*Por Rangel Rodrigues
O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos.
As consequências da crise levaram até a Comissão do Senado norte-americano a convocar um depoimento do CEO da CrowdStrike, George Kurtz, para apresentar um relato sobre o incidente que culminou no apagão cibernético e apontar medidas preventivas para evitar que um evento semelhante não ocorra novamente.
O fato é que estamos presos e dependentes de um sistema – ou de vários sistemas – interconectados que podem falhar. Depois de quase duas semanas do ocorrido, entendemos que não adianta somente impor a culpa à CrowdStrike ou Microsoft, mas é mandatório fazer uma reavaliação do quanto estamos assegurados no quesito de contingência do ambiente corporativo para as aplicações e sistemas críticos.
Desde 11 de setembro de 2001, com o ataque às Torres Gêmeas em Nova York, o tema Continuidade de Negócio evoluiu, e praticamente a grande maioria das organizações implementaram Business Continuity Plan (BCP) e Disaster Recovery Plan (DRP) em seus respectivos ambientes corporativos. Este tema foi colocado com prioridade especialmente no mercado financeiro e indústrias, suportados por reguladores.
Me lembro daquele dia como se fosse hoje, quando trabalhava no departamento de Internet do BankBoston. Por ser uma instituição financeira naquela época, já havia processos internos para garantir a continuidade da operação, por exemplo, para o Internet Banking e outros serviços críticos como o próprio Sistema de Pagamentos Brasileiro (SPB). Embora algumas organizações na época do ataque mantivessem o datacenter principal em uma torre e o backup na outra, o resultado da história vocês já conhecem.
O evento das Torres Gêmeas mudou o paradigma em muitas empresas, e o tema de BCP/DRP passou a ser mandatório em muitas áreas de negócios e questão de sobrevivência para as organizações. O aprendizado daquela época trouxe novos pontos de controles e atenção ao tema. Por exemplo, a implementação de um BCP/DRP exigia um mínimo de 100km de distância entre o site principal e o datacenter backup. Além disso, testes e outros controles específicos passaram a ser exigidos.
Novos standards e frameworks foram criados exigindo a implementação de um BCP/DRP, e os reguladores passaram a exigir das organizações a garantia de um plano eficiente e implementado. Quem já implementou um BCP/DRP sabe que não é fácil geri-lo, pois inclui alto custos de espaço físico e estratégia de implementação. Manter o BCP/DRP e Business Impact Analysis (BIA) atualizados é outro desafio, e o processo deve estar conectado ao programa de Change Management, garantindo que qualquer mudança na infraestrutura e nas aplicações críticas sejam mapeadas e o DRP, atualizado.
Enfim, a manutenção e a necessidade em manter atualizados estes planos é uma tarefa árdua, mas necessária para sobrevivência. Com o advento da tecnologia “cloud”, muitas organizações acabaram se equivocando, ao entender que o tema BCP/DRP era de responsabilidade da provedora de cloud, quando, na verdade, a responsabilidade continua sendo do cliente. É claro que, dependendo do modelo de serviço – seja PaaS, IaaS ou SaaS – as responsabilidades são compartilhadas, logo, este assunto não deve ser negligenciado. Mas lembre-se que a responsabilidade da proteção da informação (dado) é sempre do cliente.
Neste momento, noticiamos que as estratégias de contingência e a forma de gerenciamento mudaram com a cloud, e as empresas passaram a estudar outras formas para garantir essa contingência. Seja manter o site backup no próprio provedor de cloud (CSP) ou em um diferente provedor (CSP), ou mesmo considerando zonas e continentes diferentes para garantir a alta disponibilidade.
Isso também acabou provocando um alto custo, devido à transferência de dados e alta cobrança pelo CSP, o que fez alguns clientes pensarem e manterem o site backup em um datacenter local em casos híbridos. Mesmo aquelas empresas que nasceram na cloud, como financeiras, tiveram que adotar novas estratégias de gestão como FinOps, visando gerir o custo com eficiência ou adotar o uso híbrido, ou multi-cloud para redução de custo e resiliência.
