Falha cibernética causada por atualização da CrowdStrike expôs vulnerabilidades na governança e na segurança da indústria; fundada em 2012, marca opera com 300 das maiores empresa americanas

A falha cibernética global que derrubou sistemas de aeroportos, bancos, emissoras de televisão e até hospitais ao redor do mundo é inédita, na repercussão que tomou, e vai exigir que toda a indústria de software repense seus padrões de governança e de testes de segurança, avaliam especialistas.

A pane, que aconteceu após uma atualização do sistema de segurança da CrowdStrike, afetou milhares de computadores que usam o Windows, sistema operacional da Microsoft que está em mais de 70% dos computadores do mundo.

— A falha escancarou o nível de responsabilidade da indústria.

O primeiro impacto para a empresa é o da imagem da CrowdStrike.

Também vamos acompanhar agora como serão os debates sobre responsabilidade civil, já que a pane gerou danos para outras empresas, que terão prejuízos — diz Francisco Camargo vice-presidente do conselho da Associação Brasileira das Empresas de Software (ABES).

Ainda não está claro quantos computadores, usuários ou empresas foram atingidos pela pane.

Com 29 mil clientes ao redor do mundo, a CrowdStrike pode parecer desconhecida para o público geral, mas é uma das líderes do mercado de proteção cibernética para terminais.

Em 2022, a empresa chegou na liderança no mercado de US$ 8,6 bilhões de segurança endpoint (que protege os dispositivos finais), com participação de 17,7%. Desde então, fica entre o segundo e primeiro lugar na liderança da maior fatia desse setor.

Uma das principais soluções da companhia é o Falcon Sensor, que fornece detecção e resposta a ameaças cibernéticas de computadores. Foi justamente uma falha na atualização desse sistema que gerou o BSOD, a “tela azul da morte” em português, ao corromper milhares de computadores que operam com o Windows.

— O software busca proteger os equipamentos que estão na ponta da rede.

Para fazer isso, ela instala um agente que fica 100% do tempo atuando com as contramedidas que ele têm dentro do software dele para identificar as ameaças e tomar as ações de forma automática — afirma Geraldo Guazzeli, diretor da empresa de segurança cibernética Netscout.

A falha atingiu o sistema operacional de computadores mais popular do mundo porque foi uma atualização feita especificamente para o Windows, acrescenta Guazzeli. É por isso o problema não afetou sistemas da Apple ou Linux.

Ele lembra que esse tipo de atualização faz parte da operação das empresas de softwares de cibersegurança, e funcionam de forma constante para corrigir vulnerabilidades, melhorar o desempenho do sistema de proteção ou incluir novas funcionalidades para garantir a eficácia do software contra ameaças.

— Eles devem ter encontrado alguma vulnerabilidade ou falha no Windows que eles trataram de corrigir, com a atualização do sistema para um camada de proteção contra essa nova ameaça. Foi aí que a falha aconteceu. — acrescenta Camargo, da ABES.

Geralmente, a atualização desses sistemas acontece primeiro em ambientes de testes, em pequena escala, para depois serem levados ao mercado. Nesse caso, a falha poderia ter sido evitada se a empresa tivesse adotado processos mais rigorosos de testes e controles, avaliam especialistas.

O software da CrowdStrike, segundo a própria empresa, é usado por 298 companhias da Fortune 500, uma lista anual compilada e publicada pela revista Fortune, que classifica as 500 maiores empresas dos Estados Unidos.

A empresa é relativamente nova, foi fundada em 2012, mas desde então conseguiu contratos importantes em setores-chave da economia americana, o que ajuda a explicar o tamanho do estrago gerado.

Mas nível de impacto para cada setor depende da carteira de clientes da Crowdstrike, por isso tivemos setores e países mais ou menos afetados — diz Marcelo Mendes, especialista em cibersegurança e membro do Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados.

