Cresce uso de "insatisfeitos" e "infiltrados" como soldados do cibercrime

0

Em tempos de instabilidade, renda insuficiente e falta de perspectiva de curto e médio prazo, manipular ressentimentos, limitações cognitivas e descompromisso tem se mostrado uma aposta certeira do cibercrime.

Além disso, até mesmo modalidades aparentemente fantasiosas têm se tornado plausíveis, neste momento, como a preparação de "infiltrados" para concorrer a empregos. Isto porque os critérios de análise muitas vezes são menos rigorosos para as vagas de maior rotatividade e podem-se montar roteiros de ataque baseados em uma série de ações de baixo risco, que por si só não sinalizam a ameaça.

"Odorico é um prefeito porreta; é o pai do povo", gritava Toninho do Jegue, personagem de O Bem Amado, que quando bebia invertia a convicção situacionista. Se existisse Whatsapp em 1973, poderia ter postado "Odorico ladrão, fio de uma égua", em contraste ao adesismo que manifestaria no LinkedIn. Na alegoria de Dias Gomes, a explicação é a cachaça, mas há vários fatores que sinalizam "ambiguidades". As situações reais são mais complexas do que a metáfora da novela, principalmente quando se lida com valores subjetivos.

De uma forma geral,  ruídos causados por cortes e demissões, ou até mesmo por boatos e especulações, recomendam uma atenção especial ao DLP (prevenção a vazamento). Ou então, se alguém apresenta mau desempenho, e o gestor não conseguir um entendimento, é bom considerar que a performance em baixa pode se dever exatamente a insatisfações e que a forma de reagir pode passar do limite.

A "engenharia social violenta" também explora insatisfações e desejos como forma de criar situações constrangedoras e buscar cumplicidade por coação. Por exemplo, a negociação de uma "proposta de emprego" no LinkedIn serve tanto para extrair informações durante o processo quanto para possíveis chantagens (de revelar o flerte ao atual empregador).

Desta forma, duas linhas de ação preventiva são imprescindíveis: transparência geral e feedback individual. Em paralelo à agenda positiva, de informação e diálogo, é prudente se erguer as devidas salvaguardas.

Os incidentes causados por insiders normalmente são mais difíceis de identificar e os prejuízos costumam ser maiores. Ser lesado por quem teve sua confiança torna a perda ainda pior. Mas calma! Na maioria dos casos em que um funcionário ou um contratado com acesso à rede estão envolvidos não há má-fé do empregado. E mesmo nos dois perfis de riscos – de falhas de comportamento ou de falha de caráter – há variações, que determinam tratamentos distintos.

Fraquezas dos bem-intencionados e IA bidirecional

A maioria dos colaboradores é honesta e ainda assim grande parte das violações conta com ajuda de usuários internos. Além dos golpes de phishing e outras violações com artefatos técnicos, a transformação nos modelos de trabalho e a ansiedade gerada pela conjuntura – quando o pânico de perder oportunidades, clientes e o emprego turvam o senso crítico – induzem à abertura de exceções e outras más práticas.

As estratégias relacionadas a informação, transparência, interlocução e outros aspectos de engajamento dos usuários são essenciais. Do ponto de vista de gerenciamento de cibersegurança, é bom lembrar que, quando se explora esse vetor de ataque, não há os indícios óbvios de ações maliciosas, como uso anormal de USB ou e-mails para domínios externos. Um acesso legítimo, mas fora de contexto, por exemplo, pode sinalizar que está tudo certo com a VPN e a autenticação, enquanto o golpista usa o telefone para induzir o usuário a fazer a "consulta".

A aplicação das várias modalidades de Inteligência Artificial, como machine learning e análise comportamental, é uma das grandes respostas a ameaças complexas. Além de instrumentalizar os gestores de segurança, desde já buscamos formas de explorar o caminho inverso; de transformar os insights em feedback. O usuário precisa de orientação constante, em linguagem adequada, que não se esgota com campanhas estáticas.

Pessimismo necessário e eficaz

Os grandes incidentes recentes nos setores de Governo e no Varejo, mostram que, embora os danos sejam expressivos em todos os casos, o impacto aos clientes foi diferente, principalmente pelo momento em que aconteceram. Uma indagação sempre presente nos ataques a varejistas é: "imagina se fosse na Black Friday ou Dia das Mães".

A pergunta já traz parte da resposta. Possivelmente no período do freeze – em que tudo se revisa e nada se modifica – se descobria a vulnerabilidade ou o ataque latente antes que "desse ruim". Assim como o falsário profissional imprime notas de R$ 10, quem arquitetou o ataque aproveitou o período mais fraco de vendas, quando se baixa a guarda e se executam alterações no ambiente. Diferente do atacante externo, o insider tem mais propensão a hesitar quando sente que pode ser percebido e rastreado.

Há soluções tecnológicas específicas e maduras para identificação de riscos e prevenção a ameaças internas. Mas nem sempre recebem a devida prioridade. Bons líderes podem ser traídos por sua própria ética e generosidade, com um viés que torna mais fácil acreditar em conspirações globais a reconhecer um canalha em sua equipe. Em contrapartida, é comum ocorrer incidentes em que a omissão chega a parecer deliberada, pelo primarismo da falta de controle. Seja qual for o caso, uma única exceção à regra – de as pessoas quererem fazer um bom trabalho – frustra os esforços de todos os stake holders – clientes, acionistas e os próprios empregados.

Kemily Boff, head de Conscientização em SI & Comunicação da CYLK Technologing

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.