A frequência de ataques em larga escala à TI corporativa está aumentando. Isso não é incomum ou inesperado, pois as empresas gastam muito em defesa cibernética em uma guerra assimétrica contra hackers que podem juntar algumas linhas de código e causar estragos.
Mas a maior interrupção de TI da história na sexta-feira, resultante de um bug de software do CrowdStrike sendo carregado nos sistemas operacionais da Microsoft em vez de qualquer ataque malicioso, mostra um tipo de ameaça tecnológica que vem aumentando junto com os hacks, mas recebe menos atenção: a falha de ponto único — um erro em uma parte de um sistema que cria um desastre técnico em setores, funções e redes de comunicação interconectadas; um enorme efeito dominó.
No início deste ano, a AT&T teve uma interrupção nacional atribuída a uma atualização técnica. No ano passado, a FAA teve uma interrupção que ocorreu depois que um único indivíduo substituiu um arquivo crítico em uma atualização de rota (agora que a FAA tem um sistema de backup para evitar que isso aconteça novamente).
“É mais frequente mesmo quando se trata apenas de patches e atualizações de rotina”, disse Chad Sweet, cofundador e CEO do Chertoff Group e ex-chefe de gabinete do Departamento de Segurança Interna, à CNBC na sexta-feira.
Painéis digitais são vistos devido à interrupção global de comunicações causada pela CrowdStrike, que fornece serviços de segurança cibernética para a empresa de tecnologia americana Microsoft. Foi observado que alguns outdoors digitais na Times Square, na cidade de Nova York, Estados Unidos, exibiram uma tela azul e algumas telas ficaram completamente pretas em 19 de julho de 2024.
Selçuk Acar | Anadolú | Imagens Getty
O gerenciamento de risco de falha de ponto único é um problema que as empresas precisam planejar e se proteger. Não há software no mundo que seja lançado e não precise ser corrigido ou atualizado mais tarde, e há melhores práticas de segurança que existem para o período de tempo bem depois de um lançamento de produção que cobrem a manutenção contínua do software, disse Sweet.
As empresas com as quais o Chertoff Group trabalha estão revisando de perto os padrões de desenvolvimento e atualização de software após a paralisação do CrowdStrike. Sweet apontou para um conjunto de protocolos que o governo já fornece, o SSDF (Secure Software Development Framework), que pode dar ao mercado uma ideia do que esperar quando o Congresso começar a analisar a questão mais de perto. Isso é provável após a recente série de incidentes, da AT&T à FAA e CrowdStrike, já que esse tipo de falha técnica agora demonstrou impactar as vidas dos cidadãos e as operações de infraestrutura crítica em uma base generalizada.
“Prepare-se no lado corporativo”, disse Sweet.
Aneesh Chopra, diretor de estratégia da Arcadia e ex-diretor de tecnologia da Casa Branca, disse à CNBC na sexta-feira que setores críticos, incluindo energia, bancos, assistência médica e companhias aéreas, têm regulamentações separadas supervisionando riscos, e as medidas podem ser únicas nos setores mais regulamentados. Mas para qualquer líder empresarial a questão agora é: “Supondo que os sistemas caiam, qual é o plano B? Veremos muito mais planejamento de cenários e, se esta não for a tarefa nº 1, é a tarefa nº 2 ou 3 ter esses cenários delineados”, disse ele.
Ao contrário de muitas questões em DC, Chopra observou que há um comprometimento bipartidário com questões de infraestrutura crítica e risco sistêmico, e padrões técnicos são uma “marca registrada” do sistema dos EUA. Pode haver agora esforços que ele descreveu como projetados com o objetivo de “melhorar a competição” como um meio de fortalecer a responsabilização.
“Se houver um mecanismo para atualizar de uma forma mais aberta e competitiva, pode haver pressão para garantir que isso seja feito de uma maneira que tenha todos os detalhes bem definidos”, disse Chopra.
Sweet disse que isso inevitavelmente levará a preocupações do mundo empresarial sobre o risco de regulamentação excessiva. Embora não haja como saber com certeza agora se havia uma maneira de a CrowdStrike operar usando um processo mais aberto que permitisse a detecção da falha de ponto único, ele disse que é uma pergunta legítima a ser feita.
O melhor método para evitar a regulamentação excessiva, de acordo com Sweet, é procurar mecanismos de reforço de mercado, como a indústria de seguros. “A resposta curta é: ‘Deixe o livre mercado fazer isso, por meio de coisas como a indústria de seguros, que recompensará bons atores com prêmios mais baixos”, disse ele.
Sweet também disse que mais empresas deveriam adotar a ideia de organizações “antifrágeis”, como ele faz com seus clientes, um termo cunhado pelo analista de risco Nassim Nicholas Taleb. “Não apenas uma organização que é resiliente após uma interrupção, mas aquelas que prosperam, inovam e superam os concorrentes”, disse ele. Em sua opinião, qualquer legislação ou regulamentação única teria dificuldade em acompanhar ataques maliciosos e atualizações técnicas que são impostas com consequências não intencionais.
“É um chamado para despertar, com certeza”, disse Chopra.