Embora pareça um enredo de filme de espionagem, a recente revelação de uma conversa entre altos integrantes da Luftwaffe - a força aérea alemã, durante uma reunião no Webex, causou um escândalo na Alemanha. A discussão sobre procedimentos de segurança utilizados em simples encontros via teleconferência veio à tona após espiões russos gravarem e divulgarem publicamente o áudio.
De acordo com o Ministro da Defesa da Alemanha, Boris Pistorius, o incidente foi atribuído a um simples erro humano, descartando a ideia de uma violação estrutural da segurança dos dados. Essa declaração levanta questões sobre a eficácia das medidas de segurança respeitando diretrizes mais técnicas, porém negligenciando a conscientização dos funcionários em relação às melhores práticas de segurança cibernética.
Falta de consciência, sobra de vulnerabilidade
A escolha do Webex para uma reunião tão sensível demonstra uma falta de conhecimento sobre os riscos de segurança associados a plataformas de teleconferência e a forma como atores maliciosos atuam. A plataforma em questão é similar a outras como Zoom, Microsoft Teams e Google Meet, que em sua essência permite a realização de compartilhamento de tela, chamadas de vídeo/voz com participações via ligação telefônica ou link de acesso.
A possibilidade de um espião simplesmente ligar para o número da conferência e participar da conversa sem ser detectado revela a vulnerabilidade das práticas de comunicação da organização, e a ausência de um senso de alerta e vigilância dos demais participantes. Para complicar ainda mais, um desses espiões simplesmente se conectou à conversa através de uma linha telefônica desprotegida de um hotel em Singapura. E ninguém notou.
Esse cenário ilustra como a escolha descuidada de ferramentas de comunicação pode gerar vulnerabilidades significativas, destacando também a falta de proatividade dos participantes em relação à segurança digital e credenciais seguras. É altamente provável que o vazamento da conversa tenha sido resultado da aplicação de engenharia social, levando os participantes a tomar ações inseguras. Isso ressalta a importância da conscientização e do treinamento contínuo em segurança da informação para colaboradores em geral e executivos de alto escalão (C-levels).
Um alerta para todos: Não é sobre tecnologia, é sobre pessoas.
O caso da Luftwaffe destaca a urgência de aprimorar a conscientização sobre segurança da informação em todos os níveis da organização. Isso inclui todas as áreas e suas subdivisões. Esta realidade torna crucial o investimento na camada do fator humano para implementar efetivamente medidas de proteção que garantam a segurança de dados, e a confiabilidade das suas operações, independentemente do setor de atuação.
Em 2024, a importância do gerenciamento do risco humano (human risk management) continua inabalável. Segundo o relatório Cost of a Data Breach Report da IBM :
51% das organizações planejam aumentar os investimentos em segurança por conta de uma violação que sofreram, incluindo planejamento e teste de resposta a incidentes (RI), treinamento de funcionários e ferramentas de detecção e resposta a ameaças.
Diante de ameaças cibernéticas em constante evolução, como phishing, ransomware e engenharia social, é crucial que todos os colaboradores recebam treinamentos periódicos em segurança da informação para fortalecer a proteção da sua empresa.
Nesse sentido, a Eskive se destaca como uma solução 100% brasileira, que não sobrecarrega sua equipe, oferece jornadas educacionais automatizadas, simulações de ataque atualizadas e ainda facilita a defesa de investimentos perante a alta diretoria com relatórios executivos e boletins de performance das áreas e seus departamentos.
Investir em programas de treinamento contínuo em conscientização de segurança, com foco em engenharia social e outros vetores de ataque, é crucial para mitigar erros humanos e proteger os ativos mais valiosos da sua empresa e do seu negócio.
Converse conosco e entenda como podemos fazer parte da sua estratégia de cibersegurança!
