Uma falha em sistemas operacionais de tecnologia causou um “apagão cibernético” global, que afetou ou paralisou as operações de companhias aéreas e ferroviárias, sistemas bancários, hospitais, órgãos governamentais e empresas de telecomunicação nesta sexta-feira (19). Os serviços foram retomados horas depois.

+Apagão cibernético: brasileiros comemoram embarque em avião após atraso em aeroporto de Amsterdã

+Apagão cibernético global afeta hospitais de São Paulo e atrasa atendimentos

A dimensão das consequências de problemas na Microsoft e no CrowdStrike demonstrou o quanto esse tipo de operação tecnológica é parte estrutural de atividades econômicas e sociais de todos os tipos.

O site Istoé ouviu especialistas em direito digital e cibersegurança para entender as lições deixadas pelo “apagão” e qual é a responsabilidade das empresas que estiveram no centro do episódio.

– Claudinei Elias, especialista em cibersegurança e gestão de riscos e CEO da Ambipar ESG

– Kleber de Souza, gerente de segurança da informação da CG One

– Luiz Augusto D’Urso, professor de direito digital da FGV-SP (Fundação Getulio Vargas) e presidente da Comissão Nacional de Cibercrimes da Abracrim (Associação Brasileira dos Advogados Criminalistas)

Quais são os principais impactos do apagão cibernético? Do ponto de vista da cibersegurança, este episódio deixa quais lições?

Claudinei Elias Ficou evidente a vulnerabilidade das infraestruturas tecnológicas globais e a interdependência entre diferentes setores e regiões. Uma falha sistemática causou interrupções significativas em serviços críticos e deixou clara a necessidade de políticas de segurança cibernética mais robustas e de maior resiliência nas infraestruturas de TI.

Mas essa crise oferece perspectivas para evitar episódios semelhantes no futuro, ao apontar para a necessidade de implementar testes mais rigorosos e duradouros antes de fazer atualizações e de desenvolver um plano de resposta rápida a incidentes, com testes robustos e uma gestão de crise contínua.

Kleber de Souza Há um tripé na segurança da informação: confidencialidade, integridade e disponibilidade. No apagão, a disponibilidade foi diretamente atingida, uma vez que sistemas ficaram fora do ar e impactaram o core business de centenas de empresas e usuários que consumiam seus serviços.

Em primeiro lugar, isso deixou evidente como faz falta uma realização mais cuidadosa de testes antes da implementação ou atualização de um novo sistema — é essencial rever os processos operacionais dos sistemas de informação neste sentido.

Luiz Augusto D’Urso Quase 100 mil passageiros tiveram seus voos atrasados, empresas de comunicação e órgãos do Judiciário foram afetados por todo o mundo: o nível de impacto é consequente de um erro no sistema operacional mais usado do mundo, que é da Microsoft. O erro, portanto, tem essa dimensão.

Este caso demonstra a dependência de um grupo de empresas. Fato é que poucas companhias dominam a internet como um todo — e, se uma delas falha, o resultado é global.

A grande lição deixada é a necessidade de repensar os monopólios e a dependência de um pequeno grupo de corporações. Em outros episódios, uma invasão de sistema ou uma falha humana podem colocar em risco uma cadeia muito grande, que não tem perspectiva de solução senão pela descentralização dos sistemas, que permite um ‘plano B’ diante de uma crise.

As empresas envolvidas na crise podem ser responsabilizadas? De que forma?

Claudinei Elias A responsabilização pode se dar nos âmbitos contratual, com base em cláusulas que definem o nível da segurança exigida nos serviços prestados; regulatório, uma vez que diversas jurisdições estabelecem obrigações às empresas para proteger os dados dos clientes, em que constam previsões de sanções em caso de violação, como a LGPD (Lei Geral de Proteção de Dados), no Brasil; civil, já que clientes e parceiros afetados podem buscar compensações por danos por meio de ações civis; e penal, caso fiquem comprovadas negligências ou más condutas deliberadas.

Luiz Augusto D’Urso As autoridades precisarão avaliar se houve uma questão de caso fortuito ou força maior para apurar as responsabilidades pelo “apagão”.

Cada país impactado e cada jurisdição terá uma avaliação do caso, mas é fato que haverá uma cobrança em dezenas de países pela investigação célere das empresas envolvidas no episódio.