Seres humanos: a fenda na armadura

Os hackers sabem de uma coisa com certeza: muitas vezes, o elo mais fraco na configuração da segurança cibernética de qualquer empresa está em seus funcionários. Esta edição de nossa série sobre segurança cibernética apresentará a você os truques que os invasores empregam e as medidas que as empresas podem tomar para evitar que seus funcionários dêem o clique errado.

O que você deve fazer se o Excel travar no trabalho novamente? Você simplesmente procura algumas dicas online e logo o programa de cálculo de tabelas está funcionando perfeitamente novamente. Mas, às vezes, não há como reviver o programa. Foi algo que aconteceu com o último empregador de Michael Rempfer, uma empresa de engenharia mecânica do sul da Alemanha. Um colega lá saiu em busca de ajuda com o Excel e clicou em um arquivo que estava repleto de malware. Trinta minutos depois, os atalhos no monitor pararam de funcionar. O motivo logo ficou claro: um vírus estava criptografando clandestinamente os discos rígidos de toda a empresa. “Detectamos o problema rapidamente e desligamos todos os servidores”, diz Rempfer. Felizmente, a empresa tinha uma cópia de backup atualizada e o pesadelo acabou no dia seguinte.

Hoje, Rempfer é o Diretor Técnico da Kallfass, fabricante de máquinas de embalagem. Mas o engenheiro não se esqueceu daquele dia do passado repleto de ansiedade e agora faz tudo o que pode para impedir que um ataque semelhante aconteça a seu novo empregador. Um firewall repele tudo que vem em sua direção. Os funcionários são impedidos de acessar páginas suspeitas e não conseguem instalar nenhum software. “Os funcionários não têm direitos de administrador de espécie alguma”, diz ele.

 

A cautela se justifica. Quase 40% das empresas europeias foram vítimas de ataques cibernéticos nos últimos cinco anos, de acordo com um estudo realizado pela empresa de auditoria e consultoria tributária RSM em 2019. E essas são apenas as empresas que os identificaram. Sessenta e quatro por cento dos 597 tomadores de decisão pesquisados em 33 países europeus afirmaram que podem ter sido hackeados involuntariamente.

Quase metade dos ataques bem-sucedidos foram direcionados a funcionários inadequadamente conscientizados, concluiu o estudo. A Kaspersky, fornecedora de software de segurança, diz que a taxa é provavelmente muito mais alta: mais de 80% dos incidentes de segurança são resultado de erro humano. Os hackers visam um grupo específico: pequenas e médias empresas que pensam que não seriam um alvo muito convidativo. Como resultado, elas assumem erroneamente que não têm nada com que se preocupar e deixam de informar os funcionários sobre o problema.

Truques baratos para o sucesso

“O dinheiro é sempre uma armadilha”, diz Markus Schließ, advogado que mora em Stuttgart e é especializado em direito de TI. Uma funcionária de um de seus clientes foi atraída para um concurso no valor aparente de 5 milhões de euros. Ao fazer isso, ela inadvertidamente passou dados para hackers. É alarmante ver que algumas empresas nem se preocupam em introduzir as medidas de segurança mais simples. Em outro cliente, uma empresa de TI, os ladrões simplesmente caminharam até uma porta insegura e reuniram informações com uma unidade flash USB - “é o truque mais barato. Isso nunca deveria acontecer".

 

Em última análise, ambos os incidentes não tiveram consequências graves, porque o advogado pôde demonstrar que os funcionários não agiram intencionalmente. Mas Schließ avisa: “As autoridades governamentais estão agora analisando de perto para determinar se os regulamentos de privacidade estão sendo observados”. Seu escritório de advocacia frequentemente lida com casos em que (ex) funcionários insatisfeitos querem prejudicar seu empregador roubando informações. Nesses casos, o alvo do ataque deve provar que já tomou as medidas técnicas adequadas para reduzir o risco.

Cursos regulares de treinamento sobre segurança cibernética são muito importantes.

Liderança: a Charter of Trust

Para evitar que tais problemas surjam em primeiro lugar, Markus Schließ insta as empresas a fornecerem aos seus funcionários um código de conduta e a realizarem cursos de formação regulares. Essa abordagem também é recomendada pela Charter of Trust Initiative que a Siemens lançou em 2018 com a IBM, Airbus, TÜV Süd, Allianz e outras empresas e parceiros de pesquisa. Os membros se unem em várias forças-tarefa para estudar aspectos individuais do problema. Uma dessas forças-tarefa está explorando tipos de treinamento e educação que evitam que os funcionários se tornem presas fáceis para os cibercriminosos. As regras são bem conhecidas, mas de alguma forma se perdem na agitação da vida cotidiana dos negócios: não abra anexos enviados de contas de e-mail desconhecidas, use senhas seguras e fique alerta quando indivíduos desconhecidos aparecerem no escritório.

É por isso que os cursos de treinamento regulares são tão importantes. A Siemens é um modelo exemplar nesse sentido. Anos atrás, ela introduziu um curso de treinamento pela web que deve ser realizado uma vez por ano por todos os funcionários que trabalham em PCs. O curso não apenas explora questões clássicas de segurança cibernética - como os perigos de e-mails de phishing e hotspots Wi-Fi públicos - mas também aborda novos assuntos como roubo de informações em redes sociais e requisitos para produtos e serviços seguros da Siemens ou de seus parceiros e fornecedores. Há também um currículo de treinamento dedicado que permite aos funcionários mergulhar mais fundo no tópico da segurança cibernética - seja ela a segurança cibernética de TI “clássica” ou a segurança cibernética em ambientes de desenvolvimento de produtos e fábricas.

 

No entanto, as pessoas cometem erros. Portanto, a Siemens também protege sua infraestrutura de TI usando coisas como proteção contra phishing para e-mails e filtros de sites. E recomenda seus parceiros a fazerem o mesmo.

Treinamento de sucesso

Markus Schließ também notou que as pequenas e médias empresas estão cada vez mais tratando da questão da segurança cibernética. O advogado oferece cursos de capacitação sobre o tema e a demanda por esses cursos é crescente. O feedback que ele recebe de seus clientes demonstra que os cursos estão valendo a pena: “Eles têm significativamente menos incidentes de segurança depois”. 

Clique aqui se quiser saber mais sobre os riscos cibernéticos que as pequenas e médias empresas enfrentam e saber o que você pode fazer para enfrentá-los - inclusive com a ajuda da Siemens.

Nossa série de cinco artigos explica o que as pequenas e médias empresas podem fazer para se proteger contra riscos cibernéticos. Este é o terceiro artigo da série. Você encontrará a primeira e a segunda histórias aqui. A série examina por que empresas menores são afetadas com mais frequência por ataques e qual função os funcionários desempenham. Os artigos também fornecem dicas sobre como as empresas podem se proteger contra ataques a um custo razoável e aproveitar isso como parte de sua estratégia de negócios - por exemplo, com assistência concreta da Siemens. Assim que um novo artigo aparecer, ele será vinculado aqui:

 

Parte 1: espaço para melhorias

Parte 2: Frutas muito baixas

Parte 3: Seres humanos: a fenda na armadura

Bernd Müller

Inscreva-se na Newsletter

Fique sempre atualizado: tudo o que você precisa saber sobre eletrificação, automação e digitalização.