O boletim do Observatório do Centro Nacional de Cibersegurança (CNCS) de setembro apresenta uma análise sobre as diferentes etapas de uma campanha de sensibilização em ciber-higiene nas organizações, de modo a que este tipo de ação seja mais eficaz, atendendo às ameaças identificadas.

"Para o desenvolvimento de campanhas de sensibilização em ciber-higiene numa organização deve identificar-se as ciberameaças mais importantes na atualidade e, dessas, as que têm um maior envolvimento do fator humano, as que podem ter um maior potencial de impacto e a probabilidade de cada uma ocorrer na organização em causa, com base no histórico e na informação disponível", lê-se no documento.

Por exemplo, "tendo em conta as ciberameaças mais relevantes em Portugal em 2021, verifica-se que a burla 'online' é uma das ciberameaças com mais destaque e que envolve bastante o fator humano".

No ano passado, entre as principais ameaças registadas pelo CERT.PT, serviço integrante do CNCS, estão o 'phishing/smishing' (em primeiro lugar), engenharia social e distribuição de 'malware' [programa que é introduzido num sistema, geralmente de forma encoberta, com a intenção de comprometer a confidencialidade, integridade ou a disponibilidade dos dados da vítima, de aplicações ou do sistema operativo]. Já os registados pela APAV estão o 'sextortion', burla 'online' e furto de identidade.

As participações às autoridades (DJPJ), a burla informática/comunicações surge em primeiro lugar em 2021, seguida do acesso/interceção ilegítimos e devassa por meio informático.

Entre as três principais denúncias recebidas pela Procuradoria-Geral da República (PGR) estão o 'phishing', burla 'online' e 'CEO Fraud', este último "ocorre quando um colaborador autorizado a fazer pagamentos é ludibriado [por alguém que se faz passar pela chefia da organização] no sentido de pagar uma fatura falsa ou realizar uma transferência não autorizada da conta bancária da organização", de acordo com o CNCS.

"Em algumas organizações, a CEO Fraud, que também implica muita intervenção humana, embora menos frequente do que a burla 'online', pode ter um maior impacto e uma probabilidade relevante de ocorrência. Esta análise deve destacar, nos conteúdos de sensibilização, as ciberameaças que revelam mais riscos", refere o Observatório de Cibersegurança.

Sensibilizar para as técnicas usadas "na 'CEO Fraud' pode ser tão importante como sensibilizar para as usadas na burla 'online' ou no 'phishing'. Cada organização é singular, por isso, aconselha-se que se considerem ainda outras ameaças menos frequentes e tendencialmente com menor envolvimento humano, mas com impacto, como o 'ransomware' [em que é pedido um resgate]".

Além da integração da análise "do risco humano, é importante que as campanhas de sensibilização avaliem os seus resultados com base na mudança de comportamento", pois "não é suficiente realizar inquéritos sobre as perceções dos utilizadores relativamente ao seu próprio comportamento, devido ao facto de a vontade de ser desejado socialmente poder interferir na qualidade das respostas sobre o comportamento efetivo".

O Observatório salienta que "alguns dos métodos mais utilizados para avaliar a ciber-higiene dos colaboradores numa organização sem reduzir a análise apenas a inquéritos são os que utilizam simulações de ataques de 'phishing' e testes de intrusão mediante engenharia social", os quais permitem avaliar comportamentos e estimular a atenção dos colaboradores.

Em suma, as ações de sensibilização poderão passar pelas seguintes etapas: primeiro, análise dos riscos humanos; segundo, definição de mensagens, público-alvo e metodologias e, terceiro, ações de sensibilização por canais diversificados.

A quarta etapa passa pela "análise de resultados mediante inquéritos, simulações e testes" e a quinta e última pela "atualização das principais ameaças e estratégias, a qual deverá conduzir de novo à primeira etapa e ao reinício do processo, cumprindo a necessidade de circularidade", refere o Observatório.

No próximo dia 29 de setembro, o CNCS apresenta um 'webinar' aberto ao público sobre temas ligados à cibersegurança, sob o título 'O Papel dos Algoritmos na Igualdade de Género' e "pretende discutir os efeitos que os algoritmos têm na (des)igualdade de género, considerando que um algoritmo pode reproduzir preconceitos devido à forma como é configurado".

Leia Também: Ministério da Defesa confirma novo ciberataque contra EGMFA