Na madrugada desta sexta-feira, 19 de julho, um apagão cibernético prejudicou uma série de serviços bancários e de comunicação em todo o mundo e ainda provocou atrasos em voos. O problema teria sido causado pela CrowdStrike, empresa que fornece serviços de segurança digital. Mas como entender esse cenário e também se precaver?
Segundo Reinaldo Boesso, especialista em tecnologia e CEO da fintech TMB Educação, empresa que atua com inteligência de crédito, é preciso compreender inicialmente que, no cenário atual, todos os sistemas de bancos, aeroportos e grandes empresas estão na nuvem.
“E quem são as nuvens que respondem por abrigar a maior parte desses sistemas? São duas grandes empresas americanas, uma é a Amazon, com o AWS, e a outra é a Microsoft, com o Azure. Juntas, elas armazenam os dados mundiais, controlam praticamente todos os sistemas”, explica.
De acordo com Reinaldo Boesso, o que aconteceu foi um problema técnico com o CrowdStrike. “Essa empresa teve um problema e derrubou o sistema da Microsoft que, por sua vez, acabou derrubando bancos, aeroportos e aplicativos que o utilizam. Ou seja, tratou-se de um impacto global, mas que já está se estabilizando”, afirma o especialista em tecnologia.
O CEO da TMB Educação ressalta que os sistemas mais usados no mundo costumam ser super estáveis e raramente têm qualquer tipo de problema, mas naturalmente estão sujeitos a riscos. Para ele, a melhor forma das empresas se precaverem contra eventuais falhas de um ou de outro é optarem pela redundância, ou seja, contratarem ambos.
“Alguns bancos grandes até fazem algo nesse sentido, mas a questão é que contratar os dois gera um custo extremamente alto, já que há um custo dobrado de sistema, de equipe, de manutenção de software e atualização. Com esse custo tão elevado, a maioria opta por uma ou outra alternativa e não pelas duas”, diz Reinaldo Boesso.
O especialista em tecnologia conta que, apesar do ocorrido ter causado alguns inconvenientes, a Microsoft prontamente trabalhou para resolver o problema.
“Por volta das 2h da madrugada a empresa já estava lançando um protocolo de correção. Pode ser que, em razão da complexidade de alguns sistemas, alguns bancos ainda estejam instáveis porque é preciso mais tempo para aplicar todas as mudanças sugeridas. Ainda assim, acredito que ao longo do dia tudo já estará resolvido”, finaliza Reinaldo Boesso.
LGPD
Para a especialista Marcia Ferreira, gerente do Núcleo de Privacidade e Proteção de Dados da Nelson Wilians Advogados, a falha levanta questões importantes sobre segurança da informação e conformidade com a Lei Geral de Proteção de Dados (LGPD).
“A CrowdStrike precisa demonstrar que tomou medidas adequadas para mitigar os danos causados e garantir a proteção dos dados dos seus clientes”, afirma. Para a especialista, o incidente serve como um lembrete da importância em manter as medidas de segurança da informação atualizadas e adequadas, em linha com os princípios da LGPD. “As empresas precisam investir em soluções confiáveis, realizar testes regulares de vulnerabilidade e ter planos de resposta a incidentes robustos para garantir a proteção dos dados pessoais sob sua responsabilidade”, adverte.
A falha da CrowdStrike demonstra que mesmo empresas de grande porte não estão imunes a problemas de segurança. “A LGPD deve ser levada a sério por todas as organizações que lidam com dados pessoais”, conclui a especialista.
Hiperconectividade
Rafael Narezzi, especialista em cybersecurity e criador do Cyber Security Summit Brasil, conferência global de segurança cibernética, explica que a resolução do problema é de difícil resolução “Isso ocorre porque o processo de correção é manual. Quando há muitos computadores, servidores e operações afetados, a situação se torna trabalhosa e é um extenso trabalho para os times disponíveis atualmente. A situação é ainda mais complicada na Europa, que está em período de férias escolares, o que reduz o tamanho das equipes”, explica.
No mundo inteiro, esse impacto cibernético destaca o quanto é crítico o nosso mundo hiperconectado. “Hoje foi um problema de falha de segurança, mas poderia ter sido um ataque, como o WannaCry. Cada vez mais vemos as consequências da hiperconectividade e a dependência da computação em nuvem”.
Governança
Segundo Geraldo Pires, especialista em Cyber e diretor executivo da Rox Partner, consultoria de tecnologia referência em dados e cibersegurança, este não é um apagão cibernético.
O especialista comenta que foi percebido durante o ano de 2023 um grande salto em ataques cibernéticos com constantes notícias de Ransomware. Agora, o que é possível observar, é que as notícias apontam vazamentos isolados e casos de menor impacto, o que reforça uma maior segurança das empresas e, consequentemente, menos veiculações de ataques propriamente ditos. Afinal, o caso Crowdstrike não se trata de ataque cibernético e sim falta de governança, pilar igualmente importante para as organizações se atentarem.
“A responsabilidade da CloudStrike é evidente, pois, como fornecedora da solução, ela deveria ter validado a atualização em diversas versões de sistemas operacionais e cenários antes de liberá-la. Contudo, as empresas também são co-responsáveis. Não podemos delegar toda a estratégia de segurança a uma ferramenta, sendo essencial que as organizações tenham processos de governança para cada atualização de software, incluindo também validá-las em um ambiente controlado antes de aplicá-las em todo o parque produtivo. Dito isso, a falta de maturidade das empresas em operar as tecnologias de cibersegurança adquiridas é evidente, refletindo uma necessidade urgente de tratar essas soluções com o mesmo rigor de qualquer outro software crítico”, pontua Geraldo.
Matéria atualizada para incluir informações sobre a LGPD, hiperconctividade e governança
