O enorme risco de cibersegurança que você está negligenciando: o seu escritório.

Você tem os melhores e mais recentes filtros de spam nas contas de e-mail de todos. Ferramentas de detecção e resposta de endpoint em todos os dispositivos fornecidos pela empresa. Um sistema de detecção e prevenção de invasões protege os acessos da sua rede, gritando "Pare!" para qualquer pacote que pareça minimamente suspeito.

Seus sistemas estão totalmente protegidos. Nenhum hacker está entrando aqui.

A porta de entrada do seu prédio comercial é outra história. Um invasor provavelmente conseguiria entrar.

Confie em mim. Eu sei por experiência própria. Sou eu quem estou entrando.

Uma das partes mais divertidas de ser Especialista-chefe em engenharia social da IBM é que eu faço avaliações de segurança física. Basicamente, eu entro nos prédios dos clientes, com permissão, para ajudar a identificar falhas em suas defesas físicas.

E quando estou dentro, posso causar muitos danos. Aquele notebook sem supervisão na sala de descanso? Vapo. É meu agora, juntamente com o acesso a todos os documentos que seu proprietário pode acessar. Aqueles arquivos confidenciais sobre a mesa em um escritório vazio e destrancado? Meu também.

A maioria de nós pensa na cibersegurança como um assunto puramente digital. E faz sentido, afinal, "ciber" está no nome. Mas os ciberataques podem começar bem aqui no mundo físico, e não estou falando de robôs conscientes em busca de vingança (pelo menos, ainda não).

Estou falando de pessoas mal-intencionadas de fora – e até mesmo agentes internos maliciosos – que podem comprometer seus sistemas de computador diretamente do seu prédio. O chamado está vindo de dentro da casa!

À medida que mais organizações trazem as pessoas de volta ao escritório, esses ataques físicos podem se tornar mais comuns e mais bem-sucedidos. Depois de anos trabalhando remotamente, muitos de nós ficamos enferrujados quando o assunto é manter nossos escritórios seguros.

Vamos analisar alguns riscos de cibersegurança físicos e o que as organizações podem fazer para reagir.

As invasões físicas podem acontecer de várias maneiras, mas com base em minhas experiências, elas tendem a acontecer em três etapas:

• Estágio 1: coleta de informações
• Estágio 2: obtenção de acesso
• Etapa 3: execução do ataque

Vamos detalhar essas etapas.

A primeira fase de uma avaliação física do IBM X-Force está coletando informações sobre nossos alvos. É claro que não pedimos essas informações ao cliente. Porque não precisamos fazer isso. É incrível o que se pode descobrir sobre uma empresa apenas observando o dia a dia de seus funcionários.

Por exemplo, posso visitar a conta do Instagram da empresa para procurar fotos dos funcionários. Eles estão usando uniformes? Eles têm um código de vestimenta? Essa é uma informação que posso usar para me misturar. (E você pensava – ou melhor, esperava – que ninguém olhasse as fotos da festa de fim de ano do escritório.)

Se eu tiver muita sorte, posso ver o crachá de funcionário, o que me ajudará a falsificar de forma convincente. Não vai me fazer entrar pela porta, mas vai ajuda a tirar a atenção de mim enquanto circulo pelo campus.

Talvez eu encontre uma lista de fornecedores no seu site. Agora posso me passar pelo entregador de material de escritório.

Talvez eu vá até seu prédio e faça uma pequena vigilância. Quais portas os funcionários estão usando? Há entradas separadas para o público? Vocês têm segurança? Onde eles ficam posicionados?

Até mesmo os detalhes mais aparentemente insignificantes podem ser usados contra você. Por exemplo, posso descobrir qual é o horário da coleta do seu lixo. Estranho, eu sei, mas pensa comigo: se a coleta do lixo é na quarta-feira, eu passo na terça à noite, porque sei que o lixo vai estar cheio. Isso significa que há uma boa chance de eu encontrar uma senha de rede escrita em um post-it ou um memorando confidencial que alguém não se deu ao trabalho de destruir.

(Eu sei como você está me olhando neste momento. Posso sentir isso através da tela. Não é que eu goste dessa parte do trabalho! Portanto, se você pudesse destruir seus documentos confidenciais, seria ótimo para mim. Sério.)

Gostaria de poder dizer que faço algumas manobras sérias estilo James Bond para invadir os edifícios dos meus clientes, mas a verdade é que normalmente passo pela porta da frente com todo mundo. Este é um método de ataque chamado "tailgating".

Tailgating é quando um agente mal-intencionado segue uma pessoa autorizada até uma área segura. Pense em um edifício comercial: os funcionários muitas vezes precisam de algum tipo de crachá ou chaveiro para abrir a porta. Como invasor, você obviamente não tem uma. Então, o que você faz é andar bem atrás de um funcionário para que, ao entrar com o crachá, ele mantenha a porta aberta ou você possa segurá-la antes que ela se feche.

Acontece que o tailgating é extremamente bem-sucedido. As pessoas são educadas! Mesmo quando elas sabem que você não pertence àquele lugar, a maioria não quer dizer nada. É muito estranho. E a engenharia social conta exatamente com esse tipo de resposta bastante humana.

Isso não quer dizer que os criminosos não invadam prédios à moda antiga. Só que eles realmente não precisam.

Quando eu entrar, provavelmente vou roubar algo. (Bem, vou fingir roubar algo.) Documentos e dispositivos confidenciais deixados ao ar livre são os principais alvos, mas isso não é tudo. Eu poderia pegar o crachá de um funcionário ou um molho de chaves do prédio para expandir meu acesso e voltar se precisar sair.

Se eu puder colocar as mãos em um dispositivo da empresa, posso acessar a rede da empresa. Posso me passar pelo proprietário do dispositivo e enviar e-mails de phishing a partir de sua conta. Posso plantar arquivos maliciosos nos diretórios da empresa.

Outra coisa divertida que posso fazer é lançar iscas, deixando cair unidades USB carregadas com malwares (bem, malwares falsos) pelo prédio.

As pessoas são engraçadas: quando veem uma unidade USB aleatória, têm vontade de conectá-la e ver o que há nela. Talvez sejam um bom samaritano procurando a identidade do dono. Talvez sejam apenas intrometidas. De qualquer forma, elas terão problemas. Essa unidade USB as infectará secretamente com algo desagradável, como um keylogger ou ransomware.

Em qualquer avaliação física, geralmente procuro ver quanto tempo leva para alguém me parar.

Lembro-me de uma avaliação em que a segurança levou quatro horas para começar a me procurar, mesmo com uma funcionária percebendo que eu a estava seguindo até o prédio. (E mesmo assim eu consegui escapar antes que me encontrassem!)

O que quero dizer é que nossas práticas de segurança física costumam ser muito ruins. Veja o que fazer em vez disso:

Todos nós sabemos o que acontece quando você supõe, certo?

Você torna o trabalho de um agente malicioso muito mais fácil.

Um dos maiores erros que as pessoas cometem com relação à segurança física é presumir que todas as devidas proteções estão em vigor. E estou falando de coisas simples, como presumir que a "porta com travamento automático" realmente trava automaticamente. Ou que as pessoas estão usando os trituradores. Ou que os funcionários parem estranhos no corredor para perguntar o que eles estão fazendo.

Então eu entro e eis o que encontro: aquela fechadura da porta estava com defeito há muito tempo. As pessoas jogam documentos confidenciais no lixo comum. Eles veem um estranho no corredor e pensam: “Não é da minha conta!”

Todas essas pequenas falhas se somam, permitindo que os invasores realizem ataques sofisticados à vista de todos. (Veja meu post anterior sobre a vez em que enganei uma recepcionista para que conectasse um pen drive não verificado no computador dela, enquanto a equipe de segurança estava bem atrás de mim, me procurando.)

Eu incentivo as organizações a não presumirem nada. Verifique se a porta está travada. Não confie apenas na luz vermelha do crachá. Dê um puxão. Diga às pessoas o que triturar. Se você vir um estranho, não tenha medo de perguntar o que ele está fazendo. (Você pode até mesmo fazer isso de forma educada: "Ei, vejo que você não tem um crachá de visitante. Deixe-me levá-lo até a segurança, caso contrário, você continuará sendo parado!")

O treinamento em cibersegurança deve dedicar mais tempo às práticas de segurança física. Pode não ser a rota de ataque mais comum, mas é uma lacuna enorme nas defesas de muitas organizações.

Pense na média de treinamento de cibersegurança. Se fala algo sobre segurança física – o que é raro! –, normalmente não passa de um "Não deixe seu notebook corporativo ser roubado."

A segurança física deve ser tratada com a mesma profundidade que outros tópicos. Por exemplo, os treinamentos geralmente abordam sinais de alerta em mensagens de phishing, como gramática incorreta e solicitações urgentes. Que tal ensinar as pessoas a identificar sinais de alerta em visitantes do escritório, como andar por aí sem crachá e desacompanhados?

Quanto mais explícita for a instrução, melhor. Por exemplo, o tailgating. Simplesmente dizer às pessoas para não deixarem estranhos entrarem no prédio não as prepara exatamente para responder a um tailgater do mundo real.

Ao contrário, as pessoas devem saber exatamente qual é o processo ao avistar um desconhecido. Normalmente, é tão simples quanto: "Você veio ver quem aqui? Deixe-me levá-lo até a segurança para que você possa fazer o check-in." Se você estiver lidando com um visitante real, ele apreciará a ajuda. Se você estiver lidando com um invasor, ele provavelmente abortará a missão agora que foi avistado.

E lembra aquela parte sobre reconsiderar as suposições? Nenhum detalhe é pequeno demais para ser incluído no treinamento de segurança física. Peça às pessoas para bloquearem os dados e dispositivos confidenciais. Certifique-se de que elas estejam cientes das caixas de trituração. Chame a atenção para os perigos