Rui Shantilal - 23 jul. 13:52
Tão frágil quanto... um balão cheio de bits e bytes?
Tão frágil quanto... um balão cheio de bits e bytes?
Temos estado a tirar partido da tecnologia para sermos cada vez mais eficazes, eficientes, competitivos e a pandemia covid-19 impulsionou ainda mais a sua utilização. No entanto, devemos também refletir se não estamos a deixar pontas soltas durante esta aceleração estonteante
O mundo tecnológico avança a uma velocidade alucinante, prometendo inovações que transformam as nossas vidas. Por exemplo, durante a pandemia COVID-19, a tecnologia foi a nossa boia de salvação, permitindo atenuar o impacto através do teletrabalho, telescola, telemedicina, delivery, manter o contacto com familiares, entre outros casos de uso. Mais recentemente, assistimos a uma lufada de aceleração com a Inteligência Artificial Generativa (GenAI). Assumimos que a tecnologia está sempre presente, como se fosse oxigénio, mas por vezes precisamos de parar e refletir. E este é um desses momentos…
A semana passada, no dia 19 de Julho, o mundo presenciou um incidente que alguns categorizam como o maior blackout tecnológico de sempre. Hospitais viram os seus sistemas críticos interrompidos, ATMs ficaram inoperacionais e viagens aéreas de Londres a Tóquio sofreram cancelamentos e atrasos devido a falhas nos sistemas de reservas. Serviços de emergência, como linhas de atendimento 112, também foram afetados, colocando vidas em risco.
Tudo porque um fabricante de soluções de cibersegurança, a CrowdStrike, lançou uma atualização defeituosa que causou loops de reinicialização em milhões de sistemas Windows, deixando-os inoperacionais. Um simples ficheiro danificado impactou o mundo como se fosse um balão cheio de ar, expondo a fragilidade subjacente que vivemos hoje no mundo digital e tal devia-nos fazer parar e refletir. Por vezes dizemos: “se eu tivesse tido sinais…”! Encaremos isto como um sinal para refletirmos.
A CrowdStrike falhou aos seus mais de 34.000 clientes, que representam, estimadamente, 8.5 milhões de dispositivos afetados? Sim, falhou, não devia ter feito o envio de um update automático defeituoso, principalmente quando existem normas, procedimentos e standards que estabelecem os princípios básicos de testes necessários. A CrowdStrike falhou ao não testar adequadamente a sua atualização, causando perturbações em serviços críticos a nível global. Na indústria de software, principalmente de larga escala, estes processos podem ser complexos, mas nunca opcionais e é do conhecimento geral de todos.
A Microsoft, responsável pelo sistema operativo Windows, que nesse dia não esteve operativo, na minha opinião, também podia ter feito melhor. Imagine que compra um carro da marca A e contrata os serviços de navegação GPS de uma empresa externa para correr no seu carro. Se uma atualização defeituosa do serviço de GPS faz com que o seu carro fique inoperacional, devia o seu carro ser mais resiliente e não permitir que uma atualização de uma entidade terceira comprometa a disponibilidade do seu veículo? Para mim, naturalmente que sim. A Microsoft demonstrou fragilidade e falta de resiliência ao confiar, cegamente, em drivers externos sem mecanismos robustos de deteção e recuperação. Esta é uma falha sistêmica que necessita de ser abordada com urgência. Estamos expostos a quantos mais fabricantes que podem, de forma acidental ou intencional, provocar este dano nos nossos sistemas e no nosso ecossistema?
O impacto deste incidente também reflete a nossa extrema dependência da tecnologia. Milhões de utilizadores ficaram paralisados, evidenciando a falta de resiliência nos nossos processos e a ausência de planos de contingência eficazes. Esta dependência não é apenas um problema técnico, mas também uma questão de segurança e de gestão de riscos. Temos estado a tirar partido da tecnologia para sermos cada vez mais eficazes, eficientes, competitivos e a pandemia COVID-19 impulsionou ainda mais a sua utilização. No entanto, devemos também refletir se não estamos a deixar pontas soltas durante esta aceleração estonteante.
Este devia ser um momento de reflexão para os líderes tecnológicos e para todos nós. Será que estamos a avançar rápido demais, sem a devida consideração pela solidez e resiliência dos nossos sistemas? Por vezes, é melhor avançar de forma mais lenta e segura do que a uma velocidade estonteante, colocando vidas em risco. Não estamos a falar da disponibilidade da nossa PlayStation, mas de sistemas que suportam processos críticos e, em última análise, vidas humanas.
Um guia para perceber o apagão informático: a culpa foi da Microsoft? O que é a CrowdStrike? E quando voltamos à normalidade?Trabalho em tecnologia há praticamente 30 anos e estou consciente de que, por vezes, a tecnologia falha! Mas não devemos ser condescendentes quando os problemas podiam ter sido prevenidos se tivessem sido seguidas as mais elementares boas práticas. Os rigorosos testes de qualidade, resiliência, segurança e cenários de contingência não são opcionais, principalmente quando falamos de empresas com este grau de responsabilidade.
Por outro lado, é crucial entender que até as melhores práticas de teste e implementação podem falhar, ocasionalmente, devido a variáveis imprevistas. Tratam-se de contextos muitas vezes complexos. Isso não diminui a responsabilidade das empresas, mas sublinha a necessidade de sistemas operativos mais resilientes que possam isolar e mitigar problemas introduzidos por atualizações externas. É preciso assumir que algo vai falhar e termos de ter cintos e suspensórios, ou seja, construir resiliência.
E porque é que é tão difícil? Simplesmente porque as organizações estão altamente pressionadas para apresentar resultados, porque o mercado assim o exige. Se uma organização demorar o dobro do tempo a lançar um produto mais resiliente, os seus concorrentes talvez não esperem e lancem o produto mais rapidamente, fazendo com que a organização perca vantagem competitiva. Ao criar produtos mais resilientes, o preço das soluções também aumenta. Estará o mercado disposto a pagar por isso? Um avião com dois motores é mais caro do que um apenas com um motor. Este é o dilema. Este não é um problema apenas tecnológico, mas também de gestão. Eventualmente, também terá que ser feito mais da perspetiva da regulação e da colaboração entre empresas e governos. Normas como a NIS2 e DORA estão a ser desenvolvidas para aumentar a resiliência e segurança das infraestruturas digitais, impondo requisitos mais rigorosos para a gestão de riscos e a implementação de medidas de segurança cibernética.
O incidente CrowdStrike-Microsoft deve ser um alerta. Estamos a surfar um balão frágil cheio de bits e bytes. Precisamos repensar a nossa abordagem à tecnologia, priorizando a resiliência e a segurança sobre a velocidade e a inovação desenfreada. Afinal, a verdadeira inovação deve melhorar e proteger as nossas vidas, e não colocá-las em risco.