O "humano na máquina" é uma consideração fundamental ao criar uma estratégia eficaz para minimizar o risco de segurança cibernética. Contudo, há muitos aspectos nesta afirmação, uma vez que os nossos empregados são uma parte vital do sucesso da nossa organização; em vez de atribuir culpas, devemos provocar o malicioso a partir do acidental, detectando o primeiro e prevenindo o segundo.
Através de uma Formação de Sensibilização para a Segurança orientada, os factores humanos que levam a falhas humanas podem ser mitigados. Eis como e porquê o risco de segurança cibernética pode ser gerido através de uma sensibilização para a segurança.
Porquê os factores humanos levam ao risco de segurança cibernética
O factor humano no risco de segurança cibernética é normalmente designado por "ameaça interna". O 'insider' assume a forma de empregados e não-empregados, tais como consultores. O simples facto de os insiders serem uma parte integrante dos processos de uma organização e utilizarem recursos informáticos com permissão, torna difícil abordar as falhas humanas que conduzem ao risco de segurança cibernética.
O risco de segurança cibernética relacionado com o cibersegurança é um grande problema: um Relatório de Ameaça de Segurança Cibernética de 2020 da Insiders aponta que 68% das organizações se sentem "moderadamente a extremamente vulneráveis" a ameaças internas. Isto não é surpreendente quando olhamos para algumas das manchetes dos ataques cibernéticos de última hora do ano passado, tais como o hack Twitter de 2020, onde contas de alto nível no Twitter, incluindo as de Barack Obama, foram acedidas e utilizadas para enganar os utilizadores do Twitter na realização de transacções ilícitas de bitcoin. As perdas são estimadas em cerca de 180 milhões de dólares (£129 milhões) e 4% foi eliminado do preço das acções do Twitter. O hack envolveu a pesca submarina de funcionários do Twitter e o roubo de credenciais privilegiadas.
Os factores humanos são utilizados por cibercriminosos para efectuar acessos não autorizados, roubar credenciais, e infectar sistemas informáticos e pontos terminais com malware, tais como o resgate de software. Sem o efeito humano-na-máquina, a cibercriminalidade seria muito mais difícil.
Os Factores Humanos que Conduzem às Falhas Humanas
De acordo com a investigação da IBM, as três principais áreas em que se deve concentrar a atenção ao criar estratégias de segurança para mitigar os riscos de segurança cibernética são:
- Phishing
- Digitalizar e explorar
- Utilização não autorizada de credenciais
Todos os três vectores têm um elemento que envolve um factor humano em algum ponto da cadeia de ataque.
Phishing e Spear-phishing - factores humanos: Isto requer um alvo humano para clicar num elo ou abrir um anexo infectado para iniciar a cadeia de infecção. Muitas vezes, o phishing será utilizado para atingir utilizadores privilegiados (spear phishing) para colher as suas credenciais. Os utilizadores privilegiados têm acesso a recursos mais importantes - o roubo de credenciais privilegiadas é o cálice dourado do hacking. Aqui, um factor humano, tal como a resposta automática ao clique, entra em jogo.
Scan and Exploit - falha humana: os hackers utilizam qualquer coisa que facilite a vida e ser capaz de procurar automaticamente vulnerabilidades é um vector útil para a infecção por malware. Os componentes do sistema informático, tais como servidores web, bases de dados e aplicações em nuvem, podem acabar mal configurados se o impacto da má segurança não for totalmente compreendido. Aplicações inseguras e componentes web resultam em falhas de segurança que os hackers podem explorar. Neste caso, a falha humana conduz ao risco de segurança cibernética.
Utilização não autorizada de credenciais - falhas humanas e factores humanos: o roubo de credenciais leva a um acesso não autorizado a sistemas e recursos informáticos. As formas como as credenciais podem ser utilizadas sem autorização incluem:
- Navegação pelo ombro: as credenciais são roubadas quando uma pessoa maliciosa observa alguém a introduzir uma palavra-passe.
- Phishing: enganar uma pessoa para introduzir as credenciais de login numa página de login falsa.
- Engenharia social: enganar uma pessoa a entregar uma credencial de login por telefone, meios de comunicação social, ou utilizar outros métodos de comunicação, tais como correio electrónico, balcões de atendimento e textos.
Em todos os três vectores de hacking mais bem sucedidos, tanto o factor humano como o fracasso humano são grandes. O risco de cibersegurança está concentrado nos nossos empregados e não empregados, mas como podemos reduzir este risco?
Melhores práticas para evitar que os factores humanos se transformem em falhas humanas?
Um estudo da Kaspersky, que se concentrou no papel que os factores humanos desempenham no risco de segurança cibernética, concluiu que "pessoal descuidado ou desinformado" é a segunda causa mais provável de uma grave quebra de segurança; a infecção por malware é a primeira, mas é frequentemente ela própria causada por pessoal descuidado ou desinformado. Com elevados níveis de risco associados a factores humanos, a redução de falhas é vital para mitigar o risco de segurança.
Destacam-se duas áreas que cobrem tanto o pessoal descuidado como o não informado:
Decisões descuidadas que conduzem a falhas de segurança: fazer más escolhas de segurança, tais como configurar mal os sistemas e componentes de TI, ou clicar num link de phishing antes de pensar, são falhas humanas que conduzem a um aumento do risco de segurança cibernética. A má configuração dos sistemas e componentes de TI é um exemplo de uma decisão de segurança descuidada. Clicar numa ligação de phishing é outra. Tanto o pessoal informático como o pessoal não informático são capazes de decisões descuidadas que conduzem a falhas de segurança. Garantir que todo o pessoal, tanto técnico como não técnico, esteja consciente do impacto das suas escolhas, é uma forma fundamental de mitigar o risco de segurança cibernética.
Pessoal desinformado que leva à falha de segurança: se o pessoal não está consciente das suas acções, como é que pode saber as consequências de segurança? As empresas formam rotineiramente pessoal noutras áreas do negócio, e isto deve ser alargado à formação de sensibilização para a segurança. A formação do pessoal em segurança inclui uma compreensão de como funciona o phishing, bem como outras falhas de segurança comuns, tais como a partilha de palavras-passe e a entrega incorrecta de emails. Notavelmente, a entrega incorrecta continua a subir como forma de erro humano, de acordo com o Relatório de Investigação de Violação de Dados da Verizon (DBIR).
Atenuação do factor humano no risco de segurança cibernética
O estudo Kaspersky identificou um elemento crucial de falha humana na segurança - a necessidade de esconder os erros. O inquérito descobriu que em 40% das empresas, os empregados escondiam incidentes de segurança. Este número deveria fazer soar alarmes, e fazer com que as pessoas intensificassem a sua formação em matéria de segurança. Mesmo que o funcionário compreendesse a implicação de um evento de segurança, sentia-se obrigado a esconder a informação. Isto suscita a pergunta porquê, com uma resposta em duas partes:
Faça da Segurança uma Cultura: pode parecer cliché, mas se a noção de segurança estiver incorporada na sua cultura empresarial, é menos provável que o pessoal fique sobrecarregado e com medo quando algo acontece. Uma cultura de segurança é criada utilizando a Formação de Sensibilização para a Segurança para ajudar a formar hábitos positivos de segurança nos funcionários.
Facilitar a Comunicação de um Incidente de Segurança: os incidentes precisam de ser comunicados, de modo a que possam ser actuados pelo pessoal qualificado adequado que reflicta o nível de risco. Um sistema de notificação, concebido para tornar a notificação super fácil para os funcionários, tirará a dor da notificação de incidentes e torná-la-á mais provável de acontecer.
Os factores humanos conduzem a falhas humanas. Ao abordar o comportamento humano que conduz a erros descuidados e a más decisões, uma organização pode reduzir o risco de segurança cibernética.
