“Muitas vezes, não é sobre ‘hackear’ o sistema; é sobre ‘hackear’ o cérebro” das pessoas

Vamos ser honestos: por esta altura, já todos estão fartos de ouvir que ‘as pessoas são o elo mais fraco de uma organização’. A expressão não é exatamente mentira, mas é preciso dar conhecimento aos colaboradores para que estes saibam os riscos a que estão expostos ao navegar no ciberespaço.

As formações são um ponto de partida para partilhar o conhecimento necessário, mas nem sempre são a forma mais eficaz. Como tal, a questão que se coloca é como melhorar as formações para que os colaboradores tenham o conhecimento necessário para estarem tão seguros quanto possível.

A resposta pode passar pelas ciências comportamentais e é essa a abordagem da SoSafe, uma start-up alemã que esteve presente na edição de 2022 da Web Summit através do seu CEO Niklas Hellemann.

A psicologia na defesa da organização

Atualmente, a SoSafe tem dois milhões de end users e mais de 2.500 empresas a utilizar a sua plataforma. Estas empresas fazem parte de uma variedade de verticais e a abordagem da SoSafe é enviar pequenas aprendizagens gamificadas, assim como levar a cabo simulações de ataque e fornecer uma infraestrutura de reporte simplificada para tornar as pessoas numa linha de defesa dentro da organização. Sem especificar o número ou o nome, Niklas Hellemann afirma que já têm clientes em Portugal.

Hellemann relembra que existem dois lados na cibersegurança: o que ataca e o que defende. “Como bem sabemos, os atacantes utilizam há muitos anos – mesmo há 20 ou 30 anos – a psicologia para manipular as pessoas e para algo que costumo dizer que é como ‘hackear’ o cérebro”, afirma o CEO da SoSafe, psicólogo de formação.

“Muitas vezes não é sobre ‘hackear’ o sistema; é ‘hackear’ o cérebro” dos visados e foi com essa ideia que nasceu a SoSafe. “Percebemos que há muitas coisas que podemos tirar das ciências comportamentais e da psicologia que estão disponíveis há muitos anos e que já conhecemos para verdadeiramente ajudar as pessoas de forma positiva para desenvolver as suas competências de defesa”, explica Hellemann.

O CEO refere que, há dez anos, o que se fazia era pouco mais do que “aqui está a política, lê, assina” e pouco mais se fazia em termos de awareness de cibersegurança; “aparentemente, isso não ajuda as pessoas a mudar o seu comportamento”.

“Há um fator constante [nas organizações] que são as pessoas. ‘Hackear’ o cérebro das pessoas é muito parecido porque agimos de forma muito semelhante”

Para mudar esta realidade, é preciso perceber a forma como as pessoas gostam de aprender. “É preciso compreender que poucos colaboradores chegam a uma segunda-feira de manhã e dizem que vão ler a política de segurança ou ler o memorando que chega do CISO, mesmo que sejam afetados pelo problema”, refere Niklas Hellemann.

A abordagem da SoSafe passa por transmitir o conhecimento em pequenos pedaços e de forma mais interativa para que os colaboradores gostem de aprender o que é relevante para si.

O CEO da SoSafe dá como exemplo as simulações de phishing: “faz-se, por exemplo, um teste de phishing uma vez por ano e o colaborador cai. Se cair uma segunda vez, o manager é envolvido, o que implica algum medo. A nossa plataforma fá-lo de forma contínua e adaptativa, fornecendo experiência de conhecimento depois de [o colaborador] cair no ataque de phishing”.

Através da SoSafe, se o colaborador cair no ataque de phishing, é-lhe explicado através desse email o que deve ter em conta no futuro. “Ao aprender dessa forma”, explica Niklas Hellemann, “podemos mostrar os click rates a diminuírem ou as taxas de comunicação de incidentes a subir”.

Nos “tempos antigos”, o KPI do conhecimento em cibersegurança dos colaboradores era uma checkbox de que tinham visto o vídeo ou que tinham lido a política de segurança. Mas, agora, estamos na segunda geração e “estamos focados em estatísticas comportamentais”.

“‘Hack’ the brain”

Niklas Hellemann utiliza a expressão “‘hack’ the brain” para falar do atual panorama de ciberataques. Com os cibergrupos “super profissionalizados” e a “agir como empresas”, o objetivo é serem “eficientes”. “Se olharem para cem empresas que podem atacar, têm vários sistemas e várias infraestruturas. É muito complicado e cada empresa, provavelmente, precisa de uma abordagem de ataque diferente”, refere.

“Mas há um fator constante que são as pessoas. ‘Hackear’ o cérebro das pessoas é muito parecido porque agimos de forma muito semelhante”, explica o CEO. Segundo um relatório da SoSafe, que analisa que táticas psicológicas têm maior sucesso no ataque a uma organização, o medo, a curiosidade e incentivos financeiros são as melhores formas para ter sucesso num ataque de phishing.

“A curiosidade é o mais poderoso driver nas empresas, assim como os incentivos financeiros e o altruísmo, como um pedido de ajuda de um colega que motiva as pessoas a carregar em emails de phishing”, assevera.

Mas cada empresa é única e é necessário encontrar uma estratégia eficiente para cada uma delas. Para Niklas Hellemann, a eficiência é, de facto, um tópico importante e tudo começa internamente com a comunicação.

“É preciso envolver a gestão de topo. Este tópico é muito importante porque aumentar o awareness ou o sentimento de urgência é também muito importante. Mas também – e não digo isto por ser um vendor – é preciso depender de um vendor com uma plataforma de awareness de segurança porque é muito mais eficiente correr um programa de awareness baseado nas melhores práticas e de forma automatizada”, conclui Hellemann.