Ao entrarmos no Mês de Conscientização sobre Segurança Cibernética , devemos nos preparar para a onda de mitos e conceitos errôneos comuns sobre segurança, muitas vezes amplificados com boas intenções, mas com efeitos ruins. Esses tópicos podem ser controversos até mesmo entre profissionais experientes, por isso adotaremos uma visão baseada em dados e abordaremos a população empresarial mais ampla.
Essa amplitude é frequentemente fonte de desacordo. Cada empresa deve ter suas próprias conversas sobre riscos e perdas aceitáveis, modelos de ameaças aplicáveis e prováveis agentes de ameaças, e como seu ambiente é único. O ponto em comum, porém, são dados, conhecimento especializado e objetividade, não conhecimento tribal, imitação sem compreensão e viés de confirmação e sobrevivência.
Abordaremos "os três grandes": clicar em links em e-mails, usar Wi-Fi público e "juice jacking" ou os perigos do carregamento USB gratuito para telefones.
Remover: Ensine indicadores claros de phishing e golpes, mas conselhos irrealistas como "não clique em links" são improdutivos e até prejudiciais.
A conscientização sobre "uso seguro" é poderosa, ajudando os funcionários a usar melhor a tecnologia e, ao mesmo tempo, abordando problemas comuns, mas anos pedindo às pessoas que mudem comportamentos fundamentais como "não clique em links" não parecem estar funcionando. O Relatório de Investigação de Violação de Dados de 2023 da Verizon cita que 74% de todas as violações incluem o elemento humano (não apenas e-mail) e o Estudo de Insights de Risco de Informação de 2022 do Cyentia Institute classifica o phishing como uma das três principais técnicas de acesso inicial em 18 dos 20 setores (classificado em 4º lugar em Informações e Outros Serviços).
Acidentes acontecem, e até mesmo um funcionário bem-intencionado e treinado clicará em um link malicioso ao longo do tempo. Esse é um dos motivos pelos quais os programas de segurança ainda investem em segurança de e-mail e dispositivos depois de anos persuadindo os usuários a usar o e-mail de forma diferente. Mais preocupante é o tempo gasto neste tópico em treinamentos valiosos de conscientização sobre segurança, causando mais danos ao perder a atenção do público por falta de praticidade.
As empresas devem ser mais resilientes do que um funcionário que clica em um link. Os funcionários podem ajudar, especialmente em reportagens sobre a verdade absoluta ("veja algo, diga algo"), mas mitigar esse risco é responsabilidade das equipes de segurança.
Remover: O Wi-Fi público é seguro para uso mesmo em contextos empresariais.
Persiste a crença de que o Wi-Fi público é menos confiável ou mais perigoso do que as redes domésticas ou de escritório. No entanto, não há relatos sobre a exploração em massa de Wi-Fi público, inclusive de 2020 a 2022, com o aumento do trabalho remoto. A Comissão Federal de Comércio (FTC) alertou contra o uso de Wi-Fi público em 2011, mas em 2023 atualizou suas orientações para refletir os desenvolvimentos técnicos que tornam seu uso seguro .
Comparativamente, temos roubo de laptops e dispositivos, como crime de oportunidade em um espaço público, um risco mais provável de ser mitigado por investimentos em criptografia de armazenamento, gerenciamento de dispositivos móveis (MDM) e políticas de bloqueio. Um exemplo de subpopulação é a lista arquivada de violações relatadas de informações de saúde protegidas e não seguras que afetaram 500 ou mais indivíduos do Departamento de Saúde e Serviços Humanos, Escritório de Direitos Civis (OCR), mostrando mais de 4,6 mil incidentes de roubo ou perda de um laptop ou outro dispositivo eletrônico portátil desde 2009, afetando mais de 345 milhões de indivíduos.
Enquanto isso, o tráfego de rede local continua sua tendência de segurança:
A menos que o dispositivo tenha serviços de rede, o que deve ser uma exceção extrema para dispositivos de usuários, o Wi-Fi público apresenta pouco ou nenhum risco exclusivo em comparação a qualquer outra rede Wi-Fi. Para aqueles que adotam uma abordagem de confiança zero, o Wi-Fi público é um excelente exemplo de nunca confiar na rede, tanto em redes públicas quanto privadas.
Remover: Esse ataque foi comprovado em vários modelos de telefone, mas não há dados confirmados que sugiram seu uso, e a mitigação para o usuário é de baixo custo, então geralmente é seguro usar um carregador USB gratuito em caso de emergência.
Embora haja momentos em que você queira evitar estações de carregamento USB, como deixar seu telefone sem vigilância e correr o risco de ser roubado ou em uma conferência de segurança onde "demonstrações" desses ataques são mais prováveis, não há dados confirmados que sustentem a amplificação que o "juice jacking" obtém.
Para aqueles preocupados com esse risco, a mitigação tem baixo custo tanto para o empregador quanto para o empregado:
O maior risco das estações de carregamento USB gratuitas é que o dispositivo seja deixado sem supervisão e alguém o leve embora. Novamente, o investimento das empresas em gerenciamento de dispositivos e aplicação de higiene geralmente são mitigações razoáveis.
A segurança normalmente recebe pouca ou nenhuma atenção positiva dos colegas de trabalho e o treinamento obrigatório da empresa não desperta entusiasmo. Esses momentos preciosos e primeiras impressões são alguns dos recursos mais caros que as equipes de segurança têm.
Na melhor das hipóteses, qualquer tempo gasto em material que não seja crítico, relevante, impreciso ou irrealista é um desperdício. Na pior das hipóteses, as equipes de segurança perdem seu público e não receberão atenção na próxima vez, não importa quão crítica seja sua mensagem.
A questão macro é por que mitos e conceitos errôneos como esses persistem. Parte do problema é humano, como mencionado no início do artigo.
A outra parte é estrutural, quando conceitos errôneos como esses são incluídos em estruturas de conformidade e acordos comerciais. Essas prescrições raramente envelhecem bem, especialmente quando escritas com especificidade que não é atualizada com a tecnologia. Isso faz com que os programas de segurança implementem requisitos desatualizados ou míticos, que são adotados por suas equipes e levados para o próximo empregador. Esse conhecimento infectado é pior que malware.