Temmuz 2024’te gerçekleşen büyük çaplı siber güvenlik arızası nedeniyle yaklaşık 7 bin uçuşunu iptal etmek zorunda kalan Delta Air Lines, olaydan sorumlu tuttuğu siber güvenlik firması CrowdStrike’a karşı açtığı davada önemli bir adım attı. Georgia eyaletine bağlı Fulton County Yüksek Mahkemesi, Delta’nın ihmalkarlık ve sistemlere izinsiz erişim iddialarını içeren dava başlıklarında ilerlemesine onay verdi.
Delta, milyonlarca yolcunun seyahat planlarını altüst eden bu arızanın, CrowdStrike’ın 19 Temmuz 2024 tarihinde sunduğu hatalı yazılım güncellemesinden kaynaklandığını iddia ediyor. Şirket, söz konusu güncellemenin temel kalite kontrol süreçlerinden geçmediğini ve bu nedenle küresel çapta sekiz milyondan fazla Windows cihazda sistem çökmesine neden olduğunu belirtiyor.
Delta’nın İddiası: İhmalkarlık ve Yetkisiz Erişim
Delta, Falcon isimli siber güvenlik yazılımının temmuz ayında güncellenmesiyle birlikte IT altyapısında ciddi kesintiler yaşadığını, bu durumun uçuş planlaması ve operasyonları felce uğrattığını bildiriyor. Şirketin tahminlerine göre bu kriz, 1,4 milyon yolcuyu doğrudan etkiledi.
Delta, CrowdStrike’ın sadece ihmalde bulunmadığını, aynı zamanda yazılıma gizli bir arka kapı (backdoor) entegre ettiğini ve bu şekilde sistemlere izinsiz erişim sağladığını da iddia ediyor. CrowdStrike ise olayla ilgili ciddi hatalar yapıldığını kabul etmekle birlikte, eyalet yasaları gereğince birçok iddianın düşürülebileceğini savunuyor.
550 Milyon Doların Üzerinde Zarar
Delta Air Lines, yaşanan IT krizinin ardından toplam zararını 550 milyon dolardan fazla olarak açıkladı. Bu zarar kalemleri arasında iptal edilen uçuşlardan kaynaklanan gelir kaybı, müşteri hizmetleri giderleri ve operasyonel maliyetler yer alıyor. Öte yandan, uçuş sayısındaki düşüş nedeniyle yaklaşık 50 milyon dolarlık yakıt tasarrufu sağlandığı da şirket tarafından bildirildi.
Yolcu Davaları ve Devam Eden Mahkeme Süreci
Delta’nın CrowdStrike’a açtığı dava halen Georgia’daki Fulton County Yüksek Mahkemesi’nde 24CV013621 dosya numarasıyla devam ediyor. Bununla birlikte, Delta Air Lines aynı zamanda yolcular tarafından da dava edildi. Uçuşları iptal edilen veya geciken müşteriler, tam para iadelerinin yapılmadığı gerekçesiyle federal düzeyde toplu dava başlattı. Mahkeme, bu davanın da görülmesine onay verdi.
Havacılık Sektörü İçin Kritik Uyarı Niteliğinde
CrowdStrike güncellemesi diğer bazı havayollarını da etkiledi; ancak Delta, olaydan en fazla zarar gören şirket oldu. Uzmanlar, bu durumun Delta’nın kriz yönetimi ve IT savunma altyapısındaki zayıflıklara işaret edebileceğini belirtiyor.
Bu dava, havayolu şirketlerinin üçüncü taraf teknoloji tedarikçilerine bağımlılığının doğurabileceği büyük riskleri gözler önüne seriyor. Mahkeme süreci, yazılım sağlayıcılarının sorumluluklarının ve havayollarıyla yapılan sözleşmelerdeki yükümlülüklerin yeniden tanımlanmasına neden olabilecek nitelikte.
Geleceğe Yönelik Adımlar: Siber Güvenlik ve Tedarikçi Denetimi Ön Planda
Delta Air Lines, yalnızca maddi zararlarını telafi etmekle kalmayıp, aynı zamanda teknoloji kaynaklı risklerin sektörde nasıl yönetilmesi gerektiğine dair yeni bir standart oluşturmayı hedefliyor. Dava süreci, havayolu sektöründe daha sıkı siber güvenlik önlemleri ve daha güvenilir tedarikçi ilişkileri kurulması gerektiğini ortaya koyuyor.
