Falha cibernética causada por atualização da CrowdStrike expôs vulnerabilidades na governança e na segurança da indústria; fundada em 2012, marca opera com 300 das maiores empresa americanas
A falha cibernética global que derrubou sistemas de aeroportos, bancos, emissoras de televisão e até hospitais ao redor do mundo é inédita, na repercussão que tomou, e vai exigir que toda a indústria de software repense seus padrões de governança e de testes de segurança, avaliam especialistas. A pane, que aconteceu após uma atualização do sistema de segurança da CrowdStrike, afetou milhares de computadores que usam o Windows, sistema operacional da Microsoft que está em mais de 70% dos computadores do mundo.
— A falha escancarou o nível de responsabilidade da indústria. O primeiro impacto para a empresa é o da imagem da CrowdStrike. Também vamos acompanhar agora como serão os debates sobre responsabilidade civil, já que a pane gerou danos para outras empresas, que terão prejuízos — diz Francisco Camargo vice-presidente do conselho da Associação Brasileira das Empresas de Software (ABES).
Ainda não está claro quantos computadores, usuários ou empresas foram atingidos pela pane. Com 29 mil clientes ao redor do mundo, a CrowdStrike pode parecer desconhecida para o público geral, mas é uma das líderes do mercado de proteção cibernética para terminais. Em 2022, a empresa chegou na liderança no mercado de US$ 8,6 bilhões de de segurança endpoint (que protege os dispositivos finais), com participação de 17,7%. Desde então, fica entre o segundo e primeiro lugar na liderança da maior fatia desse setor.
A principal solução da companhia é o Falcon Sensor, que fornece detecção e resposta a ameaças cibernéticas de computadores. Foi justamente uma falha na atualização desse sistema que gerou o BSOD, a “tela azul da morte” em português, em milhares de computadores que operam com o Windows.
— O software busca proteger os equipamentos que estão na ponta da rede. Para fazer isso, ela instala um agente que fica 100% do tempo atuando com as contramedidas que ele têm dentro do software dele para identificar as ameaças e tomar as ações de forma automática — afirma Geraldo Guazzeli, diretor da empresa de segurança cibernética Netscout.
A falha atingiu o sistema operacional de computadores mais popular do mundo porque foi uma atualização feita especificamente para o Windows, acrescenta Guazzeli. Por isso o problema não afetou sistemas da Apple ou Linux, por exemplo. Ele lembra que esse tipo de atualização faz parte da operação das empresas de softwares de cibersegurança, e funcionam para corrigir vulnerabilidades, melhorar o desempenho do sistema de proteção ou incluir novas funcionalidades para garantir a eficácia do software contra ameaças.
— Eles devem ter encontrado alguma vulnerabilidade ou falha no Windows que eles trataram de corrigir, com a atualização do sistema para um camada de proteção contra essa nova ameaça. Foi aí que a falha aconteceu. — acrescenta Camargo, da ABES.
Geralmente, a atualização desses sistemas acontece primeiro em ambientes de testes, em pequena escala, para depois serem levados ao mercado. Nesse caso, a falha poderia ter sido evitada se a empresa tivesse adotado processos mais rigorosos de testes e controles, avaliam especialistas.
O software da CrowdStrike, segundo a própria empresa, é usado por 298 companhias da Fortune 500, uma lista anual compilada e publicada pela revista Fortune, que classifica as 500 maiores empresas dos Estados Unidos. A empresa é relativamente nova, foi fundada em 2012, mas desde então conseguiu contratos importantes em setores-chave da economia americana, o que ajuda a explicar o tamanho do estrago gerado.
Nos EUA, entre os principais clientes da empresa estavam as maiores companhias aéreas do país, como Delta e American Airlines. No Brasil, a pane atingiu empresas também do setor aéreo, como a Azul, e bancário, como o Bradesco. Companhias na Ásia e Europa também foram impactadas pelo “apagão”. A repercussão global é explicada pela própria atuação da companhia, que tem operação em 170 países.
— Mas nível de impacto para cada setor depende da carteira de clientes da Crowdstrike, por isso tivemos setores e países mais ou menos afetados — diz Marcelo Mendes, especialista em cibersegurança e membro do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados.
Mendes lembra que existe uma pressão na indústria de cibersegurança para manter seus sistemas atualizados contra novas ameaças. Mas isso não deveria baixar as salvaguardas da companhia para a realização de testes de controle mais apurados antes de rodar o update.
A falha escancara as brechas de governança para empresas de tecnologia, especialmente em segurança digital, avalia Pedro Henrique Ramos, sócio da área de tecnologia do Baptista Luz e professor de direito digital do Ibmec.
— Essa falha mostra que as empresas precisam ter uma visão mais abrangente sobre governança digital, que é mais ampla que a proteção de dados pessoais. Também que as companhias têm de ter um plano de ação de resposta para quando falhas desse tipo acontecerem.
Pelo X, o CEO da CrowdStrike, George Kurtz, afirmou que o problema na atualização já foi identificado, isolado e uma correção havia sido instalada.
“Entendemos a gravidade da situação e lamentamos profundamente o inconveniente e a interrupção. Estamos trabalhando com todos os clientes afetados para garantir que os sistemas estejam de volta e que eles possam fornecer os serviços com os quais seus clientes estão contando”, acrescentou a empresa, em nota.
Por Agência O Globo