Em tempos de instabilidade, renda insuficiente e falta de perspectiva de curto e médio prazo, manipular ressentimentos, limitações cognitivas e descompromisso tem se mostrado uma aposta certeira do cibercrime.
Além disso, até mesmo modalidades aparentemente fantasiosas têm se tornado plausíveis, neste momento, como a preparação de “infiltrados” para concorrer a empregos. Isto porque os critérios de análise muitas vezes são menos rigorosos para as vagas de maior rotatividade e podem-se montar roteiros de ataque baseados em uma série de ações de baixo risco, que por si só não sinalizam a ameaça.
“Odorico é um prefeito porreta; é o pai do povo”, gritava Toninho do Jegue, personagem de O Bem Amado, que quando bebia invertia a convicção situacionista. Se existisse Whatsapp em 1973, poderia ter postado “Odorico ladrão, fio de uma égua”, em contraste ao adesismo que manifestaria no LinkedIn. Na alegoria de Dias Gomes, a explicação é a cachaça, mas há vários fatores que sinalizam “ambiguidades”. As situações reais são mais complexas do que a metáfora da novela, principalmente quando se lida com valores subjetivos.
De uma forma geral, ruídos causados por cortes e demissões, ou até mesmo por boatos e especulações, recomendam uma atenção especial ao DLP (prevenção a vazamento). Ou então, se alguém apresenta mau desempenho, e o gestor não conseguir um entendimento, é bom considerar que a performance em baixa pode se dever exatamente a insatisfações e que a forma de reagir pode passar do limite.
A “engenharia social violenta” também explora insatisfações e desejos como forma de criar situações constrangedoras e buscar cumplicidade por coação. Por exemplo, a negociação de uma “proposta de emprego” no LinkedIn serve tanto para extrair informações durante o processo quanto para possíveis chantagens (de revelar o flerte ao atual empregador).
Desta forma, duas linhas de ação preventiva são imprescindíveis: transparência geral e feedback individual. Em paralelo à agenda positiva, de informação e diálogo, é prudente se erguer as devidas salvaguardas.
Os incidentes causados por insiders normalmente são mais difíceis de identificar e os prejuízos costumam ser maiores. Ser lesado por quem teve sua confiança torna a perda ainda pior. Mas calma! Na maioria dos casos em que um funcionário ou um contratado com acesso à rede estão envolvidos não há má-fé do empregado. E mesmo nos dois perfis de riscos – de falhas de comportamento ou de falha de caráter – há variações, que determinam tratamentos distintos.
Fraquezas dos bem-intencionados e IA bidirecional
A maioria dos colaboradores é honesta e ainda assim grande parte das violações conta com ajuda de usuários internos. Além dos golpes de phishing e outras violações com artefatos técnicos, a transformação nos modelos de trabalho e a ansiedade gerada pela conjuntura – quando o pânico de perder oportunidades, clientes e o emprego turvam o senso crítico – induzem à abertura de exceções e outras más práticas.
As estratégias relacionadas a informação, transparência, interlocução e outros aspectos de engajamento dos usuários são essenciais. Do ponto de vista de gerenciamento de cibersegurança, é bom lembrar que, quando se explora esse vetor de ataque, não há os indícios óbvios de ações maliciosas, como uso anormal de USB ou e-mails para domínios externos. Um acesso legítimo, mas fora de contexto, por exemplo, pode sinalizar que está tudo certo com a VPN e a autenticação, enquanto o golpista usa o telefone para induzir o usuário a fazer a “consulta”.
A aplicação das várias modalidades de Inteligência Artificial, como machine learning e análise comportamental, é uma das grandes respostas a ameaças complexas. Além de instrumentalizar os gestores de segurança, desde já buscamos formas de explorar o caminho inverso; de transformar os insights em feedback. O usuário precisa de orientação constante, em linguagem adequada, que não se esgota com campanhas estáticas.
Pessimismo necessário e eficaz
Os grandes incidentes recentes nos setores de Governo e no Varejo, mostram que, embora os danos sejam expressivos em todos os casos, o impacto aos clientes foi diferente, principalmente pelo momento em que aconteceram. Uma indagação sempre presente nos ataques a varejistas é: “imagina se fosse na Black Friday ou Dia das Mães”.
A pergunta já traz parte da resposta. Possivelmente no período do freeze – em que tudo se revisa e nada se modifica – se descobria a vulnerabilidade ou o ataque latente antes que “desse ruim”. Assim como o falsário profissional imprime notas de R$ 10, quem arquitetou o ataque aproveitou o período mais fraco de vendas, quando se baixa a guarda e se executam alterações no ambiente. Diferente do atacante externo, o insider tem mais propensão a hesitar quando sente que pode ser percebido e rastreado.
Há soluções tecnológicas específicas e maduras para identificação de riscos e prevenção a ameaças internas. Mas nem sempre recebem a devida prioridade. Bons líderes podem ser traídos por sua própria ética e generosidade, com um viés que torna mais fácil acreditar em conspirações globais a reconhecer um canalha em sua equipe. Em contrapartida, é comum ocorrer incidentes em que a omissão chega a parecer deliberada, pelo primarismo da falta de controle. Seja qual for o caso, uma única exceção à regra – de as pessoas quererem fazer um bom trabalho – frustra os esforços de todos os stake holders – clientes, acionistas e os próprios empregados.
Kemily Boff, head de Conscientização em SI & Comunicação da CYLK Technologing
