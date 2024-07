Quando na sexta-feira de manhã liguei o computador e abri os sites de notícias – algo a que na minha profissão podemos chamar o arranque de um dia de trabalho –, o primeiro pensamento foi: "Ciberataque russo".

O momento fazia sentido. A convenção republicana nos EUA tinha acabado, o Partido Democrata estava mergulhado numa indefinição, Vladimir Putin tem muito em jogo nas presidenciais americanas de Novembro e semear o caos parece ser um dos métodos de eleição para o ditador russo.

A Rússia tem um historial sério de ciberataques, cuja autoria o Kremlin costuma negar, atirando responsabilidades para hackers independentes sempre peculiarmente alinhados com a visão geopolítica de Moscovo. Os ataques à Estónia em 2007 – que dois anos depois acabaram por ser assumidos por um deputado da Duma – foram um abrir de olhos para o resto do mundo, incluindo para a NATO, que criou um centro de ciberdefesa.

E, no entanto, aquilo que tem sido descrito como a maior falha informática global foi apenas um erro numa actualização do software de cibersegurança de uma empresa da qual a maior parte das pessoas nunca ouvira falar.

Por esta altura, os leitores já terão digerido os pormenores e, tendo em conta as notícias dos últimos dias, talvez até esquecido o caso: uma empresa americana chamada CrowdStrike lançou uma actualização de software com um bug, paralisando 8,5 milhões de computadores com Windows, o que incluiu servidores a partir dos quais muitas empresas e entidades públicas correm os seus sistemas. Aquele número representa menos de 1% de todos os computadores com o sistema operativo da Microsoft.

Foram afectados supermercados, bancos, hospitais, escolas e – um dos sectores onde o impacto foi mais mediatizado – companhias aéreas. Perto de 5% dos voos daquele dia foram cancelados, em pleno período de pico de viagens turísticas. As redes sociais encheram-se de fotografias de cartões de embarque preenchidos à mão; no mínimo, um motivo de consolo para os viajantes millenials e da geração Z, duas faixas demográficas propensas à nostalgia, em particular à nostalgia tecnológica.

A falha chegou a ser descrita como a versão de 2024 do Y2K (o famoso bug do milénio, para o qual foram tomadas extensas providências, mas que não chegou a acontecer), excepto que desta vez com consequências reais. Outros, excessivamente, classificaram-na até como uma versão digital da pandemia. É uma comparação absurda, se nos lembrarmos dos dois anos de confinamentos e dos milhões de mortes.

É sempre difícil avaliar os impactos deste tipo de apagões informáticos. As empresas evitam falar de como e de com que extensão os seus serviços são afectados. Mas não são precisos números ou relatórios para saber que não vivemos nestes últimos dias nada próximo de uma catástrofe. O problema foi rapidamente descoberto e de forma igualmente rápida foi encontrada uma solução, embora a execução dessa solução seja mais morosa.

Isto levanta a questão: porquê o tom de alarme de tantos especialistas? "A humanidade hoje corre riscos muito grandes", dizia ao PÚBLICO um deles, num tom semelhante ao de tantos outros em tantas outras publicações.

O caso ilustrou uma fragilidade específica dos sistemas tecnológicos em que assentam muitos dos serviços e infraestruturas críticos que damos por adquiridos: a dependência de um número pequeno de empresas. Uma falha no software de uma destas empresas, ou dos seus fornecedores, pode facilmente ter um efeito em cadeia que afecta milhões de computadores e de pessoas.

Também mostrou outro problema, que não será resolvido: a penalização para empresas que cometam erros como o da CrowdStrike é reduzida, sobretudo quando a comparação é feita com sectores que são altamente regulados. Imaginemos o que aconteceria se uma farmacêutica pusesse no mercado um lote de medicamentos com a composição errada. Ou veja-se o caso da Boeing, a quem a justiça americana impôs uma penalização multimilionária (os casos são bastante diferentes nas consequências concretas, é certo). Os clientes da CrowdStrike poderão querer ser indemnizados pelas perdas que a falha provocou. Mas há peritos a apostar que os contratos da empresa lhe vão permitir sair ilesa, ou perto disso.

Há, claro, a penalização do mercado. Muitos clientes da CrowdStrike já deverão estar a olhar para produtos da concorrência. A empresa perdeu quase um terço do seu valor em bolsa desde sexta-feira. Mas esta é uma consequência independente de qualquer lei ou regulação.

O caso mostrou também um erro em que, por inércia ou atalho de pensamento, tendemos a cair quando pensamos na infra-estrutura tecnológica global; é que esta não é uma infra-estrutura global. Seja por determinação política e estratégia de auto-suficiência (o caso da China) ou pelo efeito de sanções (Rússia, Irão), houve países para os quais o grande apagão tecnológico passou ao lado.

E, por fim, talvez a mais importante lição de todas: se uma pequena falha involuntária tem um impacto significativo, um ataque deliberado pode ser devastador. Não é uma lição inédita. Lembremo-nos do WannaCry, um ciberataque que em 2017 lançou o caos em muitas entidades, incluindo hospitais. Os EUA e o Reino Unido apontaram a Coreia do Norte como a origem do ataque.

Há apenas um ponto em que comparar a falha de sexta-feira com a verdadeira pandemia dos anos recentes faz sentido. Quando o vírus se alastrou pelo planeta, também já tínhamos sido avisados durante anos por peritos. De resto, ainda não tivemos nenhum vírus informático que se assemelhe nas suas consequências ao vírus da covid. "Ainda" sendo aqui a palavra-chave.