O “cisne negro” de Michael Lynton materializou-se no fim do ano passado, quando alguém — o governo dos Estados Unidos afirmou que foi a Coreia do Norte — foi bem-sucedido na mais devastadora invasão cibernética na história corporativa. Lynton, CEO da Sony Pictures Entertainment (SPE), assistiu inerte ao vazamento — para o mundo inteiro — de informações altamente confidenciais da empresa: detalhes sobre salários, e-mails privados (alguns extremamente críticos a estrelas de Hollywood), filmes inéditos. E, para completar, os hackers ainda apagaram enormes quantidades de dados dos servidores da empresa.

O ataque forçou um relutante Lynton a se projetar na vanguarda das relações exteriores dos Estados Unidos quando os hackers ameaçaram retaliação se A entrevista — comédia da Sony Pictures com locação na Coreia do Norte —, que incluía o assassinato de Kim Jong-un, fosse exibida. Temendo represálias, vários cinemas desistiram de exibir o filme, e a Sony precisou sair em busca de um meio alternativo de distribuição. O presidente Barack Obama se manifestou, censurando a Sony pelo que considerava uma submissão à pressão de Pyongyang. O filme, classificado como impróprio para menores de 18 anos, de repente se tornou o ícone da Primeira Emenda da Constituição dos Estados Unidos.

Como uma instituição atravessa um momento desses? Como mantém sua cultura, e retém seus talentos, enquanto trechos de informação apimentada, embaraçosa, ultrassecreta se espalha publicamente? Visitei Lynton em seu luxuoso escritório da Sony Pictures, no lendário complexo art déco, em Culver City, Califórnia, para falar sobre essa experiência. Ele parecia relaxado e otimista, reconheceu abertamente as dificuldades que a Sony enfrentou nas semanas seguintes ao ataque e se mostrou otimista de que a empresa saiu intacta.

Ataques como esse podem, muito bem, se tornar rotina. Lynton espera que o pesadelo que viveu sirva de alerta para outras empresas americanas.

—Adi Ignatius

HBR: Vamos retornar ao fim do ano passado. A Sony tinha acabado de ser invadida por hackers. Qual foi seu primeiro pensamento?
Lynton: Eu estava a caminho do trabalho. Era por volta das 8h00 da manhã, e o CFO ligou dizendo que nossa segurança tinha sido violada. Quando eu cheguei ao escritório, todo o estúdio estava fora do ar.

E isso foi apenas o começo. Sim. Recebemos uma série de mensagens ameaçando downloads em massa dos dados roubados pelos hackers. Em seguida começou a divulgação. Logo estávamos tratando de várias coisas ao mesmo tempo: tentando manter os negócios funcionando normalmente; procurando tranquilizar funcionários que temiam ter suas informações trazidas a público; conversando com a imprensa, que começava a divulgar alguns e-mails. E ainda havia o FBI chegando para fazer a análise forense.

Você é conhecido como um CEO que costuma delegar. Isso mudou? Sim, meu papel mudou radical e rapidamente. A crise exigia que eu estivesse muito mais presente. Montamos um comando central para garantir que todas as decisões fossem tomadas com meu conhecimento e aprovação. Esse passou a ser o meu trabalho praticamente em tempo integral, o que significava que os demais tinham de tocar o negócio — e eles fizeram isso e muito bem.

Como foi instalado o comando central? A primeira coisa foi estabelecer meios de comunicação na falta de e-mails. Tornamo-nos basicamente analógicos por um tempo. Tínhamos telefone, e só. Depois estabelecemos sistemas de mensagens de texto e utilizamos nosso sistema de notificação de funcionários. Com isso pudemos enviar mensagens para os funcionários de forma centralizada. E utilizávamos o sistema com frequência.

Isso foi só para comunicação relacionada à crise, ou para manter os negócios em funcionamento?
Foi para manter a normalidade dos negócios e garantir que as pessoas pudessem se comunicar umas com as outras sobre as atividades diárias — filmando, gravando shows para a televisão, enfim, certificando-se de que tudo fosse distribuído como de costume. Depois precisamos criar um sistema temporário de e-mails. E configuramos sistemas para gerar folhas de pagamento, pagar fornecedores e assim por diante. Só a folha de pagamento era uma tarefa descomunal: o departamento financeiro foi buscar máquinas velhas no depósito para emitir os cheques.

Parece um pesadelo. Não posso imaginar ver toda a informação de meu pessoal, de repente, ser divulgada publicamente. Bem, isso foi só uma parte. O fato era que os invasores não haviam apenas roubado quase a “casa” toda. Eles haviam posto “a casa abaixo”. Eles levaram nossos dados. Depois limparam tudo dos computadores. E ainda destruíram servidores e computadores.
Eles tinham as informações e vocês não. Correto. Nós tínhamos backup, mas não podíamos acessá-lo até recuperar computadores, servidores e sistemas que nos permitissem fazer isso. Então lá estavam todos os e-mails totalmente públicos, alguns são muito comprometedores. E, de repente, você precisa manter o negócio em operação quando os serviços de rede dos quais depende estão indisponíveis.

