Um apagão informático global nos sistemas operativos Windows, da Microsoft, afectou, no passado dia 19 de Julho, cerca de 8,5 milhões de computadores em hospitais, aeroportos, bancos, entre outros serviços. Apesar do susto inicial e da suspeita, que se mostraria infundada, de que se poderia tratar de um ataque informático, não tardou até que se descobrisse a verdadeira origem do problema – um defeito numa actualização do software Falcon, da empresa de cibersegurança Crowdstrike, para Windows.

Passado, em grande parte, o problema – de acordo com a Reuters, a empresa confirmou que dois dias depois já uma parte substancial dos dispositivos afectados estava a funcionar com normalidade –, começam a calcular-se agora os custos adjacentes. À CNN, Patrick Anderson, presidente de uma empresa de consultoria, estimou que o prejuízo consequente da falha informática pode ultrapassar os mil milhões de dólares.

Mesmo tendo George Kurtz, CEO da Crowdstrike assumido logo no dia do apagão que o problema era da responsabilidade da empresa, isso não significa que todos os custos recaiam sobre ela, como explicou ao PÚBLICO Rita Ferreira Ramos, advogada com trabalho na área da privacidade, protecção de dados e segurança. “É uma coisa que eles conseguiriam prever?”, diz a advogada, sublinhando que há nuances no caso.

Para além disso, a Microsoft e as instituições que utilizam os serviços Windows também podem não ficar isentas de responsabilidades. Usemos um exemplo de alguém que perdeu um voo devido ao apagão. Essa pessoa vai pedir responsabilidades à companhia aérea, que é, neste caso, quem não prestou o serviço a que se propunha. A companhia, por seu lado, pode fazer o mesmo com a Microsoft, com quem terá um contrato. E será a Microsoft quem pode responsabilizar, no final da cadeia, a Crowdstrike.

Na União Europeia existe a directiva NIS 2 (Segurança de Rede e Informação, na sigla em inglês), que impõe penalizações sobre entidades que não cumpram uma série de requisitos de cibersegurança. A directiva define sectores como os da saúde, infra-estruturas do mercado financeiro, sector bancário, transportes, infra-estruturas digitais, entre outros, como sendo de importância crítica. Basicamente, “tudo o que foi afectado com esta falha”, aponta Rita Ferreira Ramos. É, portanto, possível que a Microsoft seja penalizada pelo sucedido.

"As empresas, com quem vão tentar litigar à primeira, vai ser com a Microsoft", prevê a advogada. "Ela depois pode exercer o seu direito de regresso sobre o prestador de serviços", completa. Ainda assim, como Rita Ferreira Ramos acautela ao PÚBLICO, sem ter acesso aos contratos entre empresas, é difícil saber em concreto o que vai acontecer no futuro.

Tratando-se de um problema com repercussões globais, também é mais complicado definir sobre quem recaem os custos com o sucedido. “A responsabilidade civil não funciona de forma igual em todos os países”, refere a advogada. Ou seja, na prática, uma entidade que tenha sofrido com a falha em Portugal e outra, por exemplo, nos Estados Unidos, estarão em situações diferentes. Mesmo dentro de um país como os EUA, em que os estados podem ter enquadramentos legais distintos, pode haver múltiplas situações distintas.

Microsoft usa acordo com UE como justificação

Ao The Wall Street Journal, um porta-voz da Microsoft disse que o nível de protecção dos dispositivos que utilizam Windows é diferente daquele que existe em dispositivos Mac devido a um acordo entre a empresa e Comissão Europeia.

No acordo, datado de 2009, Microsoft e Comissão Europeia, concordaram que os fabricantes de software de cibersegurança deveriam ter o mesmo nível de acesso ao Windows que a Microsoft tem.

Em termos simples, um processo num computador pode decorrer em dois modos diferentes: modo de utilizador e modo kernel.

Se decorrer em modo kernel, tem acesso ao código nuclear do computador e a todo o sistema operativo. O modo de utilizador é mais superficial e é onde correm, normalmente, as aplicações comuns. Se considerarmos que o modo kernel é a camada zero do computador, o modo de utilizador é a camada um.

Isto significa, na prática, que caso haja um erro nesta camada um, o erro não vai causar problemas mais alargados. Caso aconteça na camada zero, no kernel, todo o sistema fica comprometido. Foi o que aconteceu no caso no apagão de 19 de Julho, já que o Falcon tem acesso ao modo kernel.

No caso de dispositivos com outros sistemas operativos, como os Mac (Apple) e os Chromebook (Google), o nível de acesso nuclear que estes fabricantes têm é menor. Essa é uma das justificações para o facto de a actualização do Falcon não ter causado perturbações nestes aparelhos.