Confiança e resiliência — a nova linha de frente da cibersegurança

RAGHU

Os cibercriminosos prosperam com base na confiança. Sejam deepfakes enganando executivos, engenharia social enganando funcionários ou negociações de ransomware explorando o medo. No entanto, mesmo que as organizações invistam em segurança, as violações são inevitáveis. A verdadeira questão é: você pode se recuperar? A verdadeira resiliência à segurança cibernética não se trata apenas de prevenir ataques... trata-se de garantir que as organizações possam resistir e se recuperar deles.

[Abertura a frio]

(SFX: som de um boletim de notícias urgentes, digitação em um teclado, uma ligação telefônica tensa tocando fracamente em segundo plano.)

RAGHU

Imagine o seguinte: você é o CFO de uma empresa global. Você recebe uma ligação do seu CEO — sua voz, sua urgência, inconfundível. Há uma transferência bancária urgente que precisa ser feita. É rotina, certo? Exceto que... seu CEO nunca fez essa ligação. Era um deepfake. Uma voz perfeitamente replicada, projetada para explorar a confiança e, desse jeito, milhões desaparecem.

(SFX: Clique em. Silêncio. Uma batida lenta desaparece.)

RAGHU

Este é o novo campo de batalha cibernético. A confiança alimenta nossos negócios, nossos relacionamentos, nosso mundo digital, mas também é nossa maior vulnerabilidade. E quando essa confiança é explorada, a resiliência é a única coisa entre a sobrevivência e a catástrofe.

Bem-vindo à temporada 3 de O segmento: um podcast de liderança Zero Trust. Sou seu anfitrião, Raghu Nandakumara. Nesta temporada, estamos explorando a interseção entre confiança, resiliência e comportamento humano — como os cibercriminosos transformam a confiança em uma arma, por que a resiliência é mais do que apenas prevenção e por que a psicologia humana continua sendo o elemento mais explorado na segurança cibernética.

(SFX: Mudança de tom, otimista, mas séria.)

[Segmento 1: A exploração da confiança]

(SFX: uma leve distorção de áudio, seguida por uma voz confiante.)

RAGHU

O cibercrime nem sempre envolve hackers sofisticados — geralmente, trata-se de manipulação. E isso começa com a exploração da confiança.

Brett Johnson

“Não importa qual seja a verdade. Importa do que eu posso te convencer. E vemos isso agora mais do que nunca.”

RAGHU

Essa afirmação ali é a base do crime cibernético atual. E ninguém entende isso melhor do que Brett Johnson. Outrora um famoso cibercriminoso e o mentor por trás do ShadowCrew, Brett ajudou a moldar o cibercrime moderno. Hoje, ele trabalha para impedir os mesmos esquemas que ele já orquestrou.

(SFX: Desvanecimento lento — entrada de uma conversa gravada.)

Brett Johnson

“Se você pensar em um ataque on-line, existem apenas três motivações para isso acontecer. É status, dinheiro ou ideologia. Status — Estou tentando impressionar meus colegas criminosos. Dinheiro — Estou tentando ganhar dinheiro. Ou você me irritou e eu estou tentando te pegar.”

RAGHU

Não se trata apenas de roubar dinheiro. Desinformação, deepfakes, guerra cibernética — em sua essência, todos eles exploram uma coisa: confiança.

(SFX: digitação no teclado, som de notificação distante.)

RAGHU

E esse é o truque, não é? Os cibercriminosos não precisam invadir os sistemas de segurança quando podem simplesmente convencer as pessoas a deixá-los entrar. A tecnologia faz parte da equação, mas a verdadeira fraqueza é o comportamento humano.

O Dr. Erik Huffman é um ciberpsicólogo que estuda como o comportamento humano influencia a cibersegurança. Sua pesquisa se concentra em por que as pessoas caem em fraudes, como os atacantes manipulam a confiança e por que as organizações continuam cometendo os mesmos erros de segurança.

Dr. Erik Huffman

“Eu selecionei um grupo de mais de 300 hackers, autoidentificados. 93% deles disseram que começam com humanos antes de começarem com a tecnologia.”

[Segmento 2: Confiança nas organizações]

RAGHU

A confiança não é apenas algo que os atacantes exploram externamente — ela também pode ser extraviada internamente. E quando isso acontece, as organizações se tornam vulneráveis internamente.

A Dra. Kelley Misata passou anos trabalhando com organizações orientadas por missões, ajudando-as a incorporar a segurança em seu próprio DNA. Ela é fundadora e CEO da Sightline Security, uma organização sem fins lucrativos dedicada a ajudar organizações a criar resiliência contra ameaças cibernéticas.

Dra. Kelley Misata

“Uma das coisas mais difíceis em segurança são as pessoas. Então, quando falamos sobre treinamento de conscientização sobre segurança, não estamos falando de treinamento de conscientização sobre os sistemas — estamos falando das pessoas.”

RAGHU

A segurança não se trata apenas de firewalls e detecção de ameaças, mas sim da cultura dentro de uma organização. É sobre como os funcionários entendem e abordam a segurança em suas decisões diárias. Mas construir uma cultura preocupada com a segurança é um desafio, especialmente quando a tecnologia evolui mais rápido do que a conscientização pode acompanhar.

Dra. Kelley Misata

“Estamos nos integrando, interagindo com essa tecnologia todos os dias e ainda mais, certo? Por exemplo, eu me lembro de quando adotamos a tecnologia com tanto abandono sobre como nos mantermos seguros. Meu estado de sonho é que estamos sempre pensando: “Eu deveria estar fazendo isso? Qual é o impacto do meu comportamento? Qual é o meu impacto ao me envolver com um novo software? Qual é o meu impacto na minha organização? '”

RAGHU

E essa é a mudança que as organizações precisam fazer. A segurança não é apenas um problema de TI; é uma mentalidade. Trata-se de incorporar a segurança à forma como trabalhamos, tornando-a parte das decisões diárias, não apenas uma reflexão tardia.

