Mesmo internautas bem-intencionados podem ser enganados a cometerem um comportamento de risco
A campanha presidencial dos Estados Unidos foi constantemente perturbada por vazamentos de e-mails do Comitê Nacional Democrata (DNC, na sigla em inglês) e pela posterior renúncia da presidente do partido. Depois de revelado que os vazamentos foram decorrentes de ataques de phishing (fraude eletrônica para adquirir dados pessoais), muitos CISOs (diretores de segurança da informação) devem ter se atentado mais pelo assunto. Mas quando, no início de maio de 2017, um golpe sofisticado de phishing atraiu cerca de 1 milhão de usuários para clicar em um link do Google Docs, esse interesse deve ter se transformado em uma grande ansiedade.
Eventos assim demonstram que mesmo os internautas bem-intencionados podem ser enganados a cometerem um comportamento de risco. O ciberataque do Google Docs dependia de e-mails enviados para caixas de entrada que pareciam ter sido transmitidos por um contato conhecido e confiável. Muitas empresas usam os recursos do Google como parte de sua própria infraestrutura. Mesmo empresas que não possuem muitos funcionários com contas próprias do Gmail usam o Google Docs com frequência.
Colaboradores cuidadosos e bem-intencionados podem abrir a rede corporativa para intrusos, enquanto alguns usuários legítimos ficam livres para explorar seu acesso autorizado para executar atividades maliciosas. Em alguns casos, as ações de funcionários constituem uma ameaça maior do que as vindas de fora do ambiente corporativo.
Uma análise feita com os dados das reclamações cibernéticas feita pela Willis Towers Watson, uma multinacional de gestão de risco, corretagem de seguros e consultoria, revela que 66% das falhas cibernéticas são resultantes de negligência de funcionários ou de atos maliciosos, em comparação com 18% direcionados diretamente por uma ameaça externa, e 2% vem de extorsão cibernética.
Dessa forma, reforço a importância de se prestar atenção em comportamentos cotidianos dos funcionários que colocam a empresa em risco. Dispositivos móveis de colaboradores podem ser rapidamente infectados por malware ao clicar em um link ou ao visitar um site com malwares causadores de um ataque completo. Sem o conhecimento do usuário, seus sistemas passam a ser controlados por alguém que está levando dias, semanas ou mesmo meses para encontrar o que vale a pena roubar dentro da rede corporativa.
Outro comportamento de risco está relacionado ao uso das redes sociais. Um estudo da Intel Security com 2 mil entrevistados no Reino Unido revelou que dois terços dos internautas nunca se questionaram sobre a autenticidade de um contato do LinkedIn e 24% já se conectaram à página de alguém que eles não conheciam. Esse comportamento não só os torna suscetíveis a ataques direcionados, mas também coloca suas empresas em risco, pois os intrusos ganham acesso a círculos confiáveis e podem se infiltrar a outros dentro de uma empresa.
Ingenuidade e negligência não combinam com o manuseio de informações confidenciais. O fornecedor de soluções de TI, Softchoice, pesquisou 1,5 mil trabalhadores norte-americanos e descobriu que um em cada cinco funcionários mantém senhas em locais de fácil visualização, como em Post-its. E um em cada três usuários de apps da nuvem baixou um aplicativo sem informar seu departamento de TI, de acordo com a pesquisa.
Além disso, quase três quartos dos funcionários dizem que compartilhariam informações corporativas sensíveis, confidenciais ou regulamentadas em determinadas circunstâncias, de acordo com a Pesquisa de Segurança do Usuário Final da Dell 2017. Essas circunstâncias tem variações para fazê-los acreditar que o risco é baixo . Mas, em sua maior parte, o colaborador pensa que está certo agir assim.
Somente ao automatizar a detecção de ataques e comportamentos de risco dentro de uma organização, a segurança de TI pode ter uma chance de ter sucesso e impedir os ataques. É hora de prevenir e identificar comportamentos incomuns e atribuir intenções maliciosas a eles de forma confiável.
*Eduardo Gonçalves é country manager da Aruba no Brasil
