Compliance Digital: Nota Técnica sobre a Atualização da Crowdstrike
Nesta manhã ocorreu um “apagão cibernético global” que afetou sistemas de dispositivos da Microsoft por todo o mundo. Abaixo, detalhamos os principais pontos relacionados a esse incidente.
Por Adib Feguri, advogado, Thais Krempel, advogada, Guilherme Gut Sá Peixoto de Castro, sócio e Andréia Ferreira, sócia.
[email protected], [email protected], [email protected], [email protected]
19/07/2024 16h37
O que aconteceu e quem são os envolvidos
Uma atualização do programa Falcon, da empresa de segurança cibernética CrowdStrike, fornecedora de serviços de segurança da informação da Microsoft, fez com que os sistemas operacionais Windows, o mais usado no mundo, não funcionasse corretamente nesta manhã, causando interrupções nos sistemas de informática globais, o que afetou diversos tipos de serviços e atividades ao redor do mundo.
Como aconteceu
O problema foi registrado como um “defeito na atualização de conteúdo” da Falcon, da Crowdstrike, e não por um ataque cibernético. A atualização teria levado os computadores da Microsoft a identificarem “falsos positivos”, que rotulavam processos ordinários (processos comuns do computador) como maliciosos.
Erro de “Tela Azul”:
O erro fez os computadores que receberam a atualização apresentarem a “Tela Azul”, famosa por indicar um erro sistêmico no dispositivo. O procedimento é manual e pode ser resolvido caso a caso em cada empresa ou sistema informático, o que pode ser custoso e complexo, mas resolvido em minutos como medida de emergência até que sejam disponibilizadas soluções automáticas pelos responsáveis.
Possível caminho para resolver o problema:
- Iniciar o Windows no Modo de Segurança ou no Ambiente de Recuperação do Windows.
- Acessar o diretório C:\Windows\System32\drivers\CrowdStrike.
- Localizar o arquivo C-00000291*.sys e deletá-lo.
- Iniciar o dispositivo normalmente.
Recomendações de Compliance Digital e Sistemas de Segurança
É importante que o controlador das informações implemente medidas de Compliance Digital e de Segurança da Informação, inclusive em arquivos de cunho pessoal, que permitam a identificação e gestão dos riscos relacionados aos sistemas, dispositivos e informações utilizados em seus processos.
Para isso é necessário que as empresas se atentem à elaboração de mapeamentos, procedimentos e políticas internas que sejam aptas a garantir a efetividade de planos de contingência e de continuidade do negócio, inclusive em caso de erros em sistemas ou dispositivos, situações estas que caracterizam incidente de segurança nos termos da LGPD.
Cabe ressaltar ainda a necessidade de realizar avaliações prévias de fornecedores em relação a conformidade com legislações de privacidade e dos níveis de segurança dos sistemas utilizados, com especial atenção às cláusulas contratuais estabelecidas e o que estas definem em casos como o ocorrido hoje.
Recomendações trabalhistas
No âmbito das relações trabalhistas, consideramos que a situação se encaixa na definição de Força Maior, tratando-se de um acontecimento inevitável, em relação à vontade do empregador, e para a realização do qual este não concorreu, direta ou indiretamente.
No entanto, como a questão ainda não foi solucionada, não se sabe ao certo a dimensão do impacto em cada atividade econômica, sendo prematuro ainda para dizer que este evento terá o condão de ocasionar alguma extinção de empresa ou por quanto tempo se prolongará, sendo mais provável que o restabelecimento da normalidade ocorra com brevidade.
Algumas atividades, por exemplo, os profissionais de TI, tendem a ser mais demandados no período ocorrendo no caso a chamada necessidade imperiosa prevista no artigo 61 da CLT, e assim poderá a duração do trabalho exceder do limite legal ou convencionado, seja para atender à realização ou conclusão de serviços inadiáveis ou cuja inexecução possa acarretar prejuízo manifesto.
Por outro lado, em caso de alguma atividade que não possa ser executada em função do evento, os empregadores podem optar por deixar seus empregados livres para encerrar o expediente, no entanto, consideramos que tal liberalidade não poderá afetar a remuneração do empregado, caso contrária se estaria transferindo o risco do negócio ao trabalhador.
Há ainda a possibilidade, para empregados que não adotem esta liberalidade, que se valham da previsão do §3º do artigo 61 da CLT, que dispõe que “sempre que ocorrer interrupção do trabalho, resultante de causas acidentais, ou de força maior, que determinem a impossibilidade de sua realização, a duração do trabalho poderá ser prorrogada pelo tempo necessário até o máximo de 2 (duas) horas, durante o número de dias indispensáveis à recuperação do tempo perdido, desde que não exceda de 10 (dez) horas diárias, em período não superior a 45 (quarenta e cinco) dias por ano, sujeita essa recuperação à prévia autorização da autoridade competente.”
Outro possível impacto pode se relacionar a alguma obrigação de pagar assumida pelo empregador junto a seu empregado na data hoje e que seja comprometida em razão da instabilidade em alguns bancos. Se a empresa conseguir demonstrar de forma inequívoca que a transferência restou inviabilizada por este motivo de força maior, consideramos que não há que se falar em mora, entretanto, o recomendado é que a empresa seja proativa e transparente na comunicação interna e que o pagamento seja realizado na primeira oportunidade em que for possível realizá-lo.
Recomendações contratuais
Tratando-se de situação de força maior, é importante sua previsão contratual, através da inserção de cláusula de exclusão da responsabilidade civil, exonerando o devedor do cumprimento da obrigação e da obrigação de indenizar pelos danos causados, desde que comprovados os seguintes requisitos:
- Caracterização do Evento: Comprovação da imprevisibilidade e inevitabilidade do fato danoso.
- Nexo Causal: Demonstração da relação direta e necessária entre o evento e o dano.
- Ausência de Culpa: Prova de que o devedor não contribuiu para o evento ou que tomou todas as medidas cabíveis para evitá-lo.
Cláusulas de força maior podem ter redações específicas que determinam as situações em que a exclusão da responsabilidade se aplica e eventual cobertura do seguro para elas, como forma de resguardar os contratantes.
Impacto no Brasil:
Embora o problema não tenha sido tão intenso no Brasil, é importante considerar que nossa cadeia de produção e serviços pode ser afetada indiretamente, de forma que recomendamos a adoção de medidas preventivas e vigilância dos sistemas afetados.
A conclusão é que este evento serve como um lembrete da importância da segurança cibernética e da necessidade de estar preparado para lidar com interrupções inesperadas.