Muito antes do primeiro tiro ser deparado na invasão da Ucrânia pela Rússia, uma outra guerra mais silenciosa, mas não menos danosa já havia começado, através dos meios digitais, seja pela desinformação que busca confundir e dividir a opinião pública ou pela invasão de hackers russos aos dados das empresas da ucrânia.
Nas guerras modernas, ataques de computador precedem bombardeios e o ciberespaço é um campo de batalha completo. O conflito atual na Ucrânia é mais um exemplo e está mostrando que a Rússia recorreu à guerra cibernética e ao uso de desinformação para tentar desestabilizar o governo ucraniano.
A Rússia é acusada de ter usado, nos últimos anos, vários meios que minaram a segurança e a estabilidade da Ucrânia. E não são meios militares, mas ataques cibernéticos destinados a desativar infraestruturas críticas para o país, além de ondas de informações contra a posição ucraniana no conflito. Apagões como os de 2015 e 2016, o primeiro ataque cibernético em uma rede elétrica; os ataques cibernéticos de 2017, que resultaram em perdas de US$ 10 bilhões em todo o mundo; e os mais recentes ataques cibernéticos maciços em rádios públicas e entidades-chave na Ucrânia, como as Forças Armadas, o Ministério da Defesa, Oschadbank, o banco de poupança ucraniano; O Privatbank, o maior banco privado do país; e mais de 70 sites do governo são o rosto de uma estratégia de negação de serviço (DDOS), destruição de dados e espionagem.
Cópias falsas de domínios do governo ou sites de “campanhas em apoio à Ucrânia” tão próximas quanto um clique para instalar automaticamente malware, roubo de identidade, comunicações através de e-mails não oficiais e SMS buscando roubar informações e outras falhas nos protocolos de rede são a origem de alguns dos ataques mencionados. Também as ações de engenharia social mais comuns para gerar instabilidade nas organizações.
E aqui, no meio de uma guerra digital, onde os ataques acima mencionados podem facilmente escalar, sair do controle e pegar organizações estrangeiras de surpresa, observamos certos paralelos na operação da máquina russa de guerra cibernética e a dos hackers que atacam empresas brasileiras, pois a exploração do fator humano como porta de entrada e elo mais fraco na cadeia de cibersegurança. Para eles, a maneira mais fácil de engajar uma organização sempre foi abrir as portas para eles de dentro. Mesmo para alguém executar diretamente suas ações. A evolução tecnológica possibilitou alcançar todos os cidadãos com uma ofensiva de informações, de um trabalhador a qualquer gestor. Durante o ano de 2020, 85% das lacunas tecnológicas envolveram o fator humano.
O fator humano é a parte mais importante de um sistema de defesa digital, especificamente na segurança dos sistemas de informação que suportam as infraestruturas e serviços de qualquer empresa. Mas, em paralelo, esse fator é o elo mais fraco de qualquer estrutura defensiva e o único meio que pode quebrar qualquer estratégia de segurança, introduzindo uma variável imprevisível que não pode ser controlada por meios técnicos.
Aqui no Brasil ou na Ucrânia, o roubo de dados e informações confidenciais é a ordem do dia. E não apenas ataques cibernéticos específicos, mas também roubos sofridos ao longo do tempo, que podem ser executados por meses em empresas de primeira classe e acessar informações confidenciais deles. Qualquer profissional pode se tornar um vetor de ataque de muitas maneiras. As tendências atuais indicam que funcionários descuidados, desinformados ou mal treinados são mais propensos a cometer erros, e ameaças como phishing e engenharia social colocam as empresas em risco por funcionários que não sabem a diferença entre atividade legítima e maliciosa.
Empresas, como os governos, correm o mesmo risco de ameaças de dentro. Agir agora para evitar ameaças relacionadas aos funcionários nunca foi tão importante. O fator humano é o elemento-chave por trás da cadeia de garantias de segurança e, ao mesmo tempo, do ativo a ser protegido.
Às vezes, os funcionários podem levar os requisitos de segurança cibernética de ânimo leve e, como observamos, isso leva a consequências dramáticas para as organizações onde trabalham com clientes e dados extremamente sensíveis e ativos estratégicos. É necessário questionar e contrastar o que vemos e lemos. Com isso fica claro, aqui ou na Ucrânia, os humanos e suas fragilidades operacionais são quase sempre a melhor porta de entrada, quando o propósito é quebrar a segurança.
Além de ter medidas básicas de cibersegurança (monitoramento, plano de ação, etc.), ter ferramentas para a tomada de decisões de forma ágil, dinâmica e seletiva, alocando recursos para auditar os sistemas e descobrindo onde possíveis ataques podem entrar antes que outros o descubram. Medidas de segurança centradas nos funcionários, como engajamento e treinamento de funcionários, também são urgentes para proteger contra futuras ameaças cibernéticas.
