Microsoft twierdzi, że awaria dostępu do Windows i serwerów chmurowych Microsoftu z 19 lipca tak naprawdę spowodowana była żądaniem Unii Europejskiej o dostęp do Windows przez firmy trzecie, na które Microsoft musiał się zgodzić. Analitycy branży twierdzą, że to nonsens, który ma za zadanie odwrócić uwagę instytucji federalnych od Redmond, bowiem awarią zainteresował się już Kongres i powołanie komisji śledczej jest nader prawdopodobne.
Jak stwierdził rzecznik Microsoftu w wypowiedzi dla „The Wall Street Journal”, powód dla którego produkt CrowdStrike miał w ogóle niskopoziomowy dostęp do jądra Windows brał się z umowy „wymuszonej” na Microsoft przez Unię Europejską w 2009 roku. W ramach działań antymonopolowych organy ds. konkurencji Unii Europejskiej zawarły wtedy z Microsoftem pokontrolną umowę dotycząca interoperacyjności. Dotyczyła ona równych warunków działania dla wszystkich podmiotów rynkowych i zawierała klauzulę, że Microsoft musi „na bieżąco i terminowo zapewniać, że interfejsy API w systemie operacyjnym Windows Client PC i systemie operacyjnym Windows Server wywoływane przez oprogramowanie zabezpieczające firmy Microsoft są udokumentowane i dostępne do użytku przez oprogramowanie zabezpieczające innych firm działające w systemie operacyjnym Windows Client PC i/lub systemie operacyjnym Windows Server”. Oznacza to mniej więcej tyle, że zewnętrzni dostawcy zabezpieczeń muszą uzyskać do Windows taki sam dostęp, jaki mają rozwiązania własne Microsoftu. I to właśnie Microsoft podaje jako przyczynę awarii z 19 lipca.
Jak jednak zauważają analitycy branżowego portalu The Register, jeśli Redmond uważa, że jest to przyczyna „informatycznej awarii wszechczasów” – jak stwierdziła TV Fox News – wówczas powinna zwolnić połowę programistów Windows za lenistwo. Bowiem w tej umowie nic nie zabrania tworzenia interfejsu API poza jądrem, takiego z którego mogliby korzystać zewnętrzni dostawcy oprogramowania, jak CrowdStrike. Zamiast tego Redmond poszło po najmniejszej linii oporu, skorzystało z tego co już było i CrowdStrike dostało niskopoziomowy dostęp, który co prawda ułatwiał wykrywanie ataków, do czego oprogramowanie firmy było przeznaczone, ale maksymalizował szkody jeśli coś pójdzie nie tak. I tak się właśnie stało.
Analitycy biznesowi zapytywani przez AFP nazwali wytłumaczenie Microsoft „nieprawdopodobnym i śmiesznym” stwierdzając, że przecież Windows nie jest jedynym systemem, który umożliwia niskopoziomowy dostęp dla aplikacji stron trzecich. Tyle tylko, że mają to być aplikacje zaufane i testowane a najwyraźniej właśnie zabrakło testowania poprawki CrowdStrike przez wgraniem jej do uaktualnienia przeznaczonego dla klientów. Microsoft nie jest bezpośrednio winny, ale jednak stworzył sytuację, która awarię umożliwiała i wcale powodem nie była umowa z 2009 roku.
Jak zauważa AP, być może postępowanie Redmond jest konsekwencją działania Kongresu USA. Komisja ds. Bezpieczeństwa Wewnętrznego Izby Reprezentantów Stanów Zjednoczonych zwróciła się bowiem do dyrektora generalnego CrowdStrike, George’a Kurtza o złożenie zeznań w związku z chaosem spowodowanym błędną aktualizacją sterownika aplikacji CrowdStrike. List w tej sprawie bezpośrednio przesłany Kurtzowi podpisali Mark E. Green, przewodniczący Komisji Bezpieczeństwa Wewnętrznego i Andrew R. Garbarino, przewodniczący Podkomisji ds. Cyberbezpieczeństwa i Ochrony Infrastruktury.
W piśmie komisji stwierdzono, że: „nie możemy ignorować skali tego incydentu, który według niektórych jest największą awarią IT w historii. W niecały dzień zaobserwowaliśmy poważny wpływ na kluczowe funkcje gospodarki światowej, w tym lotnictwo, opiekę zdrowotną , bankowość, media i służby ratunkowe”. Green i Gabarino zwrócili zwłaszcza uwagę na zakłócenia w działaniach centrów alarmowych i odwołania planowych operacji w szpitalach oraz „uziemienie” tysięcy lotów komercyjnych tylko w USA. Jak dodali, na szczęście chaos nie był skutkiem cyberataku, ale jednak „ten incydent musi służyć jako szersze ostrzeżenie przed zagrożeniami dla bezpieczeństwa narodowego związanymi z uzależnieniem od sieci. Cyberprzestępcy wspierani przez państwa narodowe, takie jak Chiny i Rosja, uważnie obserwują naszą reakcję na ten incydent”.
„Uznając, że Amerykanie niewątpliwie odczuwają trwałe, rzeczywiste konsekwencje tego incydentu, zasługują na szczegółowe rozpoznanie, jak doszło do tej awarii i jakie kroki podejmuje CrowdStrike, aby zaradzić jego łagodzeniu” – stwierdzono w piśmie.
Kurtz odpowiadał na pytania wczoraj o godzinie 17:00, co zważywszy na różnicę czasu oznacza, że w UE jego odpowiedzi będą znane dopiero 25 lipca. List co prawda jest tylko prośbą do Kurtza o stawienie się w celu złożenia wyjaśnień, ale według źródeł agencji AP bardzo prawdopodobne jest utworzenie komisji kongresowej w celu oceny wpływu awarii na gospodarkę USA. Wtedy Kurtz zostanie wezwany do złożenia zeznań pod przysięgą i to samo czeka kierownictwo Microsoftu, co uzasadniałoby obecne próby przerzucenia winy za cały kryzys na Komisję Europejską.