Numa questão de poucas horas, na sexta-feira, 19 de julho de 2024, centenas das maiores empresas do mundo pararam. As pessoas em todo o mundo começaram a perguntar-se: “Será que é ransomware outra vez? Ou (Deus nos livre) um ataque nuclear?”
Afinal, tudo o que foi necessário para paralisar grande parte da infraestrutura global de TI foi uma atualização de software de rotina de uma empresa líder de mercado em software de cibersegurança.
Os operadores de TI de todo o mundo foram obrigados a esforçar-se nos dias seguintes para corrigir manualmente as máquinas afectadas, provocando entretanto interrupções generalizadas. No total, os danos económicos ultrapassarão provavelmente mais de 10 mil milhões de dólares a nível mundial, grande parte dos quais sem seguro (ou seja, porque não se tratou de um ato malicioso ou de um cibercrime).
Neste artigo, vamos examinar algumas das lições críticas a aprender para os fornecedores de tecnologia e para as equipas de operações de TI encarregadas de manter os sistemas operacionais.
Primeiro, o que aconteceu
A CrowdStrike, um dos principais fornecedores de software de cibersegurança, lançou uma atualização de software defeituosa(ver análise da causa principal) para o seu produto Falcon que fez com que cerca de 8,5 milhões de computadores Windows afectados apresentassem erros BSOD e ficassem inoperacionais.
Embora a CrowdStrike tenha fornecido rapidamente um patch/correção manual para a atualização, o grande volume de computadores afectados significou interrupções generalizadas dos sistemas que duraram vários dias (e semanas em alguns casos) em centenas de países em todo o mundo.
O preço das acções da CrowdStrike sofreu um declínio imediato de quase 50%, e a empresa está a enfrentar pedidos de remuneração por parte dos clientes e, provavelmente, futuros processos judiciais. Os danos causados aos clientes empresariais afectados também foram consideráveis.
A Delta, por exemplo, sofreu mais de 7.000 cancelamentos de voos e enfrenta atualmente 176.000 pedidos de reembolso e perdas totais estimadas entre 350 e 500 milhões de dólares.
Dada a extensão da perda económica que esta interrupção provocou tanto à CrowdStrike como aos seus clientes, é importante aprender com o incidente para que futuras ocorrências possam ser mitigadas.
Lições para as equipas de TI
O facto de uma atualização de software com erros de um único fornecedor ter sido capaz de causar tantas perturbações constitui uma poderosa chamada de atenção para a resiliência das TI.
Segue-se uma série de considerações e dicas relevantes:
- Não são apenas os ciberataques que podem comprometer os teus sistemas. Com tanto foco organizacional (e orçamento) dedicado à prevenção de ransomware e outras ameaças cibernéticas, este grande incidente é um lembrete de que os ciberataques não são o único vetor de risco que ameaça a continuidade do negócio e a resiliência dos dados de uma organização.
- Gere as vulnerabilidades de software de terceiros. O teu software de terceiros está definido para “atualização automática”? O teu software de terceiros foi verificado (e existe um plano para o monitorizar continuamente quanto a vulnerabilidades)? A tua organização está a utilizar software não suportado ou EOL/EOSL (fim de vida / fim de vida útil)?(Saiba por que usar software EOL/EOSL é uma má idéia.) Priorize e corrija possíveis vulnerabilidades em sua pilha de software de terceiros.
- Evita a dependência do fornecedor. Com muitas organizações de TI a consolidarem-se num ou em alguns fornecedores para funções-chave, como cibersegurança, cópia de segurança e recuperação, computação em nuvem e monitorização de TI, a interrupção do CrowdStrike pode dar uma pausa para reconsideração. Ao diversificarem-se em vários produtos/plataformas, as organizações de TI podem diversificar os seus riscos e proteger-se no futuro contra falhas específicas dos produtos.
- Assegura a excelência do backup e da recuperação. Com a ampla gama de vetores de risco que ameaçam as organizações modernas, a excelência em backup e recuperação torna-se ainda mais importante para a resiliência dos dados. Automatiza o monitoramento de backup e a correção de falhas de backup com uma ferramenta de monitoramento de backup comprovada, como o Bocada, para garantir a conformidade com os mandatos RPO/RTO (objetivo de ponto de recuperação/objetivo de tempo de recuperação) da sua organização.
Lições para os fornecedores de software
Tal como outros fornecedores no espaço da cibersegurança, a CrowdStrike é responsável por lidar com novas vulnerabilidades e ameaças à medida que estas surgem. A rapidez é essencial neste tipo de trabalho. É provável que esta necessidade de ser altamente reativo a novos riscos/vulnerabilidades tenha criado compensações ou atalhos nos processos que a CrowdStrike utiliza para implementar as suas actualizações de software.
Eis alguns aspectos que os fornecedores de software (não apenas no domínio da segurança) devem ter em conta:
- Equilibra a velocidade e a garantia de qualidade. Por muito forte que seja a motivação para publicar uma atualização de software a tempo, é importante garantir testes e garantia de qualidade adequados, mesmo correndo o risco de falhar um prazo. Por exemplo, a implementação de uma atualização num ambiente de teste interno antes de a implementar em ambientes de produção pode garantir que uma atualização está a funcionar como pretendido antes de ser implementada nos clientes.
- Implementa actualizações contínuas. Em muitas organizações, as actualizações de software são fornecidas aos clientes em lotes (numa base contínua). Quando combinado com a monitorização ativa e os ciclos de feedback dos utilizadores, isto dá aos fornecedores a capacidade de parar e reverter uma atualização defeituosa antes que os danos se generalizem.
É tudo uma questão de resiliência
À medida que as organizações e as equipas de TI navegam num cenário de TI cada vez mais complexo e globalizado, a resiliência deve estar na vanguarda das suas estratégias.
Para as equipas de TI, isto significa ter uma visão holística dos riscos, não se concentrando apenas nas ciberameaças, mas também nas vulnerabilidades operacionais. Diversificar os fornecedores, gerir rigorosamente as actualizações de software (e migrar para fora do software EOL/EOSL) e garantir operações robustas de cópia de segurança e recuperação são fundamentais para mitigar futuras interrupções.
Em última análise, a resiliência tem a ver com preparação e adaptabilidade. Ao aprenderem com a interrupção do CrowdStrike, tanto as equipas de TI como os fornecedores de software podem criar operações mais fortes e resistentes que suportem o inesperado, salvaguardando a continuidade do negócio e protegendo contra perdas económicas potencialmente devastadoras.