Maersk / NotPetya (2017)
Quando a infraestrutura digital se torna ponto único de falha global
A A.P. Møller–Maersk era, em 2017, a maior operadora de transporte de contêineres do mundo, responsável por aproximadamente 18% do comércio marítimo global de contêineres. Com cerca de 76.000 funcionários distribuídos em 130 países, a organização operava 76 terminais portuários, uma frota de aproximadamente 900 navios e mais de 1.000 armazéns logísticos.
A escala e a integração das operações tornavam a companhia altamente dependente de sistemas digitais interconectados — da gestão de reservas à logística de carregamento dos navios, passando pelo controle de terminais em diferentes continentes. O próprio relatório anual de 2016 da organização reconhecia publicamente essa dependência e afirmava que o risco era gerenciado por meio de monitoramento contínuo e foco em gestão de continuidade de negócios.
Em 27 de junho de 2017, o malware NotPetya infiltrou-se nos sistemas da Maersk por meio de uma atualização comprometida do M.E.Doc, software de contabilidade amplamente utilizado na Ucrânia, onde a companhia mantinha operações. Uma vez dentro da rede, o código se propagou rapidamente — explorando vulnerabilidades conhecidas em sistemas Windows, associadas à ausência de atualização e controles de propagação adequados — e alcançou escritórios, centros de dados e terminais em mais de 130 países em questão de horas.
O NotPetya não era, tecnicamente, um ransomware: apesar de exibir mensagens de pedido de resgate, o código foi projetado para destruir dados de forma irreversível, sem qualquer mecanismo funcional de recuperação. Seu objetivo não era extorsão, mas sabotagem. Ao final do dia, a infraestrutura digital da Maersk estava completamente comprometida. Nenhum dos aproximadamente 150 controladores de domínio da empresa — servidores que armazenam as credenciais de toda a rede — havia sobrevivido, exceto um, em Gana, que permanecia desconectado por coincidência de um corte de energia local.
Os efeitos foram imediatos e sistêmicos, com interrupção simultânea de operações em múltiplas regiões. As operações de 76 terminais portuários ao redor do mundo foram interrompidas, incluindo instalações nos Estados Unidos, Europa e Ásia.
Navios com milhares de contêineres chegavam a portos sem capacidade de processamento, rastreamento ou coordenação logística. Fluxos globais de mercadorias foram desorganizados simultaneamente em múltiplas cadeias de suprimento.
A paralisação se estendeu além dos portos. Dezenas de milhares de caminhões deixaram de operar, ampliando o impacto operacional.
Nos dez dias seguintes, a companhia reconstruiu integralmente sua infraestrutura digital: cerca de 45.000 computadores, 4.000 servidores e 2.500 aplicações foram reinstalados.
Durante esse período, a organização operou parcialmente de forma manual, conseguindo manter aproximadamente 80% do volume operacional.
O impacto financeiro foi estimado entre US$ 250 milhões e US$ 300 milhões em perda de receita no terceiro trimestre de 2017, levando à revisão das projeções anuais de lucro.
O caso Maersk não decorre de uma falha técnica isolada, mas de fragilidades estruturais de governança em um ambiente altamente integrado.
Três vetores explicam a escalada do incidente:
1. Ausência de segmentação de rede
A arquitetura permitia movimentação lateral irrestrita. Uma infecção inicial propagou-se rapidamente, transformando um evento localizado em colapso global.
2. Dependência centralizada de identidade digital
A destruição dos controladores de domínio comprometeu os mecanismos de autenticação. Sem identidade digital, sistemas e operações tornam-se indisponíveis simultaneamente.
3. Continuidade baseada em falha parcial
Os planos de continuidade pressupunham disponibilidade de parte da infraestrutura. Não contemplavam perda simultânea de sistemas críticos, autenticação e dados.
Adicionalmente, a propagação inicial foi viabilizada por integrações externas comprometidas, evidenciando fragilidade na governança de terceiros.
O resultado foi a conversão de um evento externo — não direcionado à empresa — em um colapso operacional sistêmico.
O incidente não foi apenas um evento externo, mas a manifestação de vulnerabilidades estruturais que permitiram a propagação irrestrita do impacto ao longo da organização.
O incidente da Maersk expõe uma categoria de risco crescente: colapso operacional induzido por interdependência digital.
A organização não foi o alvo do ataque. Ainda assim, absorveu impactos massivos — evidenciando que, em ambientes altamente conectados, falhas externas podem se converter rapidamente em crises internas.
Para organizações com operações distribuídas, a implicação é direta:
não é necessário ser o alvo para sofrer consequências sistêmicas.
A questão de governança que emerge é objetiva:
a organização consegue operar quando sua infraestrutura digital se torna indisponível simultaneamente?
O caso Maersk demonstrou que continuidade de negócios não é um documento — é uma capacidade verificada sob condições adversas reais. Organizações que operam em escala global com alta integração digital precisam estruturar sua continuidade para cenários de falha total, e não apenas parcial. A resiliência não pode depender de eventos fortuitos, mas de arquitetura deliberada de governança.
Sua organização tem planos de continuidade que pressupõem a disponibilidade de algum sistema crítico? A AXIOM estrutura continuidade verificada, gestão de riscos de terceiros e resiliência operacional para organizações que não podem depender da sorte para se recuperar.