Cibersegurança compreensível... Para quê?

“44% dos executivos espanhóis não prioriza a cibersegurança porque a linguagem utilizada neste setor é confusa“. Este foi o título de uma notícia que a Europa Press publicou no passado dia 30 de maio, baseada no estudo “Separados pela mesma linguagem”, realizado pela empresa de cibersegurança Kaspersky. Pode lê-la aqui. Poderia considerar-se como o enésimo estudo deste tipo, apesar de me chamar a atenção porque destaca um assunto que pode ter efeitos profundos num tema altamente complexo como a cibersegurança. Existe vontade de democratizar este conhecimento? Existe interesse em receber este conhecimento e assimilá-lo? Não conheço resposta de amplo consenso para nenhuma das duas perguntas.

Democratizar o conhecimento em cibersegurança implica um duplo esforço. O primeiro está relacionado com a autoproteção do coletivo, a defesa do próprio, a consolidação do exclusivo. Num processo de abertura, poderia perder-se a especialização reservada a poucos. Ainda há muita reserva do “antigo” paradigma de segurança por escuridão, baseado em limitar ao máximo a informação e que atualmente se mostra na forma de inundar o discurso de tecnicismos ou preencher lacunas. Exemplo disso são frases do estilo “a cibersegurança é um investimento e não uma despesa” e muitas outras, absolutamente desgastadas neste momento. O segundo desses esforços centra-se em dirigir as mensagens ciber, muitas delas de alta intensidade técnica, à audiência mais profana. Neste caso, o perfil da audiência é de vital importância. Se este perfil não se sincronizar com o nível técnico da mensagem, seria considerado uma perda de tempo por aquele que tenta transmitir o conhecimento e, do outro lado, iria ocorrer uma perda de interesse por parte da audiência ou, inclusivamente, poderia insultar a inteligência de alguns deles.

Sobre o interesse de entender a cibersegurança, vai por zonas e por momentos. Às vezes, tenho a certeza de que existe e outras penso que não. Num lado da balança, temos a necessidade de conhecer o porquê de a cibercriminalidade nos afetar a todos, e muito, para além de aspetos que nos provocam dano (dinheiro, reputação, orgulho...); do outro lado, temos o medo e a apatia que o tema provoca. Também não tenho a certeza de que fosse possível equilibrar o hipotético peso de ambos os lados.

Para mim, saber sobre cibersegurança é útil e prático. No meu caso, primeiro chamou-me a atenção (o mundo dos espiões, o desafio de decifrar...) e isso motivou-me a aprender. A situação mais habitual é bem diferente: primeiro sofre-se um ciberincidente e isso “motiva” a capacitação mínima para que não volte a ocorrer (aprender à força). Mas, se repararmos bem, perceberemos que já todos sabemos muito sobre segurança na vida não digital. No geral, temos interiorizadas as atitudes de prevenção, de desconfiança sobre o “demasiado bonito para ser verdade”, de estar em alerta perante certas ameaças de outros... E é simples passar essas aprendizagens para o âmbito digital.

Não nos deixemos assustar com tanto tecnicismo e acrónimos. Por exemplo, a quase totalidade dos ataques ransomware que tiveram êxito (por exemplo, o ransomware Ryuk que tanto dano fez ao SEPE em 2021) deveu-se ao facto de alguém receber um e-mail malicioso e cair na armadilha digital de clicar num link que esse correio eletrónico continha ou abrir um suposto documento anexo com a surpresa dentro que, uma vez libertada, se pode estender a outras máquinas com extrema facilidade. Esse “alguém” é como qualquer um de nós, como o seu chefe e como o meu cunhado, como o Elon Musk ou como o Cristiano Ronaldo. Em resumo, um ser humano com os seus pontos fortes e fracos que pode ser apanhado em falso, da maneira mais tola e no seu pior momento. Por isso não se castigue se um dia isto lhe acontecer e tente compreender o cibercontexto que o rodeia.

Autor: Javier Zubieta