Uma atualização automática de software deu errado e causou perdas bilionárias – mas trouxe reflexões sobre como melhorar a gestão de TI e a segurança de dados
No final de julho, a suspensão em escala global dos sistemas da Microsoft devido a uma falha de TI acendeu um alerta não só nas grandes organizações, mas também entre os usuários comuns de internet.
A pane foi causada por uma atualização malsucedida de software – uma das rotinas que mais simbolizam a ideia de piloto automático em uma organização. Nesse caso, o defeito estava no software Falcon, da empresa de segurança cibernética CrowdStrike, e a atualização deu errado nos sistemas operacionais Microsoft Windows. Isso trouxe à tona questões críticas sobre gestão de crise na área de tecnologia.
A PERGUNTA É:
Como as organizações podem se preparar para que uma falha nos sistemas de TI não paralise toda a operação nem exponha seus dados?
Estima-se que 1% dos dispositivos que rodam com Windows (cerca de 8,5 milhões de unidades) tenham sido prejudicados. Como vimos, o incidente afetou vários setores, desde transporte e logística (aéreo, rodoviário, ferroviário) até hospitais – e ressaltou a necessidade de uma abordagem mais robusta e informada no gerenciamento de infraestruturas tecnológicas.
O fracasso de uma simples atualização de software causou perdas bilionárias. Somente nos Estados Unidos, o prejuízo de empresas listadas na Fortune 500 chegou a cerca de US$ 5,4 bilhões. A repercussão negativa também alcançou o Brasil. Os setores financeiro e de transporte foram os mais abalados, seguidos pelos hospitalar, de locadoras de veículos e de telefonia. Durante essa falha global, as companhias aéreas atrasaram voos e tiveram problemas para realizar o check-in em diversos aeroportos.
Embora o episódio seja definido como uma falha e não tenha sido gerado por um ataque cibernético, acabou estimulando cibercriminosos e grupos hacktivistas da deep web e da dark web a entrar em ação. Clientes da CrowdStrike passaram a receber e-mails phishing – com links maliciosos ou enganando as pessoas para que fornecessem dados pessoais –, além de chamadas falsas em nome da equipe de suporte da CrowdStrike com promessas de correções. Ou seja, uma “cochilada” em uma rotina simples pode trazer riscos à segurança de uma empresa.
Analisar o caso Microsoft nos ajuda também a prevenir invasões e acessos perigosos a milhares de dados sigilosos das organizações.
A repercussão do caso Microsoft inspirou novos debates não só sobre cibersegurança, mas também sobre a centralização de serviços básicos, como os que são necessários para a mobilidade e o entretenimento. Esse tipo de ruptura e a vulnerabilidade dos sistemas a ataques serão também temas de pesquisa da nova iniciativa do Cesar (Centro de Estudos e Sistemas Avançados do Recife) – o Centro de Competência em Cibersegurança.
Esse novo centro foi credenciado pela Empresa Brasileira de Pesquisa e Inovação Industrial (Embrapii) e recebeu R$ 60 milhões do Programa Prioritário (PPI) IoT/Manufatura 4.0, do Ministério da Ciência, Tecnologia e Inovação (MCTI), para pesquisas em gestão de identidade e acesso; proteção e privacidade de dados; inteligência para ameaças cibernéticas; e aspectos legais, éticos e comportamentais.
Enquanto aguardamos as pesquisas, já podemos destacar alguns pontos de atenção para que as organizações de qualquer setor possam refletir sobre como se preparar para futuras contingências na área de tecnologia.
Falhas nos ensinam lições valiosas. Por isso, analisar o caso Microsoft nos ajuda também a prevenir invasões e acessos perigosos a milhares de dados sigilosos. Então vamos avaliar como a exposição de sistemas pode abrir lacunas para ameaças e como as organizações podem se preparar para mitigar esse risco e ter uma resposta ágil caso isso aconteça.
Por causa de um erro não detectado previamente, a atualização do software de segurança Falcon, da empresa CrowdStrike, utilizado em sistemas Windows, foi malsucedida e causou paralisações e interrupções generalizadas. O problema da empresa foi depender de um processo de testes automatizado que não incluía validações em ambientes reais antes da distribuição.
