Auditorias rigorosas, planos de contingenciamento e diversificação de fornecedores são medidas imprescindíveis para mitigar os riscos sistêmicos
Empresas ao redor do mundo enfrentaram interrupções devido a uma falha em um sistema de segurança cibernética. O incidente era esperado por especialistas, que alertam sobre os riscos de uma governança digital frágil das empresas, mas eles só são ouvidos quando um caso desses estoura.
O caso CrowdStrike mostra que qualquer distúrbio pode implicar a paralisação de atividades inteiras. Essa é a avaliação de Pedro Henrique Ramos, sócio da área de Tecnologia do Baptista Luz e professor de Direito Digital do Ibmec: “Assistimos a um problema de dependência tecnológica. É preciso pensar em planos B para sistemas de segurança e de servidores independentemente dos custos”.
Diego Spinola, engenheiro de Software da Igma, diz que o episódio ilustra a falta de preparo das empresas e os riscos de terceirizar a gestão de TI sem uma auditoria rigorosa, a não ser quando casos desses vêm à tona. “Toda a infraestrutura de TI ficou nas mãos da CrowdStrike. Ou seja, toda a redundância dos sistemas também estava baseada no mesmo software. Isso significa que, se um sistema falhasse, o backup também falharia”, critica.
O incidente é um lembrete da necessidade de diversificar o mercado de cibersegurança, por meio do investimento em novos players que despontam no segmento. É essencial incentivar a inovação e a concorrência no setor tecnológico, contribuindo para reduzir o risco sistêmico e evitando a dependência excessiva de alguns grandes fornecedores.
Quanto à responsabilidade jurídica da CrowdStrike, Ciro Torres, sócio da área de Tecnologia do Pinheiro Neto Advogados, ressalva que é preciso avaliar se o evento era previsível e se realmente não houve interferência de agentes externos. De seu lado, Pedro Henrique Ramos afirma que as empresas provavelmente devem reavaliar os contratos e exigir indenizações ou até romper os negócios com os fornecedores.
Mais do que as empresas, quem sai prejudicado com uma falha dessas é o próprio usuário. “Atualizações da Microsoft são frequentes e comuns. A CrowdStrike precisaria estar preparada. Como não estava, até as pessoas entenderem o que aconteceu, o impacto já estava dado. Não foi um problema de servidor, bancos de dados ou invasão hacker”, constata Guilherme van de Velde, diretor de Tecnologia do Inteli.