/cdn.vox-cdn.com/uploads/chorus_asset/file/25623451/DSCF0036.jpg?w=120&resize=120,86&ssl=1)
A frequência de ataques em larga escala à TI corporativa está aumentando. Isto não é incomum nem inesperado, já que as empresas investem pesadamente em defesas cibernéticas numa luta assimétrica contra hackers que podem causar estragos com algumas linhas de código.
Mas a maior interrupção de TI de sexta-feira, causada não por um ataque malicioso, mas por um bug de software CrowdStrike que foi incorporado aos sistemas operacionais da Microsoft, destaca um tipo de ameaça técnica que está crescendo junto com os ataques de hackers, mas que recebe menos atenção é o ponto único da falha. – uma falha numa parte de um sistema que desencadeia uma catástrofe técnica em indústrias, funções e redes de comunicação interligadas – um enorme efeito dominó.
No início deste ano, a AT&T passou por uma interrupção nacional devido a uma atualização técnica. No ano passado, a FAA sofreu uma interrupção que ocorreu depois que uma única pessoa substituiu um arquivo importante durante uma atualização de rota (agora a FAA tem um sistema de backup instalado para evitar que isso aconteça novamente).
“Está se tornando mais comum, mesmo que sejam apenas patches e atualizações de rotina”, disse Chad Sweet, cofundador e CEO do Chertoff Group e ex-chefe de gabinete do Departamento de Segurança Interna, à CNBC na sexta-feira.
Os outdoors digitais são vistos devido ao apagão global de comunicações causado pela CrowdStrike, que fornece serviços de segurança cibernética à empresa de tecnologia norte-americana Microsoft. Em 19 de julho de 2024, foi observado que alguns outdoors digitais na Times Square, na cidade de Nova York (EUA), exibiam uma tela azul e algumas telas ficaram completamente pretas.
Selçuk Acar | Anadolú | Imagens Getty
Gerenciar o risco de ponto único de falha é um problema que as organizações devem planejar e contra o qual se proteger. Não há nenhum software no mundo que seja lançado e não precise ser corrigido ou atualizado posteriormente, e existem práticas recomendadas de segurança que existem bem após o lançamento de produção e cobrem a manutenção contínua do software, disse Sweet.
As empresas com as quais o Chertoff Group trabalha estão revisando de perto seus padrões de desenvolvimento e atualizações de software após a interrupção do CrowdStrike. Sweet apontou para um conjunto de protocolos que o governo já possui, o SSDF (Secure Software Development Framework), que poderia dar ao mercado uma ideia do que esperar quando o Congresso começar a olhar mais de perto para a questão. Isso é provável após a recente série de incidentes, da AT&T à FAA e à CrowdStrike, uma vez que está agora provado que estes tipos de falhas técnicas estão a ter impacto na vida dos cidadãos e nas operações de infraestruturas críticas em grande escala.
“Esteja preparado do lado corporativo”, disse Sweet.
Aneesh Chopra, estrategista-chefe da Arcadia e ex-chefe de tecnologia da Casa Branca, disse à CNBC na sexta-feira que setores críticos como energia, bancos, saúde e companhias aéreas tinham regulamentações de risco separadas e que as medidas podem ser diferentes nos setores mais fortemente regulamentados. No entanto, a questão que se coloca a todos os líderes empresariais agora é: “Supondo que os sistemas falhem, qual é o Plano B?” Veremos muito mais planejamento de cenários, e se esse não for o trabalho número 1, é o trabalho número 2 ou 3 mapear esses cenários”, disse ele.
Ao contrário de muitas outras questões em Washington, disse Chopra, existe um envolvimento bipartidário em questões de infra-estruturas críticas e risco sistémico, e as normas técnicas são uma “marca distintiva” do sistema dos EUA. Poderá haver agora medidas destinadas, acredita ele, a “melhorar a concorrência”, a fim de reforçar a responsabilização.
“Se houver um mecanismo para uma atualização mais aberta e competitiva, poderá haver pressão para garantir que isso aconteça com todos os detalhes necessários”, disse Chopra.
Sweet disse que isso inevitavelmente levantará preocupações na comunidade empresarial sobre o risco de regulamentação excessiva. Embora atualmente não haja como dizer com certeza se a CrowdStrike poderia ter usado um processo mais aberto que permitisse a detecção do erro de ponto único, ele disse que é uma questão legítima.
A melhor forma de evitar o excesso de regulamentação, segundo Sweet, é confiar em mecanismos de fortalecimento do mercado, como o sector dos seguros. “A resposta curta é: ‘Vamos deixar isso para o mercado livre, como o setor de seguros, que recompensa os bons atores com prêmios mais baixos'”, disse ele.
Sweet também disse que mais empresas deveriam abraçar a ideia de organizações “antifrágeis”, como ele faz com seus clientes, termo cunhado pelo analista de risco Nassim Nicholas Taleb. “Não apenas uma organização que é resiliente após a disrupção, mas uma que prospera, inova e supera a concorrência”, disse ele. Na sua opinião, qualquer legislação ou regulamento único teria dificuldade em acompanhar tanto os ataques maliciosos como as atualizações técnicas que são promovidas com consequências indesejadas.
“Este é definitivamente um alerta”, disse Chopra.