Contendo o dano De que seus funcionários mais precisavam naquele momento? Eles precisavam de novas garantias. Estavam preocupados que sua informação pessoal fosse divulgada e se tornasse disponível, e tínhamos de explicar exatamente o que estávamos fazendo para protegê-los. Alguns temiam que a empresa pudesse falir.

Como você interagia com eles? Realizamos grandes reuniões na prefeitura, com 3 mil a 4 mil pessoas de uma vez, para explicar o que estava acontecendo. E realizamos pequenos fóruns, nos quais reunimos grupos de 50 a 80 pessoas e ouvimos suas preocupações. Eu geralmente comia na própria cafeteria para que elas pudessem se aproximar e conversar comigo. A presença física era muito importante. No meio de tudo precisei ir ao Japão por um dia e meio para apresentar nosso orçamento ao conselho. Quando voltei, o chefe do RH, George Rose, disse: “Por que demorou tanto?”. E eu respondi: “George, eu estive fora 36 horas”. O tempo parecia muito comprimido, porque as coisas estavam acontecendo muito depressa.

Lynton_img1

Seus funcionários também estavam irritados? Sim, alguns estavam. E quando souberam que o governo dos Estados Unidos acreditava que o ataque tinha vindo da Coreia do Norte, alguns ficaram indignados por estarmos exibindo A entrevista. Esta não é uma situação que você espera encontrar quando decide trabalhar num estúdio de cinema, garanto.

Como você enfrentou a exposição de tanto material privado? Foi complicado, por duas razões. Havia itens relacionados a celebridades publicados nos jornais, o que desviava a atenção dos funcionários, principalmente aqueles cujos e-mails estavam sendo publicados. E depois o fato de funcionários lerem os e-mails uns dos outros.

Havia alguma forma de conter isso? Nós encorajamos as pessoas a não serem curiosas — com mensagens como “procurem não ler os e-mails”.

O que você podia fazer com relação aos e-mails que se tornaram públicos? Nada, senão fechar os olhos e dizer que era um inconveniente que precisava ser encarado como tal.

Como você sobreviveu às críticas de celebridades que estavam nos e-mails? No seu negócio você trata com alguns dos maiores egos do mundo. Em alguns casos tivemos de pegar o telefone e pedir desculpas. Mas a maioria não se incomodou. A comunidade de Hollywood, embora fechada, também é transacional. As pessoas querem fazer filmes e shows para a televisão. E francamente, acredito que muitas coisas podem ser perdoadas nesse processo.

Você perdeu algum talento? Não. Não perdemos.

Você perdeu uma colega sênior, Amy Pascal, que se demitiu do cargo de codiretora. Isso era necessário para a empresa avançar — principalmente uma vez que ela tinha escrito alguns dos e-mails mais problemáticos? Não, não foi essa a questão. Nossa decisão mútua de transferi-la para uma função na produção coincidiu com o fim de seu contrato. Era hora de uma mudança na equipe cinematográfica.

A sua não foi a primeira empresa a ser invadida nem será a última. Que lições se podem tirar de sua experiência? Creio que todos estão mais cautelosos sobre o que colocam nos e-mails. Mas o mais comum atualmente é usar o telefone ou se encontrar pessoalmente, principalmente quando se trata de assuntos complicados.

Lynton_img2

Não deveríamos saber que não devemos escrever coisas comprometedoras? Sim, mas você diz a si mesmo: “Ah, nunca vai acontecer”. E eu preciso dizer que a memória de curto prazo das pessoas é incrivelmente curta. Ainda estou recebendo e-mails agora que me fazem pensar enquanto os leio: “É mesmo?”.

Você leu os e-mails que vazaram? Não. E eles não vazaram. Eles foram roubados.

Então o único conteúdo que você tem conhecimento sobre coisas pessoais é o que foi divulgado pela mídia? Sim. Não vi nem os meus. E para analisar os e-mails de outras pessoas seriam necessárias milhares de horas. Não vejo razão para isso.

Lynton_img3

Além das precauções com e-mails, que outras conclusões podemos tirar de tudo isso? Há uma questão fundamental sobre o que deve ou não ser postado numa rede. O FBI afirmou que 90% das empresas não teriam conseguido resistir ao ataque. Apesar disso, tudo que é postado nas redes é, por definição, suscetível de ser violado. É complicado, porque a facilidade de comunicação e o acesso a dados são imprescindíveis para que as operações de negócios sejam eficientes. Mas quanto mais você usa as redes, mais vulnerável a hackers se torna.

