O despertar da consciencialização em cibersegurança

Publicado em setembro, 2017 

Isabel Baptista, Head Of Development and Innovation Department - Portuguese National Cybersecurity Center

O rápido avanço tecnológico tem um profundo efeito na sociedade contemporânea. Indivíduos, organizações e Estados, necessitam da Internet e das tecnologias de informação e comunicação (TIC) para o desempenho das funções do dia a dia. Os indivíduos dependem das TIC na sua vida quotidiana, resultado de uma quase omnipresente adoção de tecnologia digital. Referindo apenas alguns exemplos, o cidadão comum usa (precisa) de sistemas de informação para desempenhar as suas funções profissionais, jogar em consolas de jogos e assistir a filmes em tablets para se entreter, utiliza recursos on-line para estudar, efetua compras na internet, interage e efetua quase tudo na internet através de smartphones, verifica as calorias consumidas e as horas dormidas através de sensores colocados nos pulsos, entre muitos outros.

A segurança da informação tornou-se fundamental para o sucesso de uma sociedade diferente – a Sociedade de Informação, uma sociedade globalizada, onde predomina a partilha e o simples e fácil acesso à informação.

O constante desenvolvimento de novas ameaças (com predominância no malware[1]); a abundância de ataques na Internet, como são o furto de dados, tais como fotografias, lista de contactos ou informações bancárias; o roubo de identidade ou o crime de extorsão, mais conhecido por ramsomware[2], exigem que o cidadão seja cada vez mais consciente da importância da protecção da sua informação e seja experiente e atento nessa protecção.

Apatia, ignorância ou não consciência em relação à segurança e necessidade de iliteracia (também) tecnológica são as maiores ameaças à segurança dos sistemas digitais. Sabe-se hoje que a melhor forma de obter uma melhoria significativa e perdurável no tempo, da segurança da informação, não é apenas através de soluções tecnológicas inovadoras, mas também através do aumento da consciência para a Cibersegurança e do comportamento dos indivíduos na utilização dos sistemas de informação. O ciberespaço é também um espaço de comportamentos. O que deveriam ser práticas comuns de segurança digital continuam a ser ignoradas pela generalidade dos indivíduos, incluindo pelos indivíduos mais jovens, os chamados nativos digitais, pondo em risco não só a sua privacidade, mas a de todos os que os rodeiam.

No entanto, o alcance das consequências destas práticas de segurança também depende do entendimento claro e completo dos riscos aos quais a informação pode estar exposta. Neste sentido, o despertar da consciencialização em cibersegurança deverá ser um dos pontos de partida para o desenvolvimento da capacitação de cidadãos em cibersegurança

Ainda neste domínio, os utilizadores são frequentemente designados de “o elo mais fraco”. Estima-se que 46% dos incidentes referentes a quebras de segurança nas organizações são causadas por negligência dos funcionários.

Alguns tipos de comportamento de risco resultam em falhas de segurança que, não materializando ataques de cibersegurança de facto, resultam na criação de condições de vulnerabilidade que aumentam a exposição tecnológica a esses ataques. Exemplos desses comportamentos poderão ser:

• • não encerrar as sessões nas contas das aplicações, 

  • a partilha de credenciais de login, 

  • preencher formulários com informações pessoais sem saber se a origem é fidedigna, 

  • visualizar emails de phishing[3], 

  • não reportar dispositivos roubados, 

  • não tentar saber se poderá estar a ser vítima de engenharia social[4], 

  • utilizar passwords curtas ou pouco seguras, ou 

  • tomar más decisões na navegação na web, como clicar em publicidade que é por vezes apenas um veículo para disseminar malware.

Os incidentes de cibersegurança ocorrem cada vez com maior frequência e com maior impacto. As repercussões podem ter impacto significativo em Estados, organizações e cidadãos. Há tipicamente a percepção de que apenas grandes organizações estão em risco, no entanto, são milhares os incidentes e ataques contra as Pequenas e Médias Empresas que nunca chegam a ser reportados. Notavelmente, os ataques bem-sucedidos alavancam problemas de segurança conhecidos de todos nós, sendo que cerca de 80% dos ataques ocorridos, tiveram origem na falta de boas práticas de cibersegurança nas organizações [5].

Em forma de conclusão, podemos afirmar que com a aplicação das boas práticas em cibersegurança e com a capacitação de cidadãos, poderão ser minimizados os riscos de um indivíduo se tornar vítima de um ataque de cibersegurança ou de propagar o impacto do ataque por outras organizações. Também, nas organizações, a capacitação dos colaboradores deve ser integrada de uma forma sistemática e adequada, como uma simples rotina periódica em que os bons comportamentos e os check-ups ocasionais servem para garantir a saúde da cibersegurança das organizações.

Notas:

[1] Malware: Software destinado a infiltrar-se num sistema de informático alheio de forma ilícita, com o objetivo de causar danos ou roubo de informações

[2] Ransomware é um tipo de software malicioso criado com o intuito de bloquear o acesso a ficheiros ou sistemas que só serão libertados após o pagamento de determinado valor. É como se fosse um sequestro, mas virtual.

[3] Como o nome em Inglês sugere, “phishing” significa “pescaria” e tem o objetivo “pescar” informações e dados pessoais importantes através de mensagens falsas.

[4] Engenharia social: “a arte de ganhar confiança ou aceitação para persuadir alguém a fornecer informações ou a realizar uma acção para beneficiar o atacante”

[5] Relatório do governo do Reino Unido – CESG (the Information Security Arm of GCHQ) (2015, 17 páginas, PDF): www.gov.uk/government/uploads/system/uploads/attachment_data/file/400106/Common_Cyber_Attacks-Reducing_The_Impact.pdf