Especialistas concordam que apagão cibernético expõe fragilidades de sistemas de TI

O dia de hoje (19) está sendo marcado pelo apagão cibernético mundial causado por sistemas da empresa CrowdStrike que utilizam o Windows. O problema, que está afetando empresas dos mais diversos fatores, parece ter sido causado por um bug em seu agente EDR, de acordo com Kevin Reed, CISO da Acronis.

“Isso resultou em uma interrupção generalizada, pois muitas instalações foram afetadas globalmente. A atualização defeituosa requer intervenção manual para ser resolvida, especificamente a reinicialização dos sistemas em ‘modo de segurança’ e a exclusão do arquivo de driver defeituoso. Esse processo é incômodo e deixa os sistemas vulneráveis nesse ínterim, o que pode favorecer ataques oportunistas”, explica o especialista.

Segundo Reed, esse incidente destaca a importância de testes rigorosos e atualizações em etapas para agentes EDR. Normalmente, os testes são feitos a cada lançamento e podem levar de dias a semanas, dependendo do tamanho da atualização ou das alterações.

Fabricio Polido, advogado, sócio da L.O. Baptista e professor associado de Direito Internacional e Novas Tecnologias da UFMG, complementa ao dizer que o impacto global do apagão demonstra a interdependência da tecnologia em nossas vidas.

“A falha em um único sistema teve um efeito cascata em diversos setores da economia e vida social, demonstrando a necessidade de maior resiliência e segurança em infraestruturas críticas por empresas e programas de governança de privacidade que prevejam soluções corretivas e alternativas em tecnologias, sobretudo em casos de emergência”, diz ele.

Para o especialista, é possível que investigações sejam abertas para determinar se a CrowdStrike ou a Microsoft poderiam ter tomado medidas preventivas para evitar o apagão cyber gerado por uma falha de atualização de software.

“Um problema como esse nos lembra como a infraestrutura de TI é frágil e por que a segurança cibernética deve ser integrada de forma nativa ao backup. Uma solução integrada é a única maneira de fornecer proteção completa que permitiria a rápida reversão para o estado de funcionamento”, complementa o executivo da Acronis.

Dentro desse contexto, Grace Libânio, Head de Negócios da Sofist, alerta que o mundo parou por falta de investimento em testes de qualidade e processos rigorosos e ininterruptos de validação de softwares. “As empresas precisam compreender que cultura de qualidade vai além da experiência do usuário. Estamos falando sobre segurança, sobre a paralisação de sistemas de hospitais e aeroportos, serviços bancários e ligações de emergência que foram interrompidos, vidas que foram impactadas. Os sistemas estão integrados na dinâmica da nossa vida. Não dá mais para ignorar a qualidade de softwares e pensar que esse tema é apenas relevante para o setor de TI.”

Para Geraldo Pires, especialista em cyber e diretor-executivo da Rox Partner, a responsabilidade da CloudStrike é evidente, pois, como fornecedora da solução, ela deveria ter validado a atualização em diversas versões de sistemas operacionais e cenários antes de liberá-la. Contudo, as empresas também são co-responsáveis. “Não podemos delegar toda a estratégia de segurança a uma ferramenta, sendo essencial que as organizações tenham processos de governança para cada atualização de software, incluindo também validá-las em um ambiente controlado antes de aplicá-las em todo o parque produtivo. Dito isso, a falta de maturidade das empresas em operar as tecnologias de cibersegurança adquiridas é evidente, refletindo uma necessidade urgente de tratar essas soluções com o mesmo rigor de qualquer outro software crítico”, pontua.

Questões legais relacionadas ao apagão cibernético no Brasil

De acordo com Polido, as questões legais relacionadas ao apagão cibernético causado pela CrowdStrike já são monitoradas de perto. Aqui estão os principais pontos:

1) Responsabilidade contratual e extracontratual: A CrowdStrike, como empresa de segurança cibernética, pode ser responsabilizada por danos causados a empresas e serviços afetados seja pela violação de obrigações contratuais com clientes, seja pela violação de integridade de sistemas informáticos – um ato ilícito e passível de responsabilização na esfera civil. Isso dependerá das circunstâncias específicas dos casos analisados e dos clientes afetados.

2) Contratos e acordos: Os clientes da CrowdStrike podem ter contratos e acordos que estipulam níveis de serviço, responsabilidades e compensações em caso de falhas, omissões de segurança. A partir dos contratos firmados com Microsoft e CrowdStrike, será possivel verificar as obrigações legais e suas implicações em casos de violação.

3) Investigação e autuação administrativas: As autoridades brasileiras, como ANPD, podem conduzir investigações para entender a causa do apagão e avaliar se houve negligência ou violação de regulamentos de privacidade e proteção de dados. Se informações pessoais ou confidenciais e dados de titulares (incl. dados sensíveis) foram comprometidas durante o apagão, a empresa pode ser responsabilizada por violações das obrigações segundo a LGPD brasileira.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!