McAfee - Atualização de anti-vírus indisponibiliza computadores

Na última semana a McAfee fez sua operação de rotina e lançou um novo update com definições de vírus e worms. Só que desta vez a McAfee em vez de proteger, atacou. O incidente causou interrupções de diversas atividades empresariais em diversos setores, inclusive em alguns hospitais dos EUA como pode ser evidenciado nos sites da ABC e Fiercecio, que interromperam atendimentos de emergência que não fossem de risco de vida e causaram o cancelamento de várias cirurgias.

Será que pelo simples fato das organizações atualizarem seus sistemas elas podem acreditam estarem seguras? Que podem “baixar a guarda” desta linha de defesa e confiar única e exclusivamente em um sistema automatizado? O que este incidente tem a mostrar?
Antes de tudo é necessário lembrar que este não é o primeiro caso em que um update causa interrupções no funcionamento de desktops e servidores, mas não me recordo e não localizei nada sobre eventos anteriores desta natureza relacionados à anti-vírus. Muitas organizações e instituições confiam cegamente nos fornecedores de TI aplicando todos os patches e updates sem nenhum critério ou teste em ambiente confinado, as conseqüências podem ser a interrupção total ou parcial de serviços como nos casos dos hospitais dos EUA citados acima e da rede de supermercados Coles da Austrália citada pela ZDNET que, segundo informações dadas pelo responsável pelas comunicações com a imprensa, o problema surgiu quando executaram a atualização regular, conforme instruído pela McAfee o que interrompeu o funcionamento de 1100 terminais de venda (10% do parque). Outra grande corporação afetada foi a portuguesa Media Capital, dona da TVI, mas não informou o tamanho do impacto. O Correio da Manhã – jornal de Portugal - informou que empresas do setor hoteleiro e construção civil também foram impactados.

Particularmente, considero ações deste tipo como a transferência do risco para o fornecedor, mas, se estão avaliando processar a McAfee, não deve existir um contrato para a transferência do risco e todo o prejuízo é do usuário final. Se não houver um estudo adequado para o tratamento de incidentes e possíveis perdas, a solução pontual será funcional enquanto não houver um incidente.

Por este motivo que aplicações e políticas de segurança não devem ser aplicadas individualmente, mas sim em conjunto por toda organização. Uma solução de anti-vírus deve fazer parte de uma política doutrinada por diretrizes empresarias sólidas que não deixem margem a dúvidas ou interpretações; deve ser clara, objetiva e direcionada ao público correto.

Entendo ser necessária a existência de ambientes de testes para monitorar e testar todo tipo de patch e update que se deseja instalar, principalmente quando não há uma transferência do risco entre fornecedor e cliente; e particularmente, nunca soube da Microsoft, Avaya, CA, Norton, McAfee realizando contratos de transferência de riscos para updates e patches – acredito que seriam contratos de alto risco. Com isso a responsabilidade pela vigilância, confiabilidade e manutenção da segurança das redes e aplicações são de responsabilidade dos próprios clientes.

A McAfee publicou nota informando que irá tratar todos os transtornos e custos causados pelo incidente em seus clientes. Mas como fica a imagem de um hospital que tem que cancelar cirurgias e atendimentos de emergência por uma falha de TI e de um supermercado com clientes na fila que descobrem que terão que largar tudo e ir ao concorrente ou enfrentar uma fila muito maior do que o previsto?

Data: 26/04/2010