Quando esse tipo de incidente acontece, os sistemas comprometidos abrem oportunidades para hack-
ers ameaçarem a segurança dos dados. Um cenário caótico cria uma esfera favorável para cibercriminosos seduzirem colaboradores prometendo boas recompensas para realizar sabotagem ou executar algum malware durante o período de crise, por exemplo.
A vulnerabilidade também incentivou o aumento dos ataques de phishing e ofertas falsas de suporte técnico. Mas as organizações podem evitar esse tipo de golpe com processos bem definidos e treinamento periódico para que todos tenham maturidade em cibersegurança para reagir corretamente a qualquer ação suspeita. Além disso, o monitoramento contínuo dos eventos de cibersegurança do parque tecnológico ajuda na prevenção e nas ações corretivas de rotina.
As empresas precisam aprimorar os mecanismos de detecção de ameaças internas para mitigar futuros riscos de segurança. Soluções como IDS, WAF, EDR, NDR, XDR, SIEM trazem mais proteção aos dados. No entanto, os ataques cibernéticos têm se tornado cada vez mais sofisticados, o que reforça a urgência do investimento em inovação nas soluções de cibersegurança.
Toda organização deve implementar campanhas de conscientização sobre phishing para educar colaboradores sobre seus perigos e quais são as formas de se proteger no ambiente digital. Apesar de ressaltar uma cultura de defesa contínua contra ameaças, essa atitude prepara os colaboradores para variados cenários de crise. Promover maior conhecimento sobre a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) também ajuda na prevenção contra vazamento de informações.
As empresas precisam ter estratégias robustas para as atualizações de seus sistemas e serviços. Para isso, é importante estabelecer um plano de gerenciamento de mudanças – um processo que não é mais novidade, mas ainda sofre negligência em nome da alta produtividade. O ideal seria realizar testes em ambientes de homologação de alta fidelidade (se comparados aos de produção), além de fazer a coleta e a análise de resultados.
Assim que ocorre um incidente como esse da Microsoft, deve-se ter cuidado para não tomar decisões precipitadas, como mudar de fornecedores imediatamente. Em vez disso, o mais indicado é fazer uma avaliação e consultar assessores legais e de seguros para gerenciar o impacto de maneira eficaz. Gestores e executivos devem adquirir mais conhecimento da área de cibersegurança – apesar de não poder mais ser colocada em segundo plano, a segurança cibernética ainda é vista como um custo adicional e sem potencial de lucro em curto prazo.
A descentralização dos serviços críticos de software é uma prática imprescindível para evitar a dependência de apenas um fabricante ou provedor de serviços. Recorrer a múltiplos fornecedores é uma tática para mitigar os riscos e facilitar a gestão de falhas. Assim, se algum software apresentar inconsistências, os outros poderão seguir rodando, para que a operação não pare.
Outros benefícios que essa descentralização pode trazer são os seguintes:
A FALHA GLOBAL DE TI DA MICROSOFT DESTACOU VULNERABILIDADES CRÍTICAS, que necessitam de atenção imediata em todos os níveis organizacionais. Para os conselhos administrativos, o episódio serve como um lembrete da importância de uma governança eficaz e de estratégias proativas de controle de riscos.
Ao fortalecer as práticas de segurança e adotar uma postura mais crítica sobre a gestão de atualizações de software, organizações podem não apenas proteger melhor seus ativos digitais, mas também se preparar de maneira mais competente para futuras contingências no cenário digital em constante evolução.
*Estratégias de atualização de software, se não forem bem conduzidas, podem abrir uma brecha para a atuação de cibercriminosos. Mas elas nos permitem aprender mais sobre cibersegurança.
*A preparação para a gestão de crise na área de tecnologia reúne a melhoria dos mecanismos de detecção e prevenção de ameaças, a educação dos colaboradores e uma estratégia mais robusta de atualização de sistemas críticos.
*A descentralização dos serviços críticos de software mitiga riscos, evita a dependência excessiva de um único fornecedor e traz mais eficiência à gestão de falhas e contingências