A educação sobre cibersegurança pode se assemelhar à realização de um exame. Primeiro, aprendemos alguma coisa e, se não usamos esse conhecimento por muito tempo, ele é esquecido. É provável que esse seja o efeito do treinamento de cibersegurança para funcionários, que ocorre uma ou duas vezes por ano e, depois, continua trazendo apresentações ocasionais, que ninguém entende.
Seja o nível de segurança cibernética da sua empresa maior ou menor, os ataques cibernéticos estão se tornando mais sofisticados. Porém, ao conseguir aumentar a vigilância dos seus funcionários, os membros da equipe podem se tornar um dos controles de segurança mais eficazes.
Quer saber como pensar em novas formas de treinamento de funcionários? Leia a nossa entrevista com Daniel Chromek, diretor de segurança da informação da ESET.
A necessidade de conscientizar os funcionários sobre as ameaças cibernéticas parece evidente. No entanto, muitos funcionários ainda não são capazes de detectar ataques cibernéticos. Por que as empresas não conseguem resolver essa situação?
As empresas tendem a subestimar a educação em cibersegurança ou a se manterem no mesmo nível, ao passo que os ataques cibernéticos passam por aprimoramentos, evoluções e mudanças ao longo do tempo. Não podemos mais nos limitar às principais características dos e-mails fraudulentos, como erros gramaticais ou lógicos, para reconhecer os ataques. Tanto o conteúdo quanto o formato visual desses ataques estão ficando cada vez mais sofisticados. Não acho que estejamos tão longe do ponto em que muitas pessoas não conseguirão mais distinguir entre phishing e e-mails padrão. Além disso, há riscos mais frequentes de vishing, embora seja difícil simular uma chamada telefônica a partir de um determinado número em tempo real. Porém, não é difícil copiar a voz do CEO de um vídeo no YouTube e preparar o vish com antecedência, a fim de convencer as pessoas a transferirem dinheiro.
E quanto às deepfakes ou sistemas de reconhecimento facial? Eles também afetarão o formato de ataques futuros?
Não há dúvidas. Já existem deepfakes que são difíceis de distinguir da realidade, principalmente em formato de vídeo. No entanto, é muito mais difícil elaborar deepfakes para o uso em interações em tempo real, como na simulação de uma videochamada. Em geral, é mais fácil realizar um ataque por um e-mail de phishing, contendo texto e imagens estáticas, do que um ataque em tempo real, que requer interação direta com a vítima. No entanto, o impacto da disseminação das deepfakes nas relações públicas por meio das redes sociais pode ser um acontecimento significativo hoje.
Então, não há ocorrências desse tipo de ataque?
Até agora, só ouvi falar de um caso na França, em que um grupo de fraudadores encenou uma videochamada, na qual utilizaram uma máscara de silicone para se passarem por um ministro da Defesa francês, solicitando que indivíduos e grupos ricos apoiassem, financeiramente, uma operação governamental falsa. Embora ainda não fosse um deepfake gerado por computador, era mais como um teatro em que podemos esperar o agravamento do problema.
Quais são os obstáculos para ensinar os funcionários a reconhecerem esses ataques?
Há alguns anos, quando trabalhei como consultor de TI, percebi que as empresas costumam enxergar a segurança cibernética como uma questão que cai, automaticamente, sob a responsabilidade do departamento de TI. Porém, os profissionais de TI nem sempre são capazes de elaborar um treinamento que possibilite a compreensão e desperte o interesse das pessoas. Não é tão simples quanto possa parecer. Ao contrário, requer conhecimentos de segurança sobre questões como phishing, escolha de senha, criptografia e, também, um know-how eficaz em matéria de educação de adultos.
Você acha que os profissionais de TI deveriam trabalhar junto com psicólogos, por exemplo?
Com certeza. Ou com profissionais que tenham licenciatura em ensino para adultos, ou apenas um conhecimento sobre como fazer com que qualquer pessoa realmente se lembre de certos fatos e mude aspectos do seu comportamento. Hoje, é possível pagar por diversos treinamentos personalizados. As grandes empresas costumam resolver o problema com um trabalhando conjunto dos departamentos de TI e RH. A solução é encontrar alguém que consiga fornecer informações aos funcionários de forma nítida e interessante. É por isso que observamos uma maior frequência na abordagem da gamificação, atualmente.
Você acha que a maioria das pequenas e médias empresas já conta com alguma forma de treinamento de funcionários?
Sim. A maior parte oferece pelo menos algum treinamento básico de cibersegurança, por exemplo, treinamentos disponíveis em plataformas on-line. Mas, na minha opinião, são necessárias mais ações para, de fato, construir uma consciência cibernética na empresa. Ao realizar treinamentos de funcionários uma vez por ano, o resultado é o mesmo de outros tipos de treinamento, depois do “exame”, os alunos rapidamente esquecem o que aprenderam e, então, retornam à situação inicial.