Entretanto, do meu ponto de vista, o que devemos considerar no que tange a continuidade das operações após o incidente com o CrowdStrike? Existe algum outro parâmetro que precisamos reconsiderar na estratégia de continuidade de negócios? Talvez não seria viável manter, digamos, duas tecnologias distintas (EDR): para as aplicações críticas, uma solução de menos risco, e para as aplicações menos críticas, uma solução de maior risco? Como deveríamos avaliar este risco? Qual discernimento devemos considerar e qual abordagem de Cyber Risk Management é necessário aplicar para mitigar um risco desta proporção? E quanto ao desafio de interoperabilidade e resiliência entre os sistemas?
Enfim, o intuito deste artigo, como puderam perceber, foi despertar um ponto de atenção. Devemos continuamente ser uma torre de sentinelas que não dormem. Creio que devemos observar o ambiente atingido ou analisar o impacto que o incidente ocasionou em outras organizações para trazer lições aprendidas em nosso ambiente, isto é, o básico de Segurança continua fazendo diferença sem procrastinação.
Em verdade, este incidente demostrou a importância de ter processos de Governança, Cibersegurança e Cyber Risk Management interconectados e alinhados com as necessidades do negócio. Mesmo com a chegada da inovação tecnológica, tais com a Inteligência Artificial (IA), creio que nunca se irá substituir a mente dos hackers, algo dito também por alguns experts influentes na área, e empresas como BugCrowd já ressaltaram sobre o tema. Em outras palavras, a mente humana ainda é uma riqueza para o desenvolvimento da tecnologia, e continuamente as organizações precisarão empregar mentes brilhantes, capazes de entender os problemas delas, como aplicar medidas para protegê-las, antecipando a ocorrência de incidentes.
Não estou dizendo que o benefício da IA não pode agregar valor ao negócio. Ela obviamente ajuda na identificação de ameaças em Threat Intelligence, entre outros pontos. Mas as mentes brilhantes podem ser capazes de identificar meios e caminhos para driblar o inimigo, e por isso entendo que precisamos formar novos profissionais e uma geração capaz de pensar, não apenas criar as coisas de uma maneira rápida usando a IA Generativa. Há um provérbio de Salomão que diz: “O valor da sabedoria concede entendimento e conhecimento. Devemos buscá-la como a prata e ouro e então acharemos tesouros escondidos”.
Como exemplo, uma empresa australiana, que teve muitos dos PCs e mais de 100 servidores impactados pelo CrowdStrike, estava criptografada com o BitLocker da Microsoft. Um engenheiro de software identificou que poderiam recuperar os PCs e servidores digitando manualmente a chave de 48 caracteres em cada dispositivo para recuperação, imagina o terror. Logo, o profissional e seu time tiveram uma ideia brilhante: eles criaram um script que transformava as chaves do BitLocker em códigos de barras, no qual eram exibidos na área de trabalho de um servidor de gerenciamento, de onde podiam ser escaneados para desbloquear os equipamentos após o restart do sistema, viabilizando o acesso com a chave. A equipe comprou scanners em uma loja de departamento para aplicar a solução em uma larga escala, resolvendo o problema em algumas horas.
Por fim, reforço que a mente humana é uma riqueza de conhecimento e entendimento. As evidências e artefatos são visíveis ao longo dos anos que passaram, pois o ser humano, com a sua mente brilhante e criativa, é capaz de criar algo novo e tem sido assim em toda a humanidade.
*Rangel Rodrigues (csocyber) é advisor e arquiteto em Segurança da Informação, CISSP, CCSP, CCSK, CCTZ, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA e Cyber Risk Management pela Harvard University. Tem MBA em Gestão de TI pela FIA-USP e é professor de Pós-Graduação em Gestão de Cibersegurança e Riscos Tecnológicos na FIA. Atualmente, trabalha para uma instituição financeira nos Estados Unidos.