A falha acende alerta para as brechas de governança nas empresas de tecnologia, especialmente naquelas de segurança digital, avalia Pedro Henrique Ramos, sócio da área de tecnologia do Baptista Luz e professor de direito digital do Ibmec.

— Essa falha mostra que as empresas precisam ter uma visão mais abrangente sobre governança digital, que é mais ampla que a proteção de dados pessoais. Também que as companhias têm de ter um plano de ação de resposta para quando falhas desse tipo acontecerem.

Mendes lembra que existe uma pressão na indústria de cibersegurança para manter seus sistemas atualizados contra novas ameaças. Mas isso não deveria baixar as salvaguardas da companhia para a realização de testes de controle mais apurados antes de rodar o update.

O “apagão” ainda escancara a concentração que existe no setor de segurança cibernética. De acordo com a plataforma SecurityScorecard, apenas 15 companhias do mundo respondem pela proteção em 62% dos ataques cibernéticos globais em superfícies externas.

Um dos motivos que explica o efeito menos devastador da falha no Brasil é o custo das soluções da CrowdStrike, entre as mais caras do mercado, explica Felipe Palhares, sócio de Proteção de Dados e Cybersecurity do BMA Advogados. Com soluções similares mais acessíveis no mercado brasileiro, o alcance comercial da companhia é menor e o produto fica mais restrito para grandes organizações brasileiras, segundo o especialista.

— Além disso, o nosso mercado é menos maduro se comparado ao mundo ocidental — acrescenta Guazzeli, da Netscout. — Esse é um aspecto que não é muito bom, mas que acabou ajudando (nesse caso).

Antes de ganhar notoriedade global pela falha, a CrowdStrike era uma das queridinhas de Wall Street na indústria de cibersegurança.

Desde 2019, quando abriu capital na bolsa de tecnologia Nasdaq, as ações valorizaram mais de 350%. No últimos 12 meses, a alta acumulada era de 97%, enquanto Nasdaq subiu pouco mais de 23%. Nesta sexta-feira, os papéis caíram mais de 11%.

— O episódio vai fazer com o que o crescimento da empresa nos próximos trimestres no mínimo tenha uma desaceleração, conforme os clientes analisam a pane.

Os acidentes acontecem, mas a avaliação vai ser de como a empresa conduziu a situação — afirma Matheus Popst, sócio da Arbor Capital.

 

Um dos fatores que ajudou no crescimento da empresa foi seu foco em proteção completa para o ‘endpoint’, habilitada por inteligência artificial, o que gerava respostas mais rápidas para ameaças.A empresa também ganhou notoriedade em investigações de grandes ataques hackers como o que atingiu a Sony Pictures, em 2014.

Retomada será lenta
Pelo X, o CEO da CrowdStrike, George Kurtz, afirmou que o problema na atualização já foi identificado, isolado e uma correção havia sido instalada. Em entrevista à rede americana NBC, ele admitiu, no entanto, que poderá levar “algum tempo” para que alguns sistemas voltem a operar.

Mesmo que a falha seja corrigida, poderá levar até dias para que as empresas afetadas retomem a normalidade das operações, explica Guilherme van de Velde, diretor de tecnologia e operações do Instituto de Tecnologia e Liderança (Inteli).

Um dos movitos é que uma correção manual é necessária para os milhares de dispositivos “bugados”, o que vai exigir que técnicos acessem cada um deles para aplicar a correção:

— Como é um software de segurança, por mais que eles corrijam a aplicação, o computador não volta a funcionar sozinho.

As equipes de TI precisam reiniciar o computador e fazer isso de um modo seguro, onde vão acessar uma tela de comando para remover o arquivo que causou a falha — diz van de Velde.

A empresa, em nota

 afirmou que entende a gravidade e  lamenta profundamente o inconveniente e a interrupção.

Estamos trabalhando com todos os clientes afetados para garantir que os sistemas estejam de volta e que eles possam fornecer os serviços com os quais seus clientes estão contando, acrescentou a CrowdStrike.

Por Juliana Causin — São Paulo