Vocês perderam até filmes inteiros, não foi? Os hackers roubaram alguns filmes que eles lançaram, incluindo Annie e Para sempre Alice. Acreditamos que também podem ter roubado A entrevista, mas, se roubaram, decidiram não exibi-lo.

Exibir ou não exibir?
Você aceita a teoria de que a Coreia do Norte foi responsável pelo ataque? Eu realmente não me preocupei com a autoria. Preocupei-me mais em manter os negócios funcionando e garantindo que os funcionários se sentissem tranquilos e seguros para continuar realizando seu trabalho. O que o FBI e outras instituições do governo me disseram, e o presidente dos Estados Unidos afirmou, é que foi a Coreia do Norte. Devo acreditar. Eles realizaram as investigações, fizeram o trabalho de inteligência.

Como você sabe, algumas pessoas não acreditam que isso seja verdade, por uma série de razões, incluindo o fato de os hackers não terem mencionado nada sobre A entrevista nos primeiros contatos. O governo dos Estados Unidos tem acesso a mais informações que qualquer pessoa, e não tenho motivos para discordar. Especialistas me disseram que o nível de destruição e de sofisticação sugere que foi uma operação bastante cara, que exigiu muitas pessoas. Eu, pessoalmente, não sei se foram os norte-coreanos ou instituição, mas não creio que tenha sido algum funcionário descontente da Sony. Foi muito sofisticado.

Supondo que possa ter sido a Coreia do Norte, você se arrepende de alguns aspectos de A entrevista — como citar nominalmente Kim Jong-un e a Coreia do Norte? Não. Uma vez que você decide fazer um filme, tem a obrigação consigo mesmo e com a comunidade criativa de garantir que ele seja concluído e exibido. Nós nos mantemos fiéis a esse princípio.

Como frequentador de cinema, fiquei um pouco chateado que A entrevista — esse repentino bom exemplo para a Primeira Emenda — não tenha sido melhor. O caso parecia diferente do de Salman Rushdie. Bem, você leu Os versos satânicos? Não é Os filhos da meia-noite. Quero dizer, não foi o melhor livro de Rushdie. E suponho que os cartoons de Paris não eram uma obra de arte. Então, o problema não é o que você está defendendo, é a sua obrigação de defender. A entrevista provavelmente seria um alvo um pouco menos visado se tivéssemos lançado no Natal e classificado como comédia indicada para maiores de 18 anos. Sim, eu gostaria que tivesse sido um bom filme. Não é uma obra de arte. Mas os exemplos que citei também não.

Você foi muito criticado logo no início quando adiou o lançamento do filme nos cinemas. Esse foi um momento difícil. O presidente Obama se pronunciou, nos criticando. Não é que não quiséssemos que o filme fosse lançado, mas os cinemas não queriam exibi-lo. E já estávamos procurando parceiros para a distribuição digital. Mas não é divertido ter o presidente apontando o dedo para sua empresa.

Como você se arranjou para fazer as coisas acontecerem quando ficou claro que não poderia estrear normalmente? Eu comecei perguntando às pessoas se queriam lançá-lo digitalmente. A maioria disse que não. Muitos gestores de comércio eletrônico e operadoras de TV a cabo estavam apreensivos porque também eram vulneráveis a hackers. Pela primeira vez, pensei: “Talvez não consigamos sair desta”. Mas quando conversei com Eric Schmidt, na Google, ele disse: “Este é o momento que estávamos esperando. Acreditamos que nossa segurança está acima disso”. E a Google ajudou a lançar o filme no YouTube e no Google Play.

Lynton_img4

Houve algum resultado positivo no modelo de distribuição mista que você organizou com a Google e outros? As pessoas perguntam isso com frequência, porque há uma discussão em andamento na indústria cinematográfica sobre se devemos lançar filmes digitais, simultaneamente ao lançamento nos cinemas. Eu ainda acredito fortemente no lançamento em cinemas. E o que aconteceu aqui foi um caso único. Nós nos unimos a algumas pequenas empresas — Kernel e Stripe — e montamos um site de comércio eletrônico. Google e Microsoft também estavam envolvidas. E outras empresas foram aparecendo aos poucos.

Houve tentativas de invadir a Google? Fui informado de que várias coisas estavam acontecendo. Mas, no fim, não aconteceu nada à Google, ou à Microsoft ou a outras empresas.
Um dia vai acabar?

A crise já terminou? Nunca acabará? Espero não estar errado nos prognósticos, mas acredito que acabou. Espero que sim. A maioria de nossos sistemas está online novamente. Não acredito ainda possa haver novas revelações.

Soube que o custo final para companhia foi de US$ 15 milhões. Os US$ 15 milhões divulgados pela Sony foi o custo até 31 de dezembro. Mas o resultado final — e faço um tributo aos funcionários da empresa — é que não atrasamos um único dia, um único show da televisão ou um único filme.