A definição e guarda de senhas é sempre uma ótima porta de entrada, sem dúvida, uma das práticas mais arraigadas na cibersegurança corporativa, as senhas são como escovas de dentes, e você tem que mudá-las de vez em quando. Na prática, e até hoje, isso não é nada mais do que um mito. A realidade é que praticamente qualquer senha que um funcionário escolher que eles razoavelmente pretendem lembrar de cor será uma senha ruim.
Os gerenciadores de senhas estão com problemas? Os bons, não. O mito de que os gerenciadores de senhas podem, por sua vez, estar sujeitos a uma violação de segurança é apenas isso, um mito: nos casos em que houve invasões, os criminosos acabaram levando apenas uma lista de senhas criptografadas, com um valor nulo.
Na realidade, em vez de colocar o peso da segurança no funcionário e tentar aprender diferentes senhas de vez em quando (ou que, dada a impossibilidade dela, acaba apontando-as em um post-it e colocando-as na tela), devemos fazer com que a responsabilidade caia sobre o departamento de TI, que é aquele que deve fornecer ferramentas como gerenciadores de senhas, treinar funcionários em seu uso, treiná-los no uso do fator duplo e notificá-los quando uma senha pode ter sido comprometida em um despejo de dados. Criar uma cultura de segurança na empresa não tem nada a ver com pedir aos nossos funcionários de vez em quando para mudar sua senha, e de fato, as empresas que ainda fazem isso, é precisamente porque não têm uma boa cultura de segurança.
Quando percebemos que muitas das práticas que empregamos na cibersegurança corporativa são na verdade uma relíquia do passado sem qualquer significado hoje, certamente teremos 4 de longo caminho.
Por isso, na medida que a guerra na Ucrânia progride, a obsessão da Rússia e de seu presidente com a desinformação torna-se mais evidente, e a importância que ela atribui ao controle da narrativa, afinal a desinformação ajuda na quebra de segurança de um país..
Internamente, a obsessão de Putin é apresentar a invasão da Ucrânia como algo completamente lógico, como uma espécie de “cruzada de libertação” de um país supostamente dominado por um governo maligno, que persegue tudo pró soviético, que massacra cidadãos de língua russa em certos territórios, e que quer desestabilizar o panorama de sua segurança ao se juntar à OTAN.
Essa narrativa interna é baseada em uma censura na mídia russa, que não pode mencionar palavras como “ou invasão”. A obsessão de Putin pelo controle da mídia interna, incluindo as mídias sociais, vem de longe: estamos falando do presidente que conseguiu colocar sob seu controle direto VK, a rede social mais popular naquele país.
Porém, ainda que a popularidade do VK na Rússia seja muito importante, os cidadãos russos também têm acesso a redes como Facebook ou Twitter, e isso representa uma ameaça a esse controle da narrativa, e, portanto, seu acesso está rapidamente sendo restringido, pelo Serviço Federal para supervisão de Telecomunicações, Tecnologias da Informação e Mídia, Roskomnadzor.
A desculpa para essa restrição é clara: a decisão do Facebook ou do YouTube de eliminar ou desmonetizar, por sua vez, a extensa rede de canais criada pela Rússia para tentar controlar também a narrativa no exterior, uma enorme rede de desinformação que inclui não apenas mídia como RT ou Sputnik, mas também um grande número de contas falsas de supostos cidadãos que reexamem informações pró-russas.
É bom destacarmos que ações contra essa rede de desinformação pela Comissão Europeia, embora com um quadro jurídico complexo em muitos países, são um cenário muito temido por um governante que não só vem fortalecendo esses canais há anos, mas também considera a desinformação como uma estratégia perfeitamente válida para interferir na dinâmica interno de outros países.
Além disso, o Facebook e o YouTube também tomaram medidas para bloquear canais de informação focados na desinformação na Ucrânia, o que levou Moscou, preocupada com a possível perda de influência informacional em um país com um número significativo de cidadãos pró-russos, a exigir que o YouTube restaure o acesso a esses canais. Enquanto isso, a Rússia transfere uma parte de sua estratégia de desinformação e propaganda para o TikTok, uma rede chinesa com um componente visual importante muito útil para campanhas e da qual, dada a posição majoritária pró-russa, pró-guerra e pró-Putin do gigante asiático, nenhuma ação corretiva é esperada.
Enquanto isso, o segundo componente da desinformação também está em andamento: interrupções no acesso a serviços básicos na Ucrânia vêm ocorrendo há algum tempo, e o próprio governo ucraniano lançou um exército de cibers voluntários que tem acompanhado o que se publica em organização como a Anonymous,. Uma iniciativa de guerra cibernética, a organização de um “exército” que pode ser acompanhado por qualquer voluntário com conhecimento adequado, que pode possivelmente ser a primeira iniciativa desse tipo, e precisamente contra o país que tem usado sistematicamente essas técnicas.
São novos instrumentos de dominação, um lugar terrível onde boas invenções são criadas para captura de mais dados e dados.