CrowdStrike: como uma empresa pouco conhecida causou um apagão cibernético global? Analistas falam
Falha cibernética causada por atualização da CrowdStrike expôs vulnerabilidades na governança e na segurança da indústria
A falha cibernética global que derrubou sistemas de aeroportos, bancos, emissoras de televisão e até hospitais ao redor do mundo é inédita, na repercussão que tomou, e vai exigir que toda a indústria de software repense seus padrões de governança e de testes de segurança, avaliam especialistas.
A pane, que aconteceu após uma atualização do sistema de segurança da CrowdStrike, afetou milhares de computadores que usam o Windows, sistema operacional da Microsoft que está em mais de 70% dos computadores do mundo.
— A falha escancarou o nível de responsabilidade da indústria. O primeiro impacto para a empresa é o da imagem da CrowdStrike. Também vamos acompanhar agora como serão os debates sobre responsabilidade civil, já que a pane gerou danos para outras empresas, que terão prejuízos — diz Francisco Camargo vice-presidente do conselho da Associação Brasileira das Empresas de Software (ABES).
Ainda não está claro quantos computadores, usuários ou empresas foram atingidos pela pane.
Com 29 mil clientes ao redor do mundo, a CrowdStrike pode parecer desconhecida para o público geral, mas é uma das líderes do mercado de proteção cibernética para terminais.
Em 2022, a empresa chegou na liderança no mercado de US$ 8,6 bilhões de de segurança endpoint (que protege os dispositivos finais), com participação de 17,7%.
Desde então, fica entre o segundo e primeiro lugar na liderança da maior fatia desse setor.
A principal solução da companhia é o Falcon Sensor, que fornece detecção e resposta a ameaças cibernéticas de computadores, dispositivos de internet das coisas e até caixas eletrônicos contra atividades maliciosas.
Foi justamente uma falha na atualização desse sistema que gerou o BSOD, a "tela azul da morte" em português, em milhares de computadores que operam com o Windows.
— O software busca proteger os equipamentos que estão na ponta da rede. Para fazer isso, ela instala um agente que fica 100% do tempo atuando com as contramedidas que ele têm dentro do software dele para identificar as ameaças e tomar as ações de forma automática — afirma Geraldo Guazzeli, diretor da empresa de segurança cibernética Netscout.
A falha atingiu o sistema operacional de computadores mais popular do mundo porque foi uma atualização feita especificamente para o Windows, acrescenta Guazzeli.
Por isso o problema não afetou sistemas da Apple ou Linux, por exemplo.
Ele lembra que esse tipo de atualização faz parte da operação das empresas de softwares de cibersegurança, e funcionam para corrigir vulnerabilidades, melhorar o desempenho do sistema de proteção ou incluir novas funcionalidades para garantir a eficácia do software contra ameaças.
— Eles devem ter encontrado alguma vulnerabilidade ou falha no Windows que eles trataram de corrigir, com a atualização do sistema para um camada de proteção contra essa nova ameaça. Foi aí que a falha aconteceu. — acrescenta Camargo, da ABES.
Geralmente, a atualização desses sistemas acontece primeiro em ambientes de testes, em pequena escala, para depois serem levados ao mercado. Nesse caso, a falha poderia ter sido evitada se a empresa tivesse adotado processos mais rigorosos de testes e controles, avaliam especialistas.
O software da CrowdStrike, segundo a própria empresa, é usado por 298 companhias da Fortune 500, uma lista anual compilada e publicada pela revista Fortune, que classifica as 500 maiores empresas dos Estados Unidos.
A empresa é relativamente nova, foi fundada em 2012, mas desde então conseguiu contratos importantes em setores chaves da economia americana, o que ajuda a explicar o tamanho do estrago gerado.
A falha escancara as brechas de governança para empresas de tecnologia, especialmente em segurança digital, avalia Pedro Henrique Ramos, sócio da área de tecnologia do Baptista Luz e professor de direito digital do Ibmec.
— Essa falha mostra que as empresas precisam ter uma visão mais abrangente sobre governança digital, que é mais ampla que a proteção de dados pessoais. Também que as companhias têm de ter um plano de ação de resposta para quando falhas desse tipo acontecerem.
Pelo X, o CEO da CrowdStrike, George Kurtz, afirmou que o problema na atualização já foi identificado, isolado e uma correção havia sido instalada.