Com que frequência deve ocorrer o treinamento?
O mais frequente possível. Na minha opinião, é mais eficiente dividir as informações que devem ser transmitidas em partes menores para que os funcionários possam absorver. Por exemplo, utilize vídeos de 10 minutos que se concentrem em apenas um assunto principal, ou que resumam as quatro principais mudanças resultantes das novas políticas. É possível distribuir esses exemplos simplificados de forma regular, a fim de lembrar os funcionários sobre a importância de monitorar os problemas de segurança. E, caso aconteça uma tentativa de ataque na empresa, você pode utilizá-lo como recurso de aprendizado, explicando aos funcionários como o ataque funciona.
Digamos que eu queira construir uma empresa que seja resistente a ataques cibernéticos, partindo do início. O que todo funcionário precisa saber?
Primeiro, todos devem saber quais são as expectativas da empresa sobre os funcionários. Como eles devem utilizar a tecnologia fornecida e quais sanções os aguardam em caso de perdas ou danos? Essas perguntas devem ser respondidas antes de qualquer ocorrência, de preferência no início do emprego.
Em seguida, há alguns tópicos padronizados que abrangem medidas básicas de segurança: como definir uma senha forte, como utilizar a autenticação de dois fatores e, é claro, como reconhecer sites de phishing e fraudulentos com base em atributos característicos e conteúdo da mensagem. Os funcionários também precisam saber a quem relatar as atividades suspeitas; como utilizar softwares ou serviços na nuvem; o que fazer caso indivíduos suspeitos sejam identificados nas dependências do escritório; e como utilizar tecnologias de segurança, como um gerenciador de senhas.
Além disso, a empresa deve explicar aos funcionários que, caso adquiram um dispositivo móvel da empresa ou um iPad, devem ter cuidado com o que baixam e instalam nele. Existem muitos aplicativos móveis fraudulentos, por isso, é importante mostrar aos funcionários como conferir a segurança de um aplicativo antes de o instalar. Isso também se aplica à instalação de diversos programas em um dispositivo durante o trabalho remoto. E, evidentemente, o funcionário precisa saber com quem entrar em contato caso aconteça algo. No final do ano passado, percebemos chamadas falsas vindas da Microsoft, foi uma oportunidade de informar nossos funcionários sobre o que conferir e o porquê dessas chamadas.
Por que a administração de qualquer empresa deve evitar assustar as pessoas com as possíveis consequências pessoais dos ataques cibernéticos?
Porque, após cinco minutos de amedrontamento, os funcionários param de ouvir, e a única conclusão à qual se prendem é de que tudo o que fizerem dará errado e resultará em uma demissão ou prisão. O perigo de criar uma mentalidade tão pessimista é que ela pode resultar em funcionários desistindo, desde o início, e pensando que não há sentido em ser cuidadoso, pois eles vão errar de qualquer maneira. Portanto, é melhor comunicar de forma positiva, apontando ameaças comuns e mostrando como evitá-las não apenas no trabalho, mas também em casa. Todos nós temos pessoas com as quais nos importamos, e quando podemos mostrar aos funcionários como proteger não apenas os interesses de seus empregadores, mas também os de seus pais, cônjuges ou filhos em determinados casos, podemos despertar seu interesse.
Você costuma enviar quizzes para os seus colegas? Seria a gamificação uma boa maneira de explicar tudo isso aos funcionários?
Caso seja utilizada com sabedoria, com certeza, é uma boa maneira. Caso você decida tentar a simulação de phishing em uma empresa, por exemplo, é preciso pensar um pouco antes. O objetivo não é pegar o maior número possível de pessoas, mas dar a elas a chance de reconhecer o phishing e “ganhar”, derrotando o invasor. Quando as pessoas sabem que seguiram a forma correta e foram capazes de denunciar um ataque, isso as fortalece.
Outro bom exemplo de gamificação no treinamento de cibersegurança seria uma história em quadrinhos interativa com vídeos, em que o personagem principal faz diferentes missões e ganha alguns pontos, à medida que atinge os objetivos os jogadores bem-sucedidos receberiam uma pequena recompensa no final.
É dessa forma que criamos uma cultura de consciência cibernética?
Falamos sobre todos os pequenos passos e aspectos que ajudam na sua construção. Todas as pessoas da empresa devem conhecer as principais questões de segurança, desde os funcionários até os diretores “C-level” (cargos executivos). O objetivo é poder oferecer suporte à segurança e, assim, à própria empresa. E, quando todos entenderem isso e perceberem o que está acontecendo ao seu redor, apoiarão a resiliência de toda a empresa.