Enquanto isso, a WikiLeaks está mantendo públicos os dados roubados e catalogando-os para facilitar a busca. Acredito que o argumento de Julian Assange é que a Sony é uma empresa de capital aberto de grande porte, influente, e por essa razão esses documentos merecem ser acessíveis. Acho que você não concorda. Não concordo, principalmente porque há muita informação pessoal lá. Acredito que as pessoas têm direito à privacidade. E, de qualquer forma, os e-mails foram roubados. Por isso não concordo com a forma como a imprensa vem examinando os conteúdos dos e-mails.

Suas tentativas de parar os relatos da imprensa tiveram sucesso? Algumas publicações se comportaram honrosamente. Elas basicamente evitaram mergulhar fundo nos e-mails. Outras não. Designaram grandes grupos de repórteres para examinar metodicamente os e-mails.

Você se surpreendeu ou se desapontou com a falta de solidariedade de outros empreendedores do setor — por não terem dito “somos Sony”? No início me surpreendi. Mas, olhando retrospectivamente, acredito que nossos competidores estavam com medo de serem invadidos e preocupados com as ações judiciais de acionistas caso nos apoiassem e depois fossem invadidos.

Esse desastre deixou alguma lição positiva? Se você pensar bem, esse episódio foi um sinal de alerta relativamente barato para os Estados Unidos. Imagine se tivesse acontecido com a General Electric, e os e-mails de Jeff Immelt tivessem sido abertos. Não tenho ideia de seu conteúdo, mas imagino que não são e-mails sobre grandes astros do cinema. O dano para uma organização do porte de GE teria sido muito maior do que ocorreu aqui. Portanto, se há um lado bom, é que esse foi um alerta para os Estados Unidos acordarem e se manterem atentos. Isso vai acontecer — na verdade, já está acontecendo — regularmente.

Seu nível de segurança melhorou depois do ataque? Estávamos prestes a colocar novos sistemas online, com novos protolocos de segurança. Mas boa parte, como mencionei, refere-se ao que você coloca na rede. Minha esposa lembrou um ponto óbvio para mim: ela guarda suas joias numa caixa de depósito no banco, e só as retira quando planeja usá-las no fim de semana. As joias não ficam guardadas em casa. É assim que devemos ver uma rede. Você deve pensar cuidadosamente em quais dados precisam estar lá.

Por que você se dispôs a falar sobre o incidente? Por várias razões. A principal é que não acredito que as pessoas valorizem devidamente o que o pessoal da Sony Pictures passou e como se esforçou para manter a empresa funcionando. Também não creio que as pessoas entendam o nível de destruição que sofremos. A cobertura sobre os e-mails roubados contribuiu muito para ocultar o que estava realmente em jogo aqui. Quando você é atacado dessa forma, todo o negócio está em perigo.

A voz da experiência
Que outro conselho você daria a executivos envolvidos numa crise cibernética como essa? O essencial é manter a calma. E você precisa estar aberto a se comunicar sempre com franqueza. Se você não for digno de confiança, sofrerá e as pessoas irão embora. Você também precisa estabelecer prioridades. Antes, desenvolvíamos negócios que davam lucros, mesmo que algumas coisas ficassem pelo caminho. Finalmente, é importante envolver o FBI logo no início. Algumas empresas relutam em tomar essa decisão. Para mim, isso é um erro.

Suas prioridades pessoais mudaram? Pode parecer ingênuo, mas a crise demonstrou como confiamos demais em e-mails e na rede. Deveríamos nos libertar deles. Não que tivéssemos de sair por aí usando ábacos, mas quase.

Como a Sony Pictures conseguiu preservar sua cultura? Você não se prepara para um evento como o “cisne negro”. Ele simplesmente acontece. Mas o fato uniu as pessoas. Forçou todos a trabalhar em estreita colaboração como jamais tinham feito antes. E eles gostaram da experiência. Eu me reuni com várias pessoas com as quais normalmente não me reuniria e ouvi suas preocupações. Estamos tentando descobrir como preservar essa experiência.

O que essa experiência lhe ensinou sobre liderança? Você precisa manter-se o tempo todo extremamente otimista de que vai superar a crise — mesmo que não esteja seguro de como agir. Você precisa estar 100% convencido, ou não conseguirá cruzar a linha de chegada.

Essa atitude não é apenas uma questão de temperamento? Você é uma pessoa otimista? Na verdade, geralmente não sou muito otimista. Mas em tempos de crise eu me torno excessivamente otimista.

Você quer dizer um falso otimista? Não, não se trata de falso otimismo, porque — e pode parecer fala de filme de segunda classe — fracasso simplesmente não é uma opção. Você precisa projetar uma espécie de otimismo contagiante, como um líder de torcida organizada, ou não vai encontrar seu caminho.

Share with your friends









Submit