O Departamento de Segurança Interna dos EUA (DHS, na sigal em inglês) emitiu um alerta nesta semana sobre o fim do bom e velho Windows Server 2003. No dia 14 de julho de 2015, a Microsoft encerrará o ciclo de vida do sistema operacional (independente da versão), finalizando assim o suporte ao produto e as atualizações (críticas, segurança e melhorias). Por isso, as empresas que ainda operam com o software e não o substituírem por um novo sistema estarão expostas a enormes riscos de ataques cibernéticos, problemas de compatibilidade de hardware e conflitos de compliance (conformidade com normas internacionais).
Os riscos são significativos, já que uma simples indisponibilidade no sistema operacional do servidor poderá acarretar grandes prejuízos, sejam financeiros, de credibilidade, imagem, relacionamento com os clientes, contratos, etc. No entanto, para muitas empresas, uma atualização num futuro próximo pode não fazer sentido para os negócios, disse um analista ao CIO Journal, blog de tecnologia ligado ao The Wall Street Journal.
O blog informou em setembro que as empresas em todo o mundo estavam enfrentando um número estimado de 23,8 milhões de ocorrências físicas e virtuais em razão de ainda usarem o Windows Server 2003. Na época, analistas disseram muitas empresas haviam sido lentas na migração do sistema operacional, e que era improvável que conseguissem fazer tal mudança antes da Microsoft interromper o suporte ao software em 14 de julho de 2015. O sistema operacional equipa servidores de várias empresas dos setores de saúde, governo e serviços públicos, bem como alguns sistemas de varejo.
"Muitos clientes estão 'colocando o dedo na água' somente agora", disse David Mayer, diretor de soluções Microsoft da Insight Enterprises, fornecedora de hardware, software e serviços de TI, se referindo à migração.
A Microsoft oferece um "assistente de planejamento de migração" em seu site, e está incentivando os clientes a começar a planejar a migração imediatamente, se ainda não o fizeram. Scott Woodgate, diretor de marketing de produtos empresariais da Microsoft, disse que o alerta do DHS foi um passo importante para conscientizar os clientes, pois alguns gerentes de TI têm dito a ele que poderiam virtualizar o Windows Server 2003 e torná-lo seguro, ou que poderiam colocá-lo na nuvem. "Nenhuma dessas coisas são verdadeiras", disse Woodgate. "Não há nada que você possa fazer para garantir as questões fundamentais de segurança em algo que não terá mais suporte."
Para o analista da Gartner, Peter Firstbrook, dependendo da empresa, uma atualização ou migração completa antes do prazo pode não ser viável, ou pode não fazer sentido para os negócios. "O alerta do DHS pode não fornecer muita motivação. A maioria das empresas permanece com o sistema operacional desatualizado, porque não pode mudar ou não tem uma boa justificativa comercial para mudar", disse ele por e-mail. "Muitos fornecedores de segurança irão fornecer ferramentas para ajudar a proteger a plataforma", disse ele, acrescentando que ferramentas como o controle de aplicativos e isolamento de rede pode minimizar os riscos de segurança para o sistema.
Algumas empresas vão proteger seus sistemas, voltando-se para essas ferramentas, em vez de partir para uma atualização completa, especialmente se não houver um motivo real para fazê-lo, disse Christopher Strand, diretor de compliance da empresa de segurança Bit9. "É quase uma repetição do fim da atualização e suporte ao Windows XP", disse ele. "A diferença desta vez é que os servidores estão no back office. E porque a infraestrutura de servidor é responsável por uma ampla gama de outros sistemas, e os riscos à segurança podem aumentar se nada for feito."
O alerta, emitido pela US-Computer Emergency Readiness Team (US-CERT) do DHS, equipe de segurança norte-americana que lida com emergências na área de segurança virtual, também diz que as organizações estão sujeitas a obrigações regulatórias e podem ser incapazes de atender determinados requisitos de conformidade mantendo o Windows Server 2003 depois que perder o suporte da Microsoft. Analistas disseram alguma área cinza regulamentar ainda existe em certos setores, como a de cuidados com a saúde e serviços públicos.