Especialistas comentam as causas e repercussões, destacando a importância de maior resiliência em infraestruturas críticas e a interdependência tecnológica
Nesta sexta-feira, um apagão cibernético global causado por um defeito na atualização de um sistema operacional da Microsoft, associado à utilização do Sensor CrowdStrike Falcon, afetou severamente companhias aéreas, bancos, empresas de mídia e serviços de saúde em todo o mundo. A interrupção levou ao cancelamento de voos, à suspensão de operações bancárias e à indisponibilidade de serviços de comunicação, gerando transtornos significativos para milhões de pessoas.
Fabricio Polido, advogado e sócio da L.O. Baptista, professor associado de Direito Internacional e Novas Tecnologias da UFMG, destacou a interdependência da tecnologia em nossas vidas e a necessidade de maior resiliência e segurança em infraestruturas críticas. “A falha em um único sistema teve um efeito cascata em diversos setores da economia e vida social, demonstrando a necessidade de maior resiliência e segurança em infraestruturas críticas por empresas e programas de governança de privacidade que prevejam soluções corretivas e alternativas em tecnologias, sobretudo em casos de emergência”, disse Polido.
A CrowdStrike, fundada em 2011, é uma empresa de segurança digital conhecida por proteger grandes conglomerados empresariais contra ataques de hackers. Utilizando técnicas avançadas, como inteligência artificial e aprendizado de máquina, a empresa visa prevenir ações de hackers antes que elas ocorram. Sua principal solução cibernética, o Sensor CrowdStrike Falcon, pode ser instalada em sistemas operacionais Windows, Mac ou Linux.
Causa do Apagão
A CrowdStrike informou que o apagão não foi causado por um ataque hacker, mas por um defeito em uma atualização de sistema operacional destinada aos sistemas Windows, utilizados por clientes finais. A empresa está trabalhando ativamente com os clientes afetados para resolver o problema técnico que agora gera prejuízos incalculáveis.
O problema causou a indisponibilidade de sistemas Windows, afetando severamente companhias aéreas, empresas de mídia, bancos e serviços de saúde em todo o mundo. Voos foram atrasados, operações bancárias foram interrompidas e serviços de comunicação ficaram indisponíveis, causando transtornos significativos para milhões de pessoas. “Esse incidente destaca a fragilidade da infraestrutura de TI e a importância de integrar a segurança cibernética de forma nativa ao backup”, comentou Kevin Reed, Chief Information Security Officer da Acronis.
Rafael Narezzi, especialista em cibersegurança e idealizador do Cyber Security Summit Brasil, também comentou sobre a complexidade de reverter a situação. “O apagão foi devido a um problema técnico da CrowdStrike, e com isso, muitos dispositivos no mundo que rodam o CrowdStrike receberam essa atualização defeituosa, o que trouxe essa situação catastrófica. Não é fácil de reverter porque existe um processo manual, e quando você tem muitos computadores fora do ar, torna-se algo trabalhoso de se fazer. Além disso, na Europa, que se encontra num período de férias, os times estão reduzidos, o que agrava a situação”.
Narezzi também alertou sobre as implicações de um mundo hiperconectado. “O impacto cibernético só evidencia o quão crítico é o mundo hiperconectado. Embora este incidente tenha sido causado por uma falha de segurança, poderia ter sido um ataque cibernético como o WannaCry. Estamos cada vez mais dependentes da nuvem e da tecnologia, e as consequências de uma falha são enormes”, completou.
Questões Legais no Brasil
No Brasil, as questões legais relacionadas ao apagão cibernético causado pela CrowdStrike já estão sendo monitoradas de perto. Fabricio Polido destacou três principais pontos:
Responsabilidade Contratual e Extracontratual: A CrowdStrike pode ser responsabilizada por danos causados a empresas e serviços afetados pela violação de obrigações contratuais ou pela violação da integridade de sistemas informáticos.
Contratos e Acordos: Os clientes da CrowdStrike podem ter contratos e acordos que estipulam níveis de serviço, responsabilidades e compensações em caso de falhas.
Investigação e Autuação Administrativas: Autoridades brasileiras, como a ANPD, podem conduzir investigações para entender a causa do apagão e avaliar se houve negligência ou violação de regulamentos de privacidade e proteção de dados.