Como reforçar a cibersegurança? Simplesmente eliminando o fator humano

Os sistemas de computadores que rodam o mundo, aqueles que protegem nossas informações financeiras, privacidade e mantém funcionando nossa rede elétrica, têm, inevitavelmente, uma fraqueza crítica: são os humanos que os utilizam.

À medida que aumentam as ameaças virtuais e os ataques, a pergunta que surge nesse cenário, então, é como se defender desse perigo? Maria Konnikova, autora do livro The Confidence Game, observa que esse problema existe desde o começo da era da digital, ou da conectividade.

Naturalmente, aqueles que caem em armadilhas de phishing por e-mail podem desencadear ataques cibernéticos generalizados. E apesar da publicidade maciça e do treinamento corporativo sobre o tema, elas continuam sendo pegas pela ameaça. Hackers precisam fazer com que alguém confie neles para obter informações pessoais da vítima. Se você já aceitou um pedido de amizade no Facebook de alguém que não conhece, você é parte do problema.

Mídias sociais são apenas a ponta do iceberg. “Listas de desejos da Amazon, por exemplo, são um tesouro, assim como seu histórico no eBay”, pontou Maria ao jornal The Wall Street Journal. Claro que se alguém tem informações sobre nós, estamos mais propensos a confiar nela. Essa percepção ajudou a aguçar ataques de phishing, no quais cibercriminosos lotam caixas de entrada de e-mails corporativos com spam. Os “spear phishing“, ataques altamente personalizados, têm mais chance de sucesso porque vêm de alguém que conhecemos, ou pensamos que conhecemos.

Você pode estar se perguntando agora: quem seria ingênuo ao ponto de cair nessas armadilhas? A resposta é muito de nós. Teste realizado por pesquisadores da Verizon Enterprise Solutions com uma base de 150 mil e-mails constatou que 23% das pessoas abriram um e-mail com um suposto malware e 11% clicaram no anexo.

A solução mais óbvia para esse problema é ensinar as pessoas a serem mais cautelosas com os e-mails que chegam em suas caixas de entrada. Mas a história tem mostrado que só isso não funciona. Os bancos, em particular, estão gastando enormes quantidades de dinheiro tentando ensinar seus funcionários a não abrir e-mails suspeitos. Mas nem eles estão livres do problema. Como garantir que empresas com milhares de funcionários, por exemplo, nunca cairão nas garras dos cibercriminosos?

A resposta é assumir que os seres humanos vão falhar e automatizar algumas tarefas em torno deles, acredita Shawn Henry, presidente da empresa de segurança cibernética CrowdStrike. Filtragem de e-mail pode fazer uma enorme diferença, bem como sistemas na infraestrutura de TI de uma empresa que funciona quase como um sistema imunológico, monitorando o tráfego interno para captar malwares depois que ele já infectou o sistema.

Apesar de mais de uma década de educação aos usuários sobre ataques de phishing, o relatório da Verizon diz que as pessoas continuam a ser o segundo elo mais fraco na cadeia de segurança. As pessoas também são a forma mais popular de os governos conduzirem ciberespionagem.