Autoria: Samuel Cruz Departamento de Sistemas de Informação
No contexto em que vivemos, a segurança informática e da informação são temas relevantes para todas as organizações e envolvem investimentos avultados, seja em tecnologia, recursos humanos, formação, investigação e desenvolvimento, entre outros. Os sistemas de defesa são cada vez mais competentes a detectar e prevenir intrusões, e as equipas de IT estão cada vez mais bem preparadas para prevenir e lidar com este tipo de ameaças. Tudo isto fez com que o paradigma dos ataques maliciosos se adaptasse e passasse a explorar mais a componente humana e nem tanto os sistemas. Enquanto os últimos têm vido a evoluir de forma a fazer face a novos tipos de ataques, os primeiros, os utilizadores, não têm sido treinados para a vertiginosa evolução de técnicas de engenharia social que exploram processos específicos da tomada de decisão do ser humano, os vieses cognitivos, que representam as tendências que podem levar a desvios sistemáticos de lógica e a decisões irracionais. Se estivermos à mesa com dez amigos e perguntarmos se valorizam a sua privacidade e têm preocupações relativamente à sua pegada digital, todos dirão que sim, sem hesitar. Perguntem depois, se já algum deles fez download de uma aplicação mobile no telemóvel, grátis, em que era solicitado apenas que fosse associada a conta do Facebook para usar a aplicação. Quantos responderão que sim? Mais de metade, certamente. E desses cinco ou mais, quantos leram o EULA (End-user license agreement ou Acordo de licença de utilizador final) da aplicação que acabaram de instalar no telemóvel? Nenhum, não foi? Então nenhum deles consegue garantir que não aceitou, nesse momento, que a aplicação grátis recolhesse informação do seu perfil de Facebook, nomeadamente nomes de amigos, grupos seguidos, interesses, gostos, etc.
Entre Junho de 2015 e Fevereiro de 2016, Kane Gamble, um adolescente britânico de 16 anos conseguiu acesso às contas de e-mail de John O. Brennan, director da CIA (2013-2017) e de James Clapper director da Agência de Segurança Nacional dos E.U. (2010-2017) sem ter usado nenhuma peça de software malicioso, nenhuma ferramenta de hacking nem nenhum tipo de tecnologia, a não ser um telemóvel. Kane contactou a Verizon e a AOL, fez-se passar pelas victimas (impersonation) e conseguiu alterar as perguntas de segurança de acesso às contas de email. Kane levou os seres humanos que estavam do outro lado da linha, com acessos às contas destes utilizadores a cometer um erro, fazendo-os acreditar que estavam a falar com o titular da conta, e expondo fragilidades catastróficas nos métodos de identificação de utilizadores por telefone a ataques de Vishing ou Voice Fishing.
É neste contexto que vivemos e é este o momento em que as organizações devem consciencializar-se de que o investimento em tecnologia de segurança não será suficiente, enquanto na ponta do sistema estiver um ser humano que pode ser influenciado a tomar uma decisão errada e a comprometer a segurança da informação, entre outros. A formação e as acções de consciencialização neste tema devem passar a fazer parte do dia-a-dia das organizações não como um uma declaração de inovação e de empresa à frente no seu tempo, mas como uma obrigação quase natural face à evolução da tecnologia, em que os utilizadores tendem a ser o elo mais fraco do sistema.