À medida que a poeira baixar sobre o incidente cibernético causado pelo lançamento de uma atualização corrompida pela CrowdStrike, muitas empresas conduzirão, ou deveriam conduzir, uma análise retrospectiva completa sobre como o incidente afetou seus negócios e o que pode ser feito de forma diferente no futuro.
Para a maioria das infraestruturas críticas e grandes organizações, seus planos de resiliência cibernética testados e comprovados foram, sem dúvida, ativados. No entanto, o incidente, apelidado de "a maior interrupção de computadores da história", provavelmente foi algo para o qual nenhuma organização, por maior que fosse ou por mais em conformidade que estivesse com as normas cibernéticas, poderia ter se preparado. Pareceu um "momento de Armagedom", como demonstraram as interrupções nos principais aeroportos na sexta-feira (19).
Uma empresa pode se preparar para a indisponibilidade de seus próprios sistemas ou de alguns parceiros importantes. No entanto, quando um incidente é tão generalizado que afeta, por exemplo, o controle de tráfego aéreo, os departamentos de transporte do governo, os fornecedores de transporte e até mesmo os restaurantes dos aeroportos e as empresas de televisão que alertam os passageiros sobre o problema, a preparação provavelmente será limitada aos seus próprios sistemas. Felizmente, incidentes dessa magnitude não são comuns.
O incidente da última sexta-feira (19) demonstra que basta apenas uma pequena porcentagem de dispositivos ficar offline para causar um grande incidente global. A Microsoft confirmou que 8,5 milhões de dispositivos foram afetados, e uma estimativa conservadora coloca esse número entre 0,5% e 0,75% de todos os dispositivos PC.
Essa pequena porcentagem, no entanto, corresponde aos dispositivos que precisam ser mantidos seguros e sempre ativos, pois estão em serviços essenciais. É por isso que as empresas que os operam implantam atualizações e patches de segurança assim que ficam disponíveis. Se isso não for feito, poderá ter consequências graves e levar os especialistas em incidentes cibernéticos a questionar o raciocínio e a competência da organização no gerenciamento dos riscos de cibersegurança.
Importância dos planos de resiliência cibernética
Um plano de resiliência cibernética detalhado e abrangente pode ajudar uma empresa a voltar a funcionar rapidamente. No entanto, em circunstâncias excepcionais como o incidente com a CrowdStrike, a empresa pode enfrentar dificuldades para retomar suas operações se os parceiros dos quais depende não estiverem tão bem preparados ou não conseguirem implantar os recursos necessários com rapidez. Nenhuma empresa pode prever todos os cenários e eliminar completamente o risco de interrupção dos negócios.
Dito isso, é importante que todas as empresas adotem um plano de resiliência cibernética e o testem periodicamente para garantir que ele funcione conforme o esperado. O plano pode até mesmo ser testado com parceiros comerciais diretos, embora seja provável que testes na escala do incidente "CrowdStrike Friday" sejam impraticáveis.
A mensagem mais importante após o incidente da última sexta-feira é que não se deve pular a análise retrospectiva ou atribuir o incidente a circunstâncias excepcionais. Analisar um incidente e aprender com ele melhorará a capacidade de lidar com incidentes futuros. Essa análise também deve considerar o problema da dependência de poucos fornecedores, as armadilhas de um ambiente de monocultura tecnológica e os benefícios da aplicação da diversidade tecnológica para reduzir os riscos.
Apostando em um único fornecedor
Há vários motivos pelos quais as empresas escolhem um único fornecedor. Um deles é, obviamente, a relação custo-benefício, os outros são provavelmente uma abordagem de fornecedor único e esforços para evitar várias plataformas de gerenciamento e a incompatibilidade entre soluções semelhantes lado a lado. Talvez seja hora de as empresas examinarem como uma coexistência comprovada com os concorrentes e uma seleção diversificada de produtos poderia reduzir os riscos e beneficiar os clientes. Isso poderia até mesmo assumir a forma de um requisito do setor ou de um padrão.
A análise retrospectiva também deve ser realizada por aqueles que não foram diretamente afetados pelo "CrowdStrike Friday". Eles testemunharam a devastação que um incidente cibernético isolado pode causar e, mesmo que não tenham sido impactados desta vez, podem não ter a mesma sorte na próxima. Portanto, é fundamental aproveitar o que os outros aprenderam com esse incidente para aprimorar sua própria postura de resiliência cibernética.
Por fim, uma maneira de evitar esse tipo de incidente é evitar o uso de tecnologia ultrapassada que possa ser vulnerável a ataques. No fim de semana, recebi um artigo mencionando que a Southwest Airlines não foi afetada pelo incidente, supostamente porque ainda usa o Windows 3.1 e o Windows 95, sendo que o Windows 3.1 não é atualizado há mais de 20 anos. Não tenho certeza se há algum produto antimalware que ainda ofereça suporte e proteção para essa tecnologia arcaica. Essa estratégia de usar tecnologia antiga não me dá confiança para voar com a Southwest no futuro próximo. Tecnologia ultrapassada não é uma solução viável e não constitui um plano de resiliência cibernética; é um desastre esperando para acontecer.