Para além disso, poderá ainda questionar a razão pela qual se deve preocupar com a Segurança da Informação na sua vida pessoal quando, o seu provedor de Internet, do seu serviço de streaming, de e-mail e/ou de comunicações, é também obrigado a seguir todas essas boas práticas e regulamentos descritos acima.
Esta é uma pergunta legítima e pertinente, tal como são as seguintes:
A resposta é que por muito fortes que sejam os sistemas de defesa de uma Organização, o erro e a distração humana, que podem provocar um incidente de segurança ou comprometer a Organização (mesmo que involuntariamente), são ações que não é possível controlar de forma individual.
Deve considerar-se que os erros descritos acima podem ser resultado de falta de conhecimento sobre métodos maliciosos utilizados por cibercriminosos que, na maioria das vezes, não utilizam fatores técnicos, mas sim Engenharia Social – definida como uma técnica de manipulação capaz de explorar erros humanos para obter informações confidenciais ou acessos.
De facto, nos dias de hoje os cibercriminosos continuam a efetuar ataques aos sistemas de defesa das Organizações, mas o principal meio de ataque é sem dúvida a Engenharia Social, ou seja, atacar os colaboradores para consequentemente, de forma direta ou indireta, atacar a Segurança das Organizações.
Devemos então considerar que somos nós o principal alvo dos cibercriminosos na Organização em que trabalhamos?
Sem dúvida e devemos ainda considerar o grau de responsabilidade que temos dentro da Organização, porque também este facto é avaliado quando os cibercriminosos decidem efetuar algum ataque, seja para extrair informação e dados, seja para ciberespionagem.
Todos nós possuímos uma menor ou maior pegada digital, seja através da nossa conta de e-mail, seja através de serviços contratados de primeira necessidade, ou através de redes sociais e/ou profissionais e todos estes serviços podem e são usados pelos cibercriminosos, para de alguma forma, terem vantagem e executarem os seus ataques qualquer que seja o propósito dos mesmos.
Existem inúmeras formas de ataque à Segurança Digital, entre os mais famosos encontramos:
Não obstante, existem inúmeras outras formas de comprometer a Segurança (não só digital) de uma Organização. Apresentamos-lhe 3 exemplos práticos que ilustram cenários reais.
Um cibercriminoso dirige-se ao seu escritório, passa pelo segurança e dirige-se a si com um ar bastante preocupado e com a camisa e uns papeis sujos de café, diz-lhe que vem para uma entrevista, que teve um incidente na máquina de café e que, por isso, precisa de imprimir novamente o CV e solicita-lhe que o faça, partilhando uma pen USB para o efeito.
Sabia que, caso aceite este pedido, a sua organização ficará refém desse cibercriminoso em muito pouco tempo e poderá ter de pagar um resgate elevado?
Atualmente temos inúmeras passwords de acesso a diversas áreas restritas em websites e, por isso, existe uma grande resistência à colocação de caracteres especiais, letras e números aquando da sua definição. Nesse sentido, imagine que quando é confrontado com a obrigatoriedade de definir uma nova password, decide colocar apenas o nome do seu animal de estimação. Um cibercriminoso que pretenda saber alguma informação da sua parte, aceda às suas redes sociais e, com toda a informação aí disponível, consegue facilmente descobrir a sua password e ter acesso às suas contas e equipamentos.
Sabia que se este cibercriminoso tiver total acesso à sua rede social, sabe através das fotos e informação que publica onde mora e se se encontra, fora da sua área de residência? Sabendo a sua localização até o seu animal de estimação poderá estar em risco.
Imagine que é diretor numa Organização e que um individuo lhe faz um convite, no LinkedIn, para se conectarem e que esse mesmo individuo é um cibercriminoso contratado por uma outra Organização sua concorrente, para descobrir qual a sua estratégia de negócio para 2025. Ora bem, esse mesmo individuo poderá usar várias estratégias: por um lado poderá alcançar a sua conta de redes sociais (como visto no exemplo anterior) ou, por outro lado, poderá ir atrás da sua conta corporativa.
Sabia que a sua conta corporativa e respetiva password podem estar expostas na Internet, na Dark ou Deep Web? Não obstante, este individuo opta por meter conversa consigo no LinkedIn para tentar criar empatia, uma vez que andou a investigar as suas redes sociais e descobriu os seus hobbies, gostos e família. No entanto, e apesar de não ter tido retorno da sua parte, ele tentará atacar as suas contas e descobrir como o poderá chantagear ou subornar de forma a obter a informação pretendida.
Apesar dos esforços feitos por cada Organização na prevenção do cibercrime, os cibercriminosos estão constantemente a melhorar a sua abordagem e métodos de ataque, fazendo com que a sensibilização para a Segurança da Informação das organizações tenha de estar a ser constantemente atualizada de forma a providenciar os seus colaboradores com as ultimas novidades nesta área, mas (existe sempre um mas) é igualmente de extrema importância que cada um de nós proceda de acordo com o que vamos aprendendo para nos protegermos e evitar ao máximo os dissabores de um ataque à nossa vida pessoal e/ou à nossa vida profissional!
__
Nuno Roma Rodrigues
Cybersecurity Senior Manager da PwC Portugal
Com o apoio da PwC, proteja a sua empresa de intrusões e ameaças. Fale com os nossos especialistas em Cibersegurança.
Aceda a conteúdos sobre tendências, boas práticas e soluções para a proteção do seu negócio contra ameaças cibernéticas.