Dra. Kelley Misata

“Acho que tem que ir até o nível cultural... Se sairmos dessa caixa especial de 'Vamos fazer um treinamento' e, em vez disso, fizermos 'Vamos falar sobre como estamos usando esses sistemas e esses dispositivos', começaremos a chegar a algum lugar. É sobre como os funcionários entendem e abordam a segurança em suas decisões diárias.”

[Segmento 3: O cibercrime como um negócio]

(SFX: Um telefonema abafado, uma voz distante falando em um idioma estrangeiro. Clique. Uma voz distorcida exigindo pagamento.)

RAGHU

O cibercrime não é apenas uma série de ataques aleatórios... é uma indústria. Um multibilionário, aliás.

Poucas pessoas entendem melhor a estrutura do cibercrime do que Brian Boetig. Como ex-diretor assistente do FBI, ele passou anos rastreando cibercriminosos nos níveis mais altos.

Brian Boetig

“Existe um modelo de negócios que realmente foi criado a partir do cibercrime. Você tem que perceber que ainda há seres humanos aqui atrás, e eles estão administrando um negócio. Minha primeira missão no FBI foi trabalhar com sequestros por resgate. Você sabia exatamente o que o grupo queria. Eles pediriam 10 milhões, você sabia que poderia se contentar com cinco. O mesmo acontece com o ransomware hoje em dia. Você sabe como eles operarão, o quanto exigirão e se cumprirão. É previsível — porque é um negócio.”

(SFX: digitação no teclado, áudio de uma conversa gravada desaparecendo — um executivo frustrado falando em voz baixa, negociando o pagamento de um ransomware.)

Brian Boetig

“O cibercrime é o melhor negócio para trabalhar em casa. Você pode estar muito, muito longe do seu alvo e ainda ganhar dinheiro todos os dias. E como é mais seguro do que o crime físico, você está vendo grupos que estavam no crime organizado migrando para o crime cibernético. Eles estão ganhando mais dinheiro com menos risco.”

RAGHU
E é isso que torna o crime cibernético tão difícil de impedir — não é um hacker, um crime, um país. É um ecossistema de negócios criminosos, venda e negociação de dados, kits de ransomware e serviços de hacking.

Brett Johnson

“A maioria dos ataques é baseada em dinheiro ou em status. Se estou atacando por dinheiro, estou procurando o acesso mais fácil que me dê o maior retorno sobre meu investimento criminoso. A chave para impedir o crime cibernético não é tentar evitar todos os ataques — é garantir que não valha a pena o tempo do atacante.”

(SFX: Uma voz robótica de um fórum na dark web — “Garantimos sua chave de decodificação em até 24 horas após o pagamento”. Clique.)

RAGHU

E se o cibercrime funciona como um negócio, a questão é: como podemos interrompê-lo?

Brian Boetig

“Você precisa interromper o modelo — tornar os ataques mais caros, acelerar a recuperação e remover o incentivo financeiro.”

[Segmento 4: Repensando a resiliência]

(SFX: um telefone antigo tocando, seguido por um ping de alerta de notícias.)

RAGHU

Se a prevenção por si só não for suficiente, qual é a principal coisa em que as organizações devem se concentrar?

O Dr. Larry Ponemon é um dos especialistas mais respeitados em pesquisa de segurança, privacidade e risco. Como fundador do Instituto Ponemon, ele passou mais de duas décadas rastreando dados de violações, o impacto financeiro dos ataques cibernéticos e a evolução do cenário de segurança.

Dr. Larry Ponemon

“Para cada coisa que conseguimos evitar, potencialmente, cerca de 10 coisas chegaram à rede. E isso é revelador e chocante.”

RAGHU

Então, se os ataques estão ocorrendo constantemente, o verdadeiro desafio não é apenas detê-los, mas garantir que eles não se transformem em crises graves.

Dr. Larry Ponemon

“A prevenção provavelmente é a coisa errada de se pensar porque não é prática. Muitas organizações desistiram da prevenção e analisam coisas como tempo para conter, tempo para restaurar, tempo para fazer as coisas que resolvem o problema.”

RAGHU

E é por isso que a resiliência é a prioridade — porque na cibersegurança, a questão não é E se um ataque acontecerá, mas quando.

Dr. Erik Huffman

“Se você é uma empresa de pequeno a médio porte e um estado-nação quer te conquistar, provavelmente eles vão te pegar. Você pode fazer tudo certo e ainda assim errar.”

RAGHU

O pânico piora as coisas. Atraso na tomada de decisões, funcionários congelados — esses são os momentos que transformam um incidente em um desastre.

(SFX: um alerta de segurança é emitido. Um telefone toca ao fundo.)

RAGHU

É por isso que a resiliência não é construída no momento do ataque — ela é construída antes de acontecer.

[Conclusão]

(SFX: Uma música reflexiva e esperançosa começa a tocar.)

RAGHU

Então, aqui está a conclusão: a confiança é um campo de batalha, mas a resiliência é o escudo. Os cibercriminosos sempre encontrarão novas maneiras de explorar a confiança, mas as organizações que criam resiliência por meio de segmentação, contenção e uma cultura que prioriza a segurança serão as que sobreviverão.

Obrigado por entrar em contato O segmento. Certifique-se de se inscrever para não perder essas entrevistas completas.

(SFX: Outra música desaparece.)

‍