Artigos - Postado em: 13/01/2025

Ameaças invisíveis: a pane global do Windows em julho de 2024 e a relação com a segurança da sua empresa

Por Brenda Beltramin

Recentemente, as notícias sobre a pane do Windows que afetou cerca de 24 mil empresas em todo o mundo tomaram as manchetes dos principais canais de notícias. Infraestruturas como aeroportos, hospitais, órgãos governamentais e serviços bancários foram afetadas e o prejuízo para alguns setores atingiu a casa dos bilhões de dólares.

Mas o que realmente aconteceu?

Em 19 de julho de 2024, um erro na atualização do software de segurança Falcon, pertencente à empresa especializada em segurança cibernética Crowdstrike resultou na impossibilidade de ligar milhões de computadores em todo o mundo.

Para compreender como isso ocorreu, é importante ter em mente que o Falcon não funciona da mesma maneira que antivírus tradicionais. Enquanto antivírus tradicionais escaneiam os dispositivos em busca de códigos de vírus já conhecidos – e portanto, dependem de atualização constante do catálogo de vírus para serem eficazes -, o Falcon monitora o comportamento dos códigos na máquina para identificar códigos maliciosos antes que eles sejam categorizados e listados.

O Falcon é assim um software de inicialização – ou seja, ele deve ser iniciado para que o Windows possa também iniciar e o usuário possa utilizar o seu dispositivo. Portanto, o código de uma atualização de 19 de julho continha erros que impediam que o Falcon iniciasse. Como o Windows não pode iniciar sem que o Falcon seja previamente iniciado, a consequência foi a famosa “tela azul” em mais de 8 milhões de dispositivos em todo o mundo.

A Crowdstrike e as empresas afetadas se apressaram em clarificar que o problema não foi consequência de um cyberataque, tratando-se apenas de uma interrupção de serviços. Os dados dos milhões de usuários não foram expostos ou comprometidos, mas a implementação, em escala global, de uma atualização com código disfuncional escancarou as vulnerabilidades de segurança a que empresas de todos os ramos estão expostas.

Quais lições podemos extrair de uma das maiores interrupções de serviços digitais da história?

Independentemente das críticas aos mecanismos de checagem de códigos e atualizações por parte da Crowdstrike, o ocorrido expõe a fragilidade das redes de segurança corporativas. No caso, a atualização realizada continha um código incorreto, mas inofensivo. Porém, vulnerabilidades similares podem ser utilizadas para propagar códigos maliciosos.

A utilização de aplicações e redes globais para propagar códigos maliciosos não é nenhuma novidade. Em 2020, um cyberataque foi propagado para mais de 18 mil empresas por meio de um software da Solarwinds, empresa de tecnologia. O ataque afetou gigantes da telecomunicação americana, órgãos governamentais e algumas das maiores empresas de contabilidade dos Estados Unidos.

Cyberataques de intrusão que exploram relações entre clientes e fornecedores para propagar ferramentas maliciosos foram um dos tipos mais comuns em 2023. Esses ataques são conhecidos como “supply chain attacks” ou “ataques à cadeia de fornecimento” e nos últimos anos, observamos grandes empresas como BBC, British Airways e CloudFlare serem afetadas por incidentes dessa natureza.

A lição é clara: ainda que uma empresa possua todas as medidas de segurança desejáveis, ela pode estar exposta a riscos e vulnerabilidades fora do seu controle.

Para além dos impactos no funcionamento do negócio, a empresa pode estar sujeita a consequências jurídicas e sofrer sanções, inclusive multas, caso não gerencie apropriadamente os incidentes envolvendo dados pessoais.

Quais as possíveis consequências jurídicas dos ataques à cadeia de fornecimento?

No Brasil, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) trata com muita seriedade a questão de incidentes de segurança – ainda que o incidente tenha ocorrido em um prestador de serviços. A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18 – “LGPD”) é taxativa ao determinar que a responsabilidade pelos dados pessoais é compartilhada entre os diferentes agentes de tratamento – ou seja, sua empresa pode ser responsabilizada ainda que não tenha culpa no incidente.

Para se resguardar em relação a esses riscos, as empresas devem escolher fornecedores críticos com cautela e estabelecer procedimentos para monitorar periodicamente o nível de segurança e conformidade com a legislação vigente desses fornecedores. A jurisprudência brasileira demonstra que empresas podem ser responsabilizadas pela falta de diligência na escolha e monitoramento de seus fornecedores, ainda que não tenham culpa em eventuais situações de incidente.

Além disso, para prevenir eventuais consequências de uma responsabilização da empresa por incidente ocorrido em um de seus prestadores de serviços, os contratos celebrados devem incluir cláusulas de proteção de dados pessoais proporcionais aos riscos inerentes ao serviço prestado e com determinações claras sobre responsabilidade e indenização.

Além disso, a LGPD determina que incidentes envolvendo dados pessoais que possam acarretar risco ou dano aos titulares afetados devem ser comunicados à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e aos próprios titulares.

A responsabilidade por fazer essa comunicação é do controlador. Ora, em casos de incidentes de segurança em prestadores de serviços de tecnologia da informação, normalmente o controlador é a empresa contratante. Como a comunicação deve ocorrer no prazo de três dias úteis, é imprescindível que haja celeridade por parte da empresa no processamento do incidente e na compreensão de seus impactos.

A obrigação de comunicar incidentes de segurança tem sido um dos principais pontos de fiscalização por parte da ANPD. De seis organizações sancionadas pela autoridade até a data de publicação deste artigo (15/08), cinco delas receberam penalidades relativas à violação da obrigação de comunicar incidentes de segurança envolvendo dados pessoais.

Por essa razão, é importante que as empresas estejam preparadas para gerenciar momentos de falha da tecnologia – em especial incidentes de segurança, nos quais as consequências podem ser mais severas.

Como resguardar sua empresa?

Falhas tecnológicas e incidentes de segurança tendem a ser momentos de alta tensão dentro das empresas. Por isso, é fundamental possuir um Plano de Resposta a Incidentes preestabelecido. Esse Plano auxilia na resposta rápida ao incidente, prevenindo consequências e danos piores e permitindo que a situação seja adequadamente analisada e a decisão de comunicar da ANPD e dos titulares possa ser tomada dentro dos prazos previstos na regulação.

Embora o reflexo mais comum frente a situações desta natureza seja o aspecto técnico – com as medidas de segurança da informação implementadas -, o aspecto jurídico é a sua consequência natural e deve impreterivelmente ser tratado. As potenciais fontes de litígio – ANPD, Ministério Público, Procon, etc) devem ser cuidadosamente analisadas em cada situação visando apresentar, com antecedência, uma direção de encaminhamento do tema. 

O Departamento de Direito Digital do Chenut Advogados tem uma grande expertise em parcerias de negócios focada em segurança, prevenção e correção. Entre em contato conosco para uma conversa sem compromisso sobre o tema, será um prazer falar com você. 


O CHENUT alcançou por oito vezes o 1° lugar como o escritório mais admirado de Minas Gerais pela publicação Análise Editorial ADVOCACIA. Quer conhecer mais sobre a nossa Equipe e nossos serviços? Entre em contato com novosnegocios@chenut.online e agende uma conversa.

 

 

https://www.forbes.com/sites/barrycollins/2024/07/19/huge-windows-blackout-hits-banks-airports-and-more/; https://www.cnnbrasil.com.br/tecnologia/entenda-o-que-e-a-tela-azul-da-morte-primeiro-sinal-do-apagao-cibernetico/; https://www.theguardian.com/technology/article/2024/jul/19/crowdstrike-microsoft-outage; https://g1.globo.com/mundo/noticia/2024/07/19/crowdstrike-falcon-microsoft-apagao-mundo.ghtml; https://www.aljazeera.com/economy/2024/7/19/australia-struck-by-major-it-outage-hitting-banks-media-telecoms 
https://edition.cnn.com/2024/07/24/tech/crowdstrike-outage-cost-cause/index.html
https://www.bbc.com/news/live/cn056371561t
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/
https://www.theguardian.com/technology/article/2024/jul/19/what-is-crowdstrike-microsoft-windows-outage; https://edition.cnn.com/2024/07/19/tech/crowdstrike-update-global-outage-explainer/index.html
https://www.reuters.com/article/technology/solarwinds-hack-was-largest-and-most-sophisticated-attack-ever-microsoft-pres-idUSKBN2AF03Q/; https://www.gao.gov/blog/solarwinds-cyberattack-demands-significant-federal-and-private-sector-response-infographic
https://go.crowdstrike.com/global-threat-report-2024.html?utm_campaign=cao&utm_content=crwd-cao-amer-bra-en-psp-x-wht-gtr-tct-x_x_x_x-x&utm_medium=sem&utm_source=goog&utm_term=cyber%20security%20threats%20and%20attacks&cq_cmp=21555316780&cq_plac=&gad_source=1&gclid=Cj0KCQjwzva1BhD3ARIsADQuPnVwt2fg_5UDPZlRRSTyQoFQxpSAIMeUwkYuRa-QMxmwHcu-7Epb8hoaAnFKEALw_wcB (pg. 20 em diante)
https://www.ncsc.gov.uk/information/moveit-vulnerability#:~:text=A%20number%20of%20organisations%20whose%20supply%20chains,with%20customer%20and/or%20employee%20data%20being%20stolen; https://blog.cloudflare.com/thanksgiving-2023-security-incident  
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
 J-SP – AC: 10896174720208260100 SP 1089617-47.2020.8.26.0100, Relator: Tavares de Almeida, Data de Julgamento: 24/08/2022, 23ª Câmara de Direito Privado, Data de Publicação: 25/08/2022
https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-15-de-24-de-abril-de-2024-556243024
 https://www.gov.br/anpd/pt-br/documentos-e-publicacoes, “Decisões em processos sancionadores”

Voltar