Presença de investidor pode corroer uma solução de cyber?

A presença de investidores em empresas de cibersegurança pode comprometer a qualidade e a segurança de alguns produtos essenciais, como as VPNs, afirma uma publicação feita no dia 17 pela agência de notícias Bloomberg. Segundo a agência, alguns funcionários do governo federal americano e também executivos do setor privado estão reconsiderando os métodos para avaliar softwares de cibersegurança – além de substituírem VPNs pertencentes a empresas de private equity de suas redes, alguns também incluem a participação de empresas de private equity em suas avaliações de risco de tecnologias-chave, acrescenta a reportagem.

A constatação da Bloomberg foi feita com o levantamento de informações sobre o trajeto da Ivanti e de outras empresas do setor nos últimos cinco anos. A agência afirma ter noticiado, no ano passado, que a Citrix, “outra importante fabricante de VPNs, sofreu diversos ataques cibernéticos de grande porte depois que seus proprietários de capital privado, a Elliott Investment Management e a Vista Equity Partners, demitiram a maior parte da equipe de segurança de produtos da empresa, composta por 70 membros, após a aquisição da companhia em 2022”.

A Ivanti foi criada pelo seu principal investidor, a ClearLake Capital, em Janeiro de 2017, com a fusão de duas empresas da sua propriedade: a Heat Software e a LanDesk. Nos quatro anos seguintes, o balanço da Ivanti foi para o vermelho com a aquisição de cinco empresas, por decisão de seus controladores. Entrevistado para a reportagem, o ex-diretor de TI do Goddard Space Flight Center da NASA, Rob Leahy, disse que, “em sua experiência, as empresas de private equity geralmente priorizam o aumento dos lucros e a redução da dívida em detrimento do investimento contínuo no desenvolvimento de produtos”.

A reportagem da Bloomberg diz que essa estratégia não deu certo, conforme entrevistas e análise de documentos da Ivanti e da Pulse Secure (divisão de VPN). Ex-funcionários entrevistados, a maioria dos quais fazia parte da equipe de engenharia da Pulse ou ocupava cargos de alta gerência na Ivanti e que pediram para não serem identificados ao discutirem informações confidenciais, “detalharam como a forte pressão para cortar custos levou os proprietários de capital privado da Ivanti a demitirem, entre outros, engenheiros essenciais para a manutenção do Connect Secure em um momento de escalada de ataques cibernéticos“.

Em comunicado à Bloomberg, a empresa negou que seu modelo de propriedade tenha impactado negativamente suas operações e enfatizou que as VPNs estão sempre sob alto risco de ataques. Mas no início de 2024, a CISA emitiu uma ordem de emergência incomum para as agências federais: “desconectar imediatamente o software de rede privada virtual Connect Secure” porque espiões chineses haviam invadido o código e se infiltrado em quase duas dezenas de organizações.