Uma grande falha informática a nível mundial provocada pela empresa de cibersegurança Crowdstrike fez cair ligações em hospitais, companhias aéreas, bancos e repartições públicas em todo o mundo. O que é que foi feito desde então para evitar uma nova crise?
Há um ano, uma atualização defeituosa de uma empresa de cibersegurança derrubou os sistemas informáticos de hospitais, companhias aéreas, bancos e gabinetes governamentais em todo o mundo.
Em 19 de julho de 2024, a Crowdstrike lançou uma atualização do seu programa Falcon, utilizado pelos computadores Microsoft Windows para recolher dados sobre potenciais novos métodos de ciberataque.
A operação de rotina transformou-se num "Blue Screen of Death" (BSOD) para cerca de 8,5 milhões de utilizadores da Microsoft, no que muitos consideraram uma das maiores falhas de Internet da história.
As consequências significaram perdas financeiras significativas para os clientes da Crowdstrike, estimadas em cerca de 10 mil milhões de dólares (8,59 mil milhões de euros).
"Não havia sinais de aviso de que um incidente desta natureza fosse provável", disse Steve Sands, membro do Chartered Institute for IT, à Euronews Next.
"A maior parte das organizações que dependem do Windows não tinham qualquer planeamento para fazer face a um evento deste tipo".
Mas o que é que a Crowdstrike aprendeu com esta falha e o que é que as outras empresas podem fazer para evitar a próxima?
É necessária uma vigilância "permanente" do ambiente informático
Um ano após o Crowdstrike, as interrupções em bancos e "grandes fornecedores de serviços" sugerem que a comunidade de cibersegurança não mudou muito, segundo Eileen Haggerty, vice-presidente de produtos e soluções da empresa de segurança na nuvem NETSCOUT.
Até agora, este ano, uma interrupção na nuvem da Cloudflare derrubou o Google Cloud e o Spotify em junho, alterações na aplicação Authenticator da Microsoft levaram a uma interrupção para milhares de pessoas que utilizavam o Outlook ou o Gmail em julho, e uma falha de software na SentinelOne eliminou as redes críticas necessárias para manter os seus programas a funcionar.
Haggerty afirmou que as empresas precisam de ter visibilidade para responder a possíveis problemas de software antes que estes aconteçam, através de uma "monitorização permanente" das suas redes e de todo o seu ambiente de TI.
Haggerty sugere que as equipas de TI realizem "testes sintéticos", que simulam a forma como um site lidaria com o tráfego real antes de uma função crítica falhar.
Estes testes forneceriam às empresas "a previsão vital de que necessitam para antecipar os problemas antes mesmo de estes terem hipótese de se materializarem", acrescentou.
Numa publicação no blogue, a Microsoft afirmou que a monitorização sintética não é hermética e nem sempre é "representativa da experiência do utilizador", porque as organizações lançam frequentemente novas versões, o que pode provocar a instabilidade de todo o sistema.
A publicação no blogue acrescenta que pode melhorar o tempo de resposta para corrigir um erro, uma vez detectado.
Depois de uma interrupção, Haggerty também sugere a criação de um repositório detalhado de informações sobre o motivo do incidente, para que se possa antecipar quaisquer desafios potenciais antes que se tornem um problema.
Sands disse que esses relatórios devem incluir planos de resiliência e recuperação, juntamente com uma avaliação dos casos em que a empresa depende de empresas externas.
Qualquer empresa que pretenda construir com "resiliência" deve fazê-lo o mais cedo possível, uma vez que é difícil ser "aparafusado mais tarde", disse ele.
"Muitas empresas terão atualizado os seus planos de resposta a incidentes com base no que aconteceu", disse Sands.
"No entanto, a experiência diz-nos que muitas já terão esquecido o impacto a relativamente curto prazo e o caos causado e terão feito pouco ou nada".
Nathalie Devillier, especialista do Centro Europeu de Competências Cibernéticas da União Europeia, disse à Euronews no ano passado que os fornecedores europeus de serviços de segurança informática e de computação em nuvem deveriam estar sediados no mesmo continente.
"Ambos devem estar no espaço europeu para não dependerem de soluções tecnológicas estrangeiras que, como podemos ver hoje, têm impacto nas nossas máquinas, nos nossos servidores e nos nossos dados todos os dias", afirmou na altura.
O que é que a Crowdstrike fez depois da interrupção?
Crowdstrike disse em uma postagem recente no blog este mês que desenvolveu um modo de auto-recuperação para "detetar loops de falha e ... sistemas de transição para o modo de segurança", por si só.
Há também uma nova interface que ajuda os clientes da empresa a ter maior flexibilidade para testar as atualizações do sistema, como definir diferentes cronogramas de implantação para sistemas de teste e infraestrutura crítica para que isso não aconteça ao mesmo tempo.
Uma funcionalidade de fixação de conteúdos também permite aos clientes bloquear versões específicas dos seus conteúdos e escolher quando e como as actualizações são aplicadas.
A CrowdSource também tem agora um Centro de Operações Digitais que, segundo a empresa, lhe dará uma "visibilidade mais profunda e uma resposta mais rápida" aos milhões de computadores que utilizam a tecnologia em todo o mundo.
A empresa também efectua revisões regulares do seu código, processos de qualidade e procedimentos operacionais.
"O que nos definiu não foi aquele momento, foi tudo o que veio a seguir", disse George Kurtz, o CEO da Crowdstrike, num post no LinkedIn esta semana, observando que a empresa está agora "baseada na resiliência, transparência e execução implacável".
Embora a Crowdstrike tenha efectuado algumas alterações, Sands acredita que poderá ser "uma tarefa impossível" evitar outra falha ao mesmo nível, porque os computadores e as redes "são, por natureza, altamente complexos, com muitas dependências".
"Podemos certamente melhorar a resiliência dos nossos sistemas do ponto de vista da arquitetura e da conceção... e podemos preparar-nos melhor para detetar, responder e recuperar os nossos sistemas quando ocorrem falhas", afirmou.