningkatkan saluran komunikasi dengan vendor
- Mempertimbangkan pengawasan manusia tambahan untuk pembaruan perangkat lunak
- Mendiversifikasi vendor perangkat lunak dan perangkat keras untuk mengurangi risiko
 |
|---|
| Asha Palmer, seorang pemimpin kepatuhan, mewakili kebutuhan akan peningkatan pengawasan vendor dan manajemen risiko menyusul kegagalan perangkat lunak |
Konteks yang Lebih Luas: Erosi Perangkat Lunak
Insiden CrowdStrike merupakan gejala dari masalah yang lebih besar dalam industri teknologi - erosi perangkat lunak. Arsitektur perangkat lunak modern telah menjadi semakin kompleks, dengan pengembang menghabiskan hingga 42% waktu mereka untuk pemeliharaan. Kompleksitas ini membuat sistem lebih rentan terhadap kegagalan berantai dari perubahan yang tampaknya kecil.
Melihat ke Depan
Seiring bisnis menjadi lebih bergantung pada perangkat lunak pihak ketiga, menemukan keseimbangan yang tepat antara inovasi dan stabilitas akan sangat penting. Perusahaan harus menimbang biaya dan manfaat dari perjanjian vendor yang lebih ketat terhadap kebutuhan akan pembaruan dan perbaikan yang cepat. Sementara itu, insiden ini menjadi peringatan bagi industri untuk mengatasi tantangan yang semakin besar dalam mengelola ekosistem perangkat lunak yang semakin kompleks.