1° de abril, é internacionalmente conhecido como Dia da Mentira – uma ocasião em que pessoas pelo mundo inteiro pregam peças e outros tipos de brincadeiras com seus amigos e familiares, com informações falsas.
No entanto, a data também é uma oportunidade para desmascarar alguns mitos que ainda circulam entre os usuários no ambiente online, especialmente no que diz respeito à proteção de dados. “Muitas crenças completamente equivocadas sobre o que fazer para proteger suas informações seguem sendo compartilhadas, colocando usuários e empresas em risco”, afirma Hugo Santos, Diretor de Inteligência de Ameaças da ISH Tecnologia, principal empresa nacional de cibersegurança. “Além disso, vale lembrar que um criminoso tem, por definição, ao aplicar um golpe, a intenção de enganar uma vítima para fazer algo que não deveria.”
Pensando nisso, o especialista lista quais são os maiores mitos ainda difundidos sobre cibersegurança, e o que realmente é verdade sobre cada um deles:
Senhas fortes são o suficiente: uma preocupante quantidade de ataques hackers seguem acontecendo pois os usuários insistem em utilizar senhas de fácil memorização, como sequências numéricas ou de letras do teclado (como a popular “qwerty”, que consiste nos seis primeiros caracteres do modelo padrão de teclado). Isso faz com que muitos pensem que criar uma senha difícil é o suficiente para proteger suas informações.
Santos explica que isso está longe de ser o caso. Criminosos podem explorar uma série de outros vetores de acesso, como links falsos que baixam arquivos maliciosos na máquina afetada. Além disso, existem ferramentas que permitem aos criminosos roubar as senhas, indo além da mera adivinhação de opções óbvias – o que reforça a necessidade de ativar, sempre que possível, a autenticação em dois fatores: com ela habilitada, somente a senha é insuficiente para o acesso.
Outro perigo aqui consiste na reutilização de senhas para mais de um lugar – no caso de um vazamento, mais de um serviço ou login do usuário que tem a mesma credencial pode ser atingido. A recomendação principal é utilizar um gerenciador de senhas.
Pequenos negócios não são atacados: a lógica é justamente o contrário. Empresas maiores podem parecer mais atrativas, por conterem mais dados, e de maior valor, mas elas tendem a possuir ferramentas e processos já bem definidos e implementados, o que dificulta o acesso. Já as pequenas e médias, muitas vezes, não tem a maturidade ou recursos suficientes para tal, o que as torna alvos consideravelmente mais fáceis.
Segundo a Kaspersky, nos últimos 12 meses, as PMEs brasileiras sofreram mais de 192 milhões de tentativas de ataques cibernéticos, o que resulta numa média de 365 tentativas por minuto. “Toda empresa é um alvo em potencial, então todas precisam ter a cibersegurança como um norte, e investir em soluções e educação – já existem opções, inclusive, escaláveis, e voltadas justamente a mercados com menor poderio financeiro”, diz Santos.
Identificar um phishing é fácil: criou-se, no imaginário popular, a ideia de uma mensagem de phishing sendo aquela com erros grotescos de ortografia, completamente aleatória ou apresentando uma situação absurda (como uma oferta de emprego boa demais para ser verdade, ou um pedido de dinheiro de alguém vindo de outro país). Hoje, no entanto, a situação é completamente diferente.
Com o auxílio de Inteligência Artificial, mensagens de phishing extremamente convincentes podem ser elaboradas, simulando o linguajar e até mesmo a identidade visual de comunicações legítimas. Santos alerta também para o fato de que modelos generativos podem ser treinados para estudar o ecossistema de empresas alvo, e por consequência gerar mensagens que se misturam muito facilmente com as oficiais.
A sugestão é sempre suspeitar de mensagens que você não estava esperando e que apelem para gatilhos mentais que induzem ao erro (como senso de urgência ou medo, com ameaças). Na dúvida, sempre consulte os canais oficiais, como o seu banco.
Cibersegurança é assunto de TI: outro “clássico”. Delimitar o trabalho da proteção de dados apenas ao time mais técnico não só sobrecarrega o mesmo, como resulta num ecossistema consideravelmente menos protegido, devido a pontos cegos não cobertos por aqueles que não acompanham os esforços.
Santos explica que, devido ao perigo representado por um ataque bem-sucedido, a cibersegurança deve ser um esforço conjunto de toda a empresa, dos líderes aos estagiários. Para isso, programas constantes de conscientização e testes da maturidade dos times são fundamentais.
Antivírus = segurança: hoje, apenas comprar e instalar um sistema de antivírus, por mais robusto e efetivo que seja, não é mais o suficiente. Ataques modernos, como ransomwares, roubos de identidade ou ataques à vulnerabilidade na rede, não são cobertos por um antivírus. É preciso também implementar uma série de outras ferramentas e processos, como firewall, monitoramento de rede, autenticação de dois fatores, backups offline e atualizar hardwares e softwares.
O especialista da ISH também destaca que o fator humano precisa ser considerado aqui. Mesmo com um antivírus de qualidade instalado, o usuário pode ser induzido a entrar num site falso, ou clicar num link malicioso – o que reforça a necessidade de educação. Dados do Fórum Econômico Mundial mostram que 95% de falhas na cibersegurança se devem ao erro humano.
Computador é a única preocupação: apesar de ser o dispositivo pelo qual a maioria das pessoas trabalha, o computador não é a única máquina que pode ser invadida por um cibercriminoso. Basicamente, qualquer dispositivo conectado à internet pode ser invadido e ter seus dados vazados (ou ser utilizado como trampolim para acessar outros aparelhos conectados), incluindo, por exemplo, relógios inteligentes, smart TVs, roteadores e até mesmo eletrodomésticos.
Santos chama a atenção em especial para um outro aparelho: o celular. “Trata-se de um dispositivo que possui todas as nossas informações mais sensíveis, e acesso a aplicativos como bancos e instituições de saúde e do governo. Ainda assim, acompanhamos um número preocupantemente menor de pessoas que afirmam ter algum tipo de proteção instalada no aparelho, e contraste com os notebooks.”
Ameaças sempre vêm de fora: embora grande parte dos ciberataques sejam realizados por criminosos com intenções maliciosas, uma considerável parcela também vem “do lado de dentro”. Isso pode ocorrer, por exemplo, por meio de colaboradores que, sem saberem, permitem a entrada de um malware dentro do ecossistema da empresa, clicando num link indevido ou baixando um arquivo malicioso.
Santos também chama a atenção para outro tipo de ameaça interna: quando os colaboradores, seja por algum tipo de descontentamento, ou mesmo ameaça de criminosos, deliberadamente vazam informações sigilosas do seu local de trabalho. “Isso mostra como é fundamental implementar soluções de controle e gestão de acessos, que presumam que qualquer um pode ser um vetor de ataque, pois qualquer um realmente pode ser, ainda que involuntariamente.”
Por fim, o especialista destaca que a cibersegurança não é feita de nenhuma “fórmula mágica” ou soluções salvadoras: trata-se de um esforço contínuo, coletivo e estratégico. “Derrubar mitos é apenas o primeiro passo para construir uma cultura sólida de proteção digital. Seja no âmbito pessoal ou empresarial, investir em educação, ferramentas adequadas e processos bem definidos é o caminho para reduzir riscos e enfrentar um cenário cada vez mais desafiador”, conclui.
Imagem: https://br.freepik.com/fotos-gratis/alto-angulo-de-cubos-de-madeira-desfocados-com-senha-no-laptop_8725540.htm
