A desinformação cria ameaças internas é preciso estar atento

Funcionários que acreditam em desinformação são mais suscetíveis a campanhas de engenharia social e phishing, e os invasores sabem disso.

Por Christopher Burgess

À medida que entramos no quarto trimestre de 2021, a ideia de desinformação como ameaça cibernética provavelmente não se assumiu na vanguarda das preocupações de muitos CISO. De facto, um diagrama de Venn não mostraria nenhuma sobreposição de “desinformação” com as palavras “CISO” ou “ameaça cibernética”, especialmente nos Estados Unidos. No entanto, há aqui uma sobreposição significativa, e os CISO serão bem servidos para se manterem à frente da curva.

Poucas empresas identificaram a desinformação como uma ameaça. Gavin Reid, CSO da Recorded Future, empresa americana de cibersegurança, observa como alguns CEO ativistas estão a tomar medidas para abordar a politização da desinformação, à medida que as empresas procuram terceiros para entender melhor como conter a chegada de desinformação apontada à sua entidade ou influenciar as ações dos colaboradores.

O desafio do CISO é a desinformação

Esta perspetiva é partilhada por Armaan Mahbod, diretamente das Ameaças Internas, Segurança e Inteligência Empresarial da DTEX Systems. “A partilha de desinformação/desinformação acontece a toda a hora, há ou não intenções e resultados positivos ou negativos por detrás do ato”, diz. “É um desafio para executivos e organizações refutarem a informação porque muitas vezes não têm visibilidade para o que pode ser partilhado, por isso não sabem que há necessidade de uma resposta.”

“Além da falta de visibilidade, muitos dirigentes organizacionais estão a ter dificuldades em responder a questões básicas sobre o seu negócio e o seu pessoal como está, incluindo: Quem são os meus funcionários e onde estão? Como é que o meu negócio funciona? Quão ativos são as empresas (isto é, regionalmente, departamental, etc.)? Além dos milhares de outras questões mais detalhadas e granulares que envolvem empresas que operam na postura global de cibersegurança de uma organização”, continua Mahbod.

Adam Flatley, Diretor de Inteligência de Ameaças da Redacted, vê o desafio do CISO envolto em como campanhas de desinformação fora das organizações “levam as suas vítimas a acreditar em certas narrativas falsas, criam barreiras entre elas e aqueles que fornecem informações factuais contrárias, e deixam-nas viciadas em informações que alimentam o seu enviesamento de confirmação”.

Flatley diz que “o próximo nível de perigo para um CISO é quando este vício de confirmação de informação realmente afunda as suas garras nas vítimas (funcionários). Isto torna-os mais propensos a clicar em e-mails de phishing, links de mensagens de texto, e outros tipos de iscos feito à medida para o tema que querem, o que pode levar a roubo credencial ou exploração direta.

Desinformação alimenta oportunidades de engenharia social

Depois, há a área da engenharia social para a qual o trabalhador deve estar preparado para se desviar e para o qual o CISO deve estar preparado. Os atores maliciosos estão a observar as tempestades de desinformação, sejam eles sobre temas globais ou tópicos exclusivos de uma determinada entidade, e estes malfeitores então “constroem pessoas para fomentar relações online com as suas vítimas. Alimentam-lhes informações que não só as manipulam, como também criam confiança, o que os leva a visitar naturalmente websites que lhes são enviados pelos seus “verdadeiros amigos crentes”. Isto estabelece uma camaradagem que tornaria as vítimas mais propensos a abrir os ficheiros que lhes são enviados, que podem conter malware”, avisa Flatley. “Na verdade, mesmo antes de as vítimas darem o passo para se tornarem uma ameaça interna consciente, podem ser usadas para comprometer a rede de uma forma totalmente inconsciente, o que é muito mais fácil para o ator ameaça do que recrutar verdadeiramente um estagiário malicioso.”

Esta observação é também partilhada por Elsine Van Os, fundadora e CEO da Signpost Six, que nota que a afinidade por uma narrativa confirmativa tornará os colaboradores vulneráveis a “clicar em e-mails de interesse para eles e, assim, inadvertidamente, abrir a porta a malware na sua organização”.

Mudar como portal para a desinformação localizada

A mudança é outra área de preocupação em que as mensagens internas podem e normalmente vão para o lado, com rumores a voar através de uma organização como um relâmpago. Van Os comentou como “com a mudança (e algumas organizações passam por mudanças contínuas), muitas vezes vemos comunicações inadequadas, informações incompletas, imprecisas ou inoportunas, e depois mal-entendidos”.

Van Os afirma que os CISO são desafiados a gerir o risco interno quando a gestão, por qualquer razão, tem uma força de trabalho que enfrenta “expectativas insatisfeitas são um fator chave de stress/risco no caminho crítico para o risco interno e isso é especialmente o caso durante as reorganizações. É muito difícil para uma organização lidar com este problema porque às vezes simplesmente não há resultados satisfatórios para os colaboradores, por isso terá de gerir o risco no back-end.”

Observando que a Forrester está a prever um crescimento dos desafios internos da gestão de riscos para 2021, Van Os acredita que os CISO “precisam de se unir com os RH, especialmente porque estamos a assistir a esta grande renúncia. Muitas pessoas estão de saída, e a grande maioria levam dados sensíveis com elas.”

Quando a desinformação é encontrada

Ao encontrar o dilema das informações falsas que perpassam a entidade, “é fundamental que executivos e empresas tenham uma compreensão clara de como operam, para que possam não só compreender o comportamento da sua própria empresa, mas também comunicar com confiança com os seus colaboradores e com os seus investidores/conselhos que tenham dados para apoiar as suas declarações”. Mahbod, afirma que, “Isto requer dados de alta fidelidade disponíveis para apoiar comentários com informação empírica que responda a perguntas, que sejam articuladas ou presumidas.”

Autores

Artigos relacionados

O seu comentário...

*

Top