Durante apresentação da DEF CON, ocorrida essa semana em Las Vegas, EUA, a CrowdStrike recebeu o prêmio “Maior Falha Épica” (Most Epic Fail), pela sua responsabilidade no Apagão Cibernético que paralisou diversas organizações no último mês de junho. O presidente da CorwdStrike, Michael Sentonas, subiu ao palco para receber o prêmio pessoalmente e defender a disposição da companhia em aceitar sua responsabilidade pelo incidente.
O prêmio faz parte da cerimônia PwnieAwards, que visa ironizar incidentes cibernéticos de grande porte ocorridos no ano. Todavia, Sentonas aproveitou a oportunidade para defender o posicionamento da empresa. Segundo ele, embora não seja um prêmio feito para gerar orgulho, ele via como uma necessidade estar presente para a cerimônia, pois seria uma maneira de reconhecer a responsabilidade na crise.
“A razão pela qual eu queria receber esse troféu é porque estou retornando para a sede da CrowdStrike, e ele ficará em um lugar de destaque. Quero que todos os funcionários que vierem trabalhar possam vê-lo, para lembrar-lhes como agimos errado e como devemos garantir que essas situações não se repitam no futuro”, afirmou Sentonas.
O executivo defendeu que lições foram aprendidas com o ocorrido, de modo que novas práticas de controle de atualizações foram assumidas pela companhia após o incidente. Ele reforçou ainda o papel da comunidade Cyber em proteger as pessoas e apontou esta como a prioridade da CrowdStrike. “Quero que todos na empresa entendam que estamos sujeitos a essas situações, mas a Comunidade Cyber é sobre cooperação mútua”, concluiu.
Para o CISO Advisor, Rodrigo Jorge, é uma atitude interessante porque demonstra coragem em não deixar de enfrentar uma situação pouco confortável. De acordo com ele, ir ao maior evento de hackers do mundo para se expor dessa maneira mostra o posicionamento que a companhia quer ter hoje. A CrowdStrike, apesar de todas as dificuldades como apagão cibernético, escolheu enfrentar o desafio de abraçar a própria responsabilidade.
“Vale ressaltar também o que ele disse que faria com o prêmio: expô-lo para as pessoas verem, lembrarem da dor e aprenderem com o que aconteceu. Isso é essencial para formar cultura e modelar o comportamento dos funcionários, o que é muito positivo para reajustar o posicionamento da base da empresa em favor de atitudes e práticas, mas seguras diante dos riscos. Me parece que há um compromisso com a evolução”, acrescenta Jorge.
A CrowdStrike também divulgou na última semana o relatório técnico sobre o ocorrido, trazendo informações mais detalhadas a respeito das causas do Apagão. O documento oferece medidas adicionais para que as empresas que ainda enfrentem problemas decorrentes da falha possam seguir se recuperando com mais celeridade.
Sobre o Apagão Cibernético
O incidente iniciou ainda no último dia 19, quando bancos, varejistas, bolsas de valores, linhas aéreas, transportes marítimos, entre outras áreas de negócios tomaram medidas urgentes para responder a uma parada crítica em seus sistemas. Devido a um defeito de fábrica, o update mais recente da plataforma Falcon, da CrowdStrike, causou problemas aos hosts Azure da Microsoft, que utilizam a ferramenta.
Posteriormente, a vendor de Cibersegurança informou que, devido a um bug no validador de conteúdo, uma das duas instâncias de modelo testadas naquele dia foi aprovada na validação, apesar de conter dados de conteúdo problemáticos. Com base nos testes realizados antes da implementação inicial, e na confiança nas verificações realizadas no validador de conteúdo e nas implementações anteriores bem-sucedidas, essas instâncias foram implementadas na produção.
A CrowdStrike e a Microsoft calculam que ao menos 8,5 milhões de dispositivos foram paralisados pela pane geral. “Os amplos impactos econômicos e sociais refletem o uso do CrowdStrike por empresas que executam muitos serviços essenciais. Esse incidente demonstra a natureza interconectada de nosso amplo ecossistema e é também um lembrete de como todo o ambiente tecnológico deve priorizar a implementação segura e recuperação de desastres com mecanismos existentes”, escreveu, à época, o Vice-Presidente de Enterprise e OS Security, David Weston.
De acordo com o estudo publicado pela companhia Parametrix, as organizações mais afetadas pela crise estão listadas na Fortune 500, as maiores empresas dos Estados Unidos por receita total no ano. Ela aponta que o custo entre todos os afetados, direta ou indiretamente, pela falha deve alcançar US$ 5,4 bilhões, com foco especial entre as linhas aéreas American Airlines, United Airlines e Delta Air Lines.