Aquela que deveria ser uma corriqueira atualização de software que se transformou em um verdadeiro apagão virtual
Por Juliana Abrusio e Chiara Battaglia Tonin
No dia 19, aquela que deveria ser uma corriqueira atualização de software da empresa americana de tecnologia de segurança cibernética, CrowdStrike, com sede em Austin, Texas, se transformou em um verdadeiro apagão virtual, evidenciando a vulnerabilidade da economia global a programas de computador.
Apesar das melhorias e constante desenvolvimento de tecnologias e ferramentas para garantir a segurança do tráfego de dados e infra-estruturas digitais, o mundo pôde observar a fragilidade das aplicações virtuais.
Vale notar que a CrowdStrike, inclusive, é conhecida justamente por seus softwares que detectam e bloqueiam ameaças de hacking, monitorando meticulosamente as atividades nos computadores onde estão instalados.
A atualização do software Falcon Sensor da CrowsdStrike gerou uma reação em cadeia: a CrowdStrike presta serviços para a Microsoft, também empresa de tecnologia americana, de modo que as falhas ocasionadas pela atualização impactaram os seus sistemas – alguns dos mais utilizados no mundo – e, por consequência, seus consumidores com a conhecida “tela azul”.
Os impactos não se restringem aos 8,5 milhões de computadores da Microsoft, conforme estimado pela companhia; foram também comprometidas plataformas de computação em nuvem, ampliando os efeitos do apagão à escala mundial.
Como consequência, sistemas de saúde, companhias aéreas, portos, bancos, empresas e governos tiveram suas atividades comprometidas pela atualização, enfrentando a interrupção ou mau funcionamento das operações. Tamanho impacto fez com que o CEO da CrowdStrike fosse chamado a prestar esclarecimentos ao Congresso estadunidense sobre o apagão.
As consequências inesperadas desta falha, somada à realidade da ubiquidade computacional, iluminaram pontos críticos dos avanços tecnológicos: a dependência dos mercados globais no mundo digital e sua fragilidade, trazendo à tona – uma vez mais – a importância das ações preventivas em segurança cibernética, as quais passamos a analisar.
As ações preventivas incluem, naturalmente, providências de natureza técnica em segurança da informação para mitigação dos riscos de falha, como testes antes da implementação em ambiente de produção e planos de redundância.
Tais medidas são fundamentais, mas falhas ainda podem ocorrer; assim, são também recomendáveis práticas como a estruturação de um robusto programa de gestão e governança em segurança cibernética que viabilize a pronta reação da organização mediante um evento adverso.
Além disso, a definição de políticas e procedimentos aptos ao necessário mapeamento de intercorrências, imediata aplicação de soluções de contorno e endereçamento das correções.
Para tanto, é indispensável a implementação de um plano para gestão de crises, considerando a composição de sala de guerra e exercícios de simulação, de modo a qualificar os profissionais para uma célere reação e contingência.
Isso envolve, também, a avaliação de fornecedores e parceiros no que concerne às suas práticas em segurança cibernética, considerando seus processos para desenvolvimento seguro e gestão de mudanças.
Tudo isso, sem perder de vista aquilo que é considerado o “pacote básico”, é dizer, a negociação de contratos, a elaboração de acordos de nível de serviço e demais instrumentos para definição das responsabilidades dos fornecedores e parceiros envolvidos conforme as necessidades da organização.
É importante não esquecer que tudo isso começa com o mapeamento dos fornecedores e parceiros envolvidos na disponibilização e manutenção de sistemas e estruturas críticas da organização para acionamento tempestivo e alinhado às definições contratuais em caso de evento adverso.
Não menos importante é a avaliação e contratação de seguro cibernético em atenção às necessidades da organização, bem como mapeamento das condições de acionamento para rápida reação. Não há dúvidas de que a atuação conjunta das equipes jurídica, com a estruturação das políticas e contratos, e técnica, com a avaliação das ferramentas, fornecedores e melhores práticas para o negócio, permitem a definição de um plano de continuidade de negócios consistente e embasado para enfrentamento de eventos adversos, servindo como verdadeira luz em meio ao apagão.
Sobre Juliana Abrusio
Especialista em Tecnologia, Privacidade e Proteção de Dados, Cibersegurança e Inteligência Artificial. Profissional reconhecida por diversos diretórios jurídicos (Chambers, Legal 500 América Latina, Latin Lawyers, GDR, Escolha do Cliente, Mulheres no Direito Empresarial, Who’sWho, Análise). Doutora em Filosofia do Direito pela Pontifícia Universidade Católica de São Paulo (PUC/SP), Mestre pela Universidade de Roma Tor Vergata (Itália), pós-graduado lato sensu pela Universidade Presbiteriana Mackenzie. Sócia do escritório de advocacia Opice Blum, Bruno, Abrusio, Vainzof (2002-2020); Diretora Jurídica Adjunto na FIESP (2023); Conselheira na OAB-SP (Seção São Paulo – 2021-2024); Coordenador de Inovação e Tecnologia na Universidade Mackenzie (2020-2021). Diretora do Instituto Legal Grounds (2020-2021). Professora de Direito Digital e Proteção de Dados na Universidade Presbiteriana Mackenzie. Professora convidado na Fundação Dom Cabral, PECE/Poli da Universidade de São Paulo. Coordenadora do Comitê de Direito Digital e Proteção de Dados do CESA (Centro de Estudos das Sociedades de Advogados) (desde 2014); Presidente da Comissão de Economia Digital e Regulação do Instituto dos Advogados de São Paulo (IASP) (desde 2022); Vice-Presidente da Comissão de Estudos em TI e Inteligência Artificial do Instituto dos Advogados de São Paulo (IASP) (2017-2020). Autor do livro “Proteção de Dados na Cultura do Algoritmo, Ed. D´Placido, 2020”; “Covid-19: Impactos Jurídicos na Tecnologia, Ed. D´Placido, 2020”; “Marco Civil da Internet – Lei 12.964/2014”. Organizadora do livro “Educação Digital” (2015, Ed. RT Thonsom Reuters), entre outros. Autor de diversos artigos sobre direito e tecnologia e Colunista do Crypto ID.
Leia outros artigos de Juliana Abrusio aqui!
“Deepfake”: aplicação e regulação
Jurimetria: o que é e como ela pode te ajudar na tomada de decisões
Apagão Cibernético Global Ligado à Microsoft e CrowdStrike: O Que Aconteceu?
No Crypto ID você lê excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e a segurança da informação, também novidades sobre ferramentas e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!