O que podemos aprender com a pane da Microsoft/Crowdstrike e o que ela representa para a América Latina?

A pane global de TI causada por uma atualização de software lançada pela empresa de segurança cibernética de endpoint Crowdstrike nos sistemas Windows, da Microsoft, é um evento único que será amplamente debatido e analisado.

O incidente está sendo retratado como uma importante experiência de aprendizado no que diz respeito às relações corporativas com fornecedores de tecnologia em um mundo cada vez mais virtualizado e digitalizado, com níveis crescentes de dependência tecnológica e de fornecedores terceirizados.

Os principais efeitos serão provavelmente sentidos em áreas como proteção de dados, responsabilidade civil, seguros contra danos, dependência de um único fornecedor e sistemas de resposta a incidentes.

“Esse caso é importante porque está escancarando responsabilidade civil de fabricantes de software. Processos que empresas aéreas irão sofrer dos consumidores, por exemplo, serão repassados. Essas empresas irão chamar a Crowdstrike, e potencialmente a Microsoft, para responder”, disse à BNamericas Francisco Camargo, vice-presidente do conselho da Associação Brasileira de Empresas de Software (Abes).

“Em vários anos de mercado, nunca vi nada desta magnitude”, acrescentou.

Segundo a Crowdstrike, o problema estava relacionado a uma atualização do software de endpoint Falcon e foi limitado ao Windows.

Na tarde desta sexta-feira (19), as ações da Microsoft caíram cerca de 1%, enquanto as da Crowdstrike despencaram quase 10% nos mercados dos EUA.

No Brasil, houve relatos de que aplicativos fornecidos por grandes bancos, como o Bradesco e três grandes entidades digitais, foram afetados. O Supremo Tribunal Federal também relatou problemas tecnológicos.

“A grande lição que se tira desse episódio é a de que se devem fazer mais testes internos antes de soltar uma atualização no mercado. Mesmo o fabricante autorizando o processo” afirmou à BNamericas Marcelo Mendes, membro do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados (IBRASPD).

Segundo ele, há alguma diversidade nas camadas de infraestrutura e plataforma de dados nas empresas. Em última análise, e num mundo ideal, as empresas não deveriam colocar todos os ovos na mesma cesta. Por outro lado, lidar com múltiplos sistemas e fornecedores criaria mais complexidade para os negócios.

“É um quebra-cabeça. A empresa possui um sistema de um fabricante, a solução de nuvem de outro, a infraestrutura de dados de outro, o orquestrador de segurança de outro. O que se tem em comum para todos? O sistema operacional, físico ou em nuvem. O erro foi causado pelo sistema operacional, por uma atualização desse sistema”, acrescentou Mendes.

Em 2023, aproximadamente 88% dos desktops no Brasil operavam em Windows e a maioria do restante estava dividida entre OS X (3,7%) e Linux (2,6%).

NUVEM, OS, DEPENDÊNCIA E GOVERNANÇA

Em sentido mais amplo, o episódio poderia potencialmente abalar a confiança crescente das empresas na utilização de sistemas de nuvem pública, ou possivelmente a concentração destes sistemas em nuvens específicas.

Segundo Geraldo Pires, especialista cibernético e diretor-executivo da empresa de segurança Rox Partner, os processos de governança serão repensados.

“A responsabilidade da Crowdstrike é evidente, pois, como fornecedora da solução, ela deveria ter validado a atualização em diversas versões de sistemas operacionais e cenários antes de liberá-la. Contudo, as empresas também são corresponsáveis. Não podemos delegar toda a estratégia de segurança a uma ferramenta, sendo essencial que as organizações tenham processos de governança para cada atualização de software”, disse Pires em comunicado.

Para Alexander Coelho, sócio do Godke Advogados e advogado especializado em direito digital e proteção de dados, a Microsoft também pode ser responsabilizada.

“Se a falha do software for considerada uma quebra dos termos de serviço ou do contrato entre a Microsoft e as empresas usuárias, estas podem processar por danos. Além disso, podem alegar negligência, argumentando que a Microsoft não implementou medidas adequadas para garantir a estabilidade e segurança do software”, afirmou em comunicado.

Umberto Rosti, CEO da Safeway – empresa que integra a plataforma Stefanini Cyber –, destacou que a Crowdstrike é uma das ferramentas de endpoint mais utilizadas no ambiente de negócios.

“Como procedimento, recomendamos que toda atualização seja testada em um ambiente controlado antes de disponibilizá-la no ambiente de produção.  O importante é que as corporações tenham procedimentos de identificação e rescaldo de problemas, ou seja, medidas para conseguir recuperar e lidar com incidentes”, comentou o executivo à BNamericas.

INCIDENTES NA REGIÃO

Na América Latina, a Crowdstrike não é uma plataforma particularmente amplamente adotada em comparação com outras soluções de mercado de endpoint da Cisco, Trend Micro ou Sophos, por exemplo. 

Contudo, a empresa vem investindo para ampliar sua presença na região. Em junho, anunciou parcerias com os principais distribuidores de tecnologia da América Latina – Ingram Micro, M3Corp e Tecnología Especializada Asociada de México (TEAM México) – para sua plataforma de segurança cibernética nativa em IA, denominada Falcon.

Foi uma atualização nesta plataforma que causou problemas nos sistemas Windows.

Em geral, a América Latina esteve menos exposta ao incidente do que outras geografias, possivelmente devido à presença ainda limitada da Crowdstrike na região.

No entanto, os impactos ainda foram sentidos. Além disso, existe um efeito cascata relacionado com a interligação de economias e sistemas numa base mais ampla.

O aeroporto Arturo Merino Benítez – que serve a capital chilena, Santiago – recomendou que os passageiros verificassem o estado dos seus voos junto das companhias aéreas antes de se dirigirem aos terminais, devido ao impacto que o mau funcionamento global dos computadores com software da Microsoft causava nos sistemas de registro de passageiros de algumas empresas.

Embora a falha global não tenha afetado os serviços informáticos do aeroporto, obrigou a que os processos de check-in fossem realizados manualmente em 12 voos. Aeroportos e companhias aéreas brasileiras adotaram recomendações semelhantes.

No Brasil, a plataforma Downdetector Dashboard apontou falhas afetando serviços Microsoft (Azure, Teams, Xbox Live, Office 365, MS Store), finanças e bancos (Bradesco, Neon, Next, Itaú, Caixa, Banco do Brasil, Nubank e XP), serviços de streaming (Sky+, Globo), além de entidades públicas como Sefaz e Banco Central.

Na Costa Rica, o Ministério da Ciência, Inovação, Tecnologia e Telecomunicações (Micitt) informou ter comunicado a toda a sua rede de vínculos institucionais sobre a falha em um dos elementos de configuração da solução de segurança da Crowdstrike.

“Para fazer face a esta situação, enviamos uma solução para toda a rede de conexões do Centro de Resposta a Incidentes de Segurança Informática (CSIRT-CR) e realizamos uma análise de impacto em todas as instituições que implementaram esta solução de segurança. No momento, o impacto é mínimo, mas estamos monitorando constantemente a situação”, declarou o Micitt em comunicado.

A Equipe de Resposta a Emergências Cibernéticas da Colômbia (ColCERT) afirmou ter avaliado possíveis impactos em diferentes entidades públicas e empresas privadas, bem como que mais de 95% delas não apresentaram problemas nos seus serviços tecnológicos.

O Ministério das TIC e a ColCERT afirmaram que continuarão a monitorizar a situação no país e estarão “atentos para reagir a qualquer eventualidade”.