Erros humanos na segurança cibernética – Uma falha inerente

Publicado em 13 de Julho de 2017

Erlend Andreas Gjære
IT + segurança + especialista em pessoas

Traduzido e complementado por Afonso H. R. Alves

É fácil culpar as pessoas por incidentes de segurança, e isso acontece muito. Eu acredito que esta é uma área onde o campo de segurança cibernética ainda precisa amadurecer, porque meramente dizer que é um erro humano não nos levará a lugar nenhum.
James Reason, professor de psicologia da Universidade de Manchester, estudou as várias maneiras pelas quais as coisas podem dar errado quando a confiabilidade depende dos seres humanos. Apesar de seu trabalho ser aplicado principalmente em contextos críticos de segurança, como plantas de processo, aviação e cuidados de saúde, considero seus princípios altamente relevantes para a segurança cibernética.
Primeiro, vem a classe de erros que acontecem por falta de prudência, uma vez que não há intenções intencionais por trás da ação, causando-os:

• Erros não intencionais, atos falhos: uma ação frequente, que exige pouca atenção consciente, dá errado.
• Lapso: uma ação particular foi omitida por que foi esquecida.
• Erro baseado em regras: uma rotina é seguida, mas uma boa função é usada incorretamente ou uma regra ruim é aplicada.
• Erro baseado no conhecimento: uma rotina que não esteja disponível e portanto sua aplicação de conhecimento e experiência não é suficiente para realizar a ação com segurança.

Esquecimentos e atos falhos são ações que deram errado, ou seja, não de acordo com o plano, um exemplo seria acessar os recursos da empresa, mas sobre um WiFi público que é considerado um ato impróprio para a empresa. Uma possível mitigação aqui é negar o acesso de fora da rede da empresa - oferecer acesso VPN, fornecendo acesso aos recursos necessários. No entanto, HTTPS deve ser usado para qualquer site e, quando aplicado corretamente, o site é seguro mesmo em WiFi público.
Os erros acontecem baseados em um plano consciente que tinha uma falha, ou seja, as ações corretas, mas de acordo com o plano errado. Por exemplo, se o seu colega tentar criptografar um e-mail altamente sensível, mas ainda não conseguiu efetivar, e a mensagem é enviada sem a criptografia. Embora eu não tenha grandes esperanças para a usabilidade do criptografia de e-mail, as contramedidas relevantes nestes casos incluem design centrado no ser humano e detectando erros automaticamente para alertar o usuário final. Também temos a oportunidade de oferecer aos funcionários melhores maneiras de trocar informações confidenciais do que via e-mail, tanto em termos de segurança quanto de usabilidade.
Por outro lado, temos as ações deliberadas que causam não comprometimento com as regras (compliance). Tais ações, também conhecidas como violações, podem ser categorizadas como:

• Rotina: uma regra é tão mal implementada que a omissão tornou-se a norma.
• Situacional: um atalho é usado para terminar o trabalho de maneira indevida.
• Excepcional: um risco calculado é tomado devido a circunstâncias especiais, para resolver uma tarefa impossível de outra forma.

As violações de rotina se resumem a problemas que são comunicados e logo em seguida resolvidos por técnicos que conhecem o sistema. Talvez um dos fatores seja pessoas que não são conscientes da regra, ou pelo menos não porque a regra é uma regra, em primeiro lugar. Se há uma razão aceitável para isso, torna-se socialmente inaceitável quebrar a regra. As normas incorporadas na cultura da empresa desempenham um papel crucial no comportamento seguro. Mas se tudo o que temos é uma regra ruim, como negar aos funcionários o acesso às redes sociais em nome da segurança da informação, consequentemente as violações se espalharão para as pessoas quebrarem outras regras também. Precisamos corrigir a má regra antes de toda a nossa cultura se comprometer.

As violações da situação são muitas vezes resultado de restrições de tempo ou recursos, estresse ou falta de ferramentas adequadas para fazer o trabalho. Tome um exemplo de um contexto de desenvolvimento de software, onde isso pode significar que uma versão é enviada sem testá-lo para erros de segurança. Esse problema poderia de alguma forma ser mitigado tecnicamente com a integração de testes de segurança automatizados no sistema de lançamento. O problema real pode, no entanto, ser mais cultural: carga de trabalho e prazos não realistas, pensando segurança como uma reflexão tardia. A percepção de risco das pessoas pode ser imprecisa aqui, e o treinamento de segurança pode ser muito eficaz em combinação com a liderança consciente de segurança.
Violações excepcionais podem incluir o e-mail que você recebeu que você teve que verificar. Embora este caso seja bastante comum e não seja realmente "excepcional", o contexto fornecido pelo e-mail pode ter sido suficientemente para você clicar em um link mal-intencionado ou abrir um anexo infectado por vírus. Talvez você mesmo responda prontamente a esse pedido de transferência de dinheiro para uma conta bancária estrangeira - porque foi solicitado pelo "CEO". Esta é uma área desafiadora para mitigar porque, obviamente, nenhum fornecedor de tecnologia resolveu por completamente o problema de e-mail mal-intencionado. Também é impossível garantir que nenhum funcionário seja enganado por um e-mail, independentemente da quantidade de conscientização e treinamento de segurança que você os disponibiliza. No entanto, a forma como a TI é capaz de auxiliar as pessoas em relação a conscientização sobre a autenticidade de um e-mail pode ser essencial aqui.

Embora algum tipo de "filtro de spam" possa estar em demanda, essas interações podem fornecer uma oportunidade inestimável para a TI / segurança criar confiança com outros funcionários de forma positiva e favorável. E fornece às pessoas uma alternativa viável para apenas clicar no link ou anexo, para descobrir se o e-mail é confiável ou não.

"Ouvimos histórias sobre humanos sem valor que nunca competirão com o número de heróis desconhecidos.”


 Existem várias razões pelas quais as pessoas são propensas a erros. Na verdade, isso aplica-se mesmo a ciber profissionais como nós, por exemplo, quando se trata de lidar com esses fatores humanos de segurança. Danielle Kingsbury escreveu um post sobre vieses cognitivos na avaliação de risco, o que ilustra como nós (profissionais de segurança) facilmente acreditamos ver uma imagem verdadeira, quando na verdade não o vemos ou não a temos. O desafio permanece em várias dessas áreas considerando as pessoas envolvidas não apenas como razões para o fracasso, mas como seres humanos genuínos. Todos cometemos erros, escorregamos, esquecemos e temos nossos momentos. Às vezes, até violamos as regras. Mas ainda criamos um grande valor para as organizações que nos empregam.

Uma descoberta importante relacionada à pesquisa de erros humanos é precisamente esta: nenhum acidente grave já foi causado por um único erro sozinho. A metáfora do queijo suíço abaixo destaca isso. Alguns furos são devidos a falhas ativas, enquanto outros furos são condições latentes. Nossa estratégia de segurança deve levar em consideração: 



É por isso que sempre devemos aplicar uma abordagem baseada em etapas de segurança. Temos algumas barreiras tecnológicas, e temos algumas barreiras em nossos processos. E, finalmente, temos pessoas como barreiras - sim, de fato, as pessoas não são apenas grandes buracos no queijo! As pessoas são capazes de improvisar quando o imprevisto acontece e tudo mais falha. Muitas vezes isso vai bem, mas às vezes não. Mas o fracasso foi devido ao alinhamento de vários buracos através de todas as camadas, e não apenas o fator humano no final. E as histórias que ouvimos sobre humanos sem valor nunca será comparada com o número de heróis desconhecidos que temos no mercado e nas valiosas empresas.

Original em: https://www.linkedin.com/pulse/human-errors-cyber-security-swiss-cheese-offailures-gj%C3%A6re