Comentários por Fabricio Polido – Advogado, sócio de L.O. Baptista, professor associado de Direito Internacional e Novas Tecnologias da UFMG
A CrowdStrike é uma empresa de segurança digital fundada em 2011, responsável por proteger grande conglomerados empresariais contra ataques hackers ao redor do globo, como bancos, seguradoras, cias aéreas. A empresa utiliza técnicas avançadas, como inteligência artificial e aprendizado de máquina, para prevenir ações de hackers antes que elas ocorram. Sua principal solução cyber, o Sensor CrowdStrike Falcon, pode ser instalado em sistemas operacionais Windows, Mac ou Linux.
Causa do apagão identificada: A Crowdstrike divulgou que o apagão global não foi causado por um ataque hacker, mas sim por um defeito em uma atualização de sistema operacional, por exemplo, a destinada aos sistemas Windows que, por sua vez, são utilizados por clientes finais. A empresa está trabalhando ativamente com os clientes afetados para resolver o problema técnico que agora gera prejuizos incalculáveis.
O problema causou a indisponibilidade de sistemas Windows, afetando severamente companhias aéreas, empresas de mídia, bancos e serviços de saúde em todo o mundo. Voos foram atrasados, operações bancárias foram interrompidas e serviços de comunicação ficaram indisponíveis, causando transtornos significativos para milhões de pessoas.
O impacto global do apagão demonstra a interdependência da tecnologia em nossas vidas: A falha em um único sistema teve um efeito cascata em diversos setores da economia e vida social, demonstrando a necessidade de maior resiliência e segurança em infraestruturas críticas por empresas e programas de governança de privacidade que prevejam soluções corretivas e alternativas em tecnologias, sobretudo em casos de emergência.
– Ainda há questionamentos sobre a responsabilidade pelo incidente: É possível que investigações sejam abertas para determinar se a CrowdStrike ou a Microsoft poderiam ter tomado medidas preventivas para evitar o apagão cyber gerado por uma falha de atualização de software.
No Brasil:
As questões legais relacionadas ao apagão cibernético causado pela CrowdStrike já são monitoradas de perto. Aqui estão os principais pontos:
1) Responsabilidade contratual e extracontratual: A CrowdStrike, como empresa de segurança cibernética, pode ser responsabilizada por danos causados a empresas e serviços afetados seja pela violação de obrigações contratuais com clientes, seja pela violação de integridade de sistemas informáticos – um ato ilícito e passível de responsabilização na esfera civil. Isso dependerá das circunstâncias específicas dos casos analisados e dos clientes afetados.
2) Contratos e Acordos: Os clientes da CrowdStrike podem ter contratos e acordos que estipulam níveis de serviço, responsabilidades e compensações em caso de falhas, omissões de segurança. A partir dos contratos firmados com Microsoft e CrowdStrike, será possivel verificar as obrigações legais e suas implicações em casos de violação..
3) Investigação e autuação administrativas: As autoridades brasileiras, como ANPD, podem conduzir investigações para entender a causa do apagão e avaliar se houve negligência ou violação de regulamentos de privacidade e proteção de dados. Se informações pessoais ou confidenciais e dados de titulares (incl. dados sensíveis) foram comprometidas durante o apagão, a empresa pode ser responsabilizada por violações das obrigações segundo a LGPD brasileira.
