Português, Matemática e outras disciplinas são fundamentais não só para o desenvolvimento profissional, mas para que seja possível se desenvolver em meio à sociedade. Em outras palavras, a educação básica é o primeiro alicerce para a evolução de qualquer pessoa. Pois bem, falando tudo isso, fica a pergunta: por que não pensar em cibersegurança como um conhecimento fundamental?
Esse questionamento tem como base o fato de que as pessoas estão cada vez mais conectadas digitalmente. Aliás, vale dizer que até mesmo pessoas não alfabetizadas (sejam elas crianças ou adultos) têm amplo acesso à Tecnologia nos dias de hoje. Ao mesmo tempo, não é novidade que os ataques cibernéticos, incluindo aqueles que envolvem roubos de dados, estão cada vez mais frequentes, ainda mais depois da pandemia da Covid-19.
Desses ataques, uma boa parte vem da técnica conhecida como Engenharia Social, baseada na psicologia, cujo foco está nas vulnerabilidades humanas. Em entrevista para o podcast The Walking Tech, o especialista em segurança e National Security Officer da Microsoft, Marcello Zillo, contou que o phishing (clássico ataque nos casos de engenharia social) ainda é o que mais faz vítimas na internet.
Então, é preciso voltar ao questionamento feito no começo desse texto: Será que não é hora de considerar a cibersegurança como um conhecimento fundamental?
E para reforçar a urgência da necessidade de educar as pessoas sobre os ataques cibernéticos, vale a pena analisar alguns números relacionados aos crimes de engenharia social.
Segundo a Eset, desenvolvedora de soluções de cibersegurança, houve aumento de pouco mais de 200% em 2020, comparado com o ano anterior. Ainda de acordo com esse estudo, o Brasil foi o segundo país da América Latina com maior incidência desse tipo de ataque, com 18% do total na região.
Já outro relatório, lançado esse ano pela Verizon em parceria com a Apura Cyber Intelligence, concluiu que 40% dos casos de violações de dados envolvem alguma etapa baseada na engenharia social. Ainda segundo esse mesmo estudo, a transição de empresas para o sistema de home office impactou diretamente na segurança. Algumas delas não treinaram seus funcionários em relação às vulnerabilidades de redes de internet domésticas. Com isso, houve um aumento de 10% nos casos de phishing em 2020.
Esses dados confirmam a tese de que, no campo da segurança cibernética, o elo mais vulnerável é encontrado no ser humano. Então, o que pode ser feito para mudar esse panorama? A resposta para esta pergunta pode ser encontrada em três ações:
1. Educar as crianças e jovens na escola
Em relação aos mais novos, é importante que eles reflitam sobre os perigos da Internet. Vale dizer que cada vez mais o uso de dispositivos conectados à rede é uma realidade para crianças e adolescentes. Segundo a pesquisa TIC Kids Online Brasil 2019, 89% das pessoas de 9 a 17 anos são usuários de Internet.
Portanto, é crucial que desde cedo elas já conheçam os perigos que rondam esse acesso. Crianças e adolescentes, além de serem vítimas mais prováveis de um ataque de phishing, por exemplo, podem correr riscos ainda maiores, sendo alvos de fraudes online, cyberbullying e pornografia infantil.
Ainda que essa seja uma ação necessária, quase nenhum país de fato possui alguma política pública que seja orientada para a educação em cibersegurança. Porém, estudos nesse sentido, que verificam quais os potenciais benefícios dessa formação básica em segurança cibernética, já estão sendo desenvolvidos.
Um deles é a resenha acadêmica intitulada “The Importance of Cybersecurity Education in School”, de autoria de quatro estudantes de uma universidade da Malásia: Nurul Rahman, Nurul Zizi, Izzah Sairi e Fariza Khalid. Nessa pesquisa, foi levantado que as empresas não estão dispostas a investir tempo ou dinheiro em seminários e programas sobre segurança cibernética. Consequentemente, seria fundamental as escolas se tornarem centro de conhecimento, discutindo questões sobre a cibersegurança.
Para isso, segundo o estudo, as escolas que recebem verbas do governo poderiam cobrir possíveis despesas de organização de eventos sobre o assunto para a comunidade. Assim, seria possível mudar a mentalidade das pessoas, inclusive de crianças e adolescentes.
A abordagem da resenha acadêmica deixa claro que uma pessoa que não tem consciência da segurança cibernética geralmente não sabe ao certo o que isso significa.
É claro que, olhando para o Brasil, esse é um quadro quase utópico, devido aos diversos problemas que temos na educação básica atualmente. Porém, não se pode deixar de cobrar mais engajamento das autoridades, uma vez que ataques cibernéticos afetam a todos.
Por outro lado, algumas iniciativas já estão em processo de ideação; a exemplo do PMG Kids, em desenvolvimento pela PMG Academy, e que está na etapa de protótipo, verificando investimentos e projetando o que é necessário para que o programa, que visa ensinar segurança cibernética para crianças e pré-adolescentes, seja de fato implementado.
No exterior, o cenário é mais positivo. Um dos programas mais relevantes nesse sentido é o Cyber A.C.E.S. – Activites in Cybersecurity Education for Students, criado pela Palo Alto Networks, empresa de inovação dos Estados Unidos. A organização criou um conteúdo de aprendizado interativo para crianças de 5 a 15 anos, fornecendo os conceitos básicos de segurança cibernética para que se crie uma “consciência digital”.
É crucial que essa orientação venha desde muito cedo. Se ainda não há nenhuma política pública nesse aspecto, os profissionais de tecnologia devem fazer o que é possível para educar quem está próximo. Educar os filhos, por exemplo, dizendo o que é e o que não é perigoso acessar na web.
2. Promover conscientização para todo o público – e não apenas para quem trabalha com Tecnologia
Se existe algo que é possível cravar sobre esse assunto, é que a segurança cibernética há muito tempo deixou de ser um problema exclusivo e de responsabilidade dos departamentos de TI. Olhando para uma grande organização, por exemplo, todos precisam ver com bons olhos os cuidados em relação aos riscos e ataques cibernéticos. Daí a importância, também, de existir políticas de segurança fortalecidas.
Porém, essa segunda ação tem mais a ver com maneiras de conscientizar todo o público em relação aos perigos da segurança cibernética. Por exemplo, é importante que cada vez mais haja cursos ou eventos que sejam direcionados para todas as pessoas. Claro, isso não significa que é preciso ensinar como criptografar uma mensagem ou qualquer outro conceito mais técnico; porém, é preciso pensar na oportunidade como um evento aberto ao público abordando os principais tipos de vulnerabilidades cibernéticas.
Qualquer pessoa que utiliza a Internet pode compreender o que é um vírus, spam, phishing ou malware. O mais importante é que essas iniciativas sejam levadas adiante, fazendo com que um usuário entenda como se defender dessas ameaças. O curso promovido recentemente pela PMG Academy, intitulado Jornada Segurança Cibernética, ofereceu essa abordagem – apesar de também ter tido como objetivo transmitir os principais conceitos para uma certificação na área. De qualquer forma, os educadores de Tecnologia precisam pensar mais nesse tipo de envolvimento.
3. As empresas precisam investir mais em segurança cibernética para educar os funcionários
Por fim, outra ação que se torna obrigatória nesse contexto é um engajamento maior das empresas, treinando funcionários e os conscientizando sobre o que é um ataque cibernético, engenharia social, etc.
Por mais que essa pareça uma ação óbvia e que já esteja em andamento nas organizações, o que ocorre é justamente o contrário: as empresas não investem em segurança cibernética, o que consequentemente reflete nessa falta de preparo dos funcionários.
Na entrevista de Marcello Zillo ao The Walking Tech, ele cita um dado alarmante: segundo uma pesquisa feita pela Microsoft no ano passado, 49% das organizações responderam que investem apenas de 0% a 5% em segurança. E Zillo complementou com outra informação bombástica: somente 7% das empresas investem 15% ou mais – geralmente empresas mais reguladas e que tratam esse tema de forma mais madura, como instituições financeiras.
Assim, é possível entender que o assunto segurança cibernética ainda é algo imaturo nas organizações, refletindo a falta de informação e educação dos funcionários nesse sentido. Enquanto as empresas não olharem com carinho para essa questão, a desinformação vai prevalecer.
Existem cursos que visam esse “aconselhamento” para empresas. O Cybersecurity for Everyone, promovido pela Universidade de Maryland, expõe como as organizações devem abordar a segurança cibernética para pessoas não técnicas.
Enfim, não custa repetir: a segurança cibernética é uma responsabilidade de todos!
A saída é a educação
A saída para o problema atual da cibersegurança, além das devidas contramedidas, é uma só: educação. E, acima de tudo, essa educação precisa ter apoio no âmbito público e privado.
As iniciativas utilizadas como exemplo neste texto não apenas provam que é possível criar mais formas de educar as pessoas, como também comprovam que essa necessidade é urgente. Os usuários são parte importante da segurança cibernética, e eles precisam estar preparados
Muito mais do que concluir que as pessoas são o elo mais vulnerável na segurança cibernética, é preciso tomar atitudes para que isso mude. E essas atitudes remetem a guiar as pessoas em busca de mais preparo contra esses ataques, que só tendem a continuar.
Este artigo foi produzido por Adriano Martins Antonio, CEO da PMG Academy e Host no The Walking Tech.
Adriano Martins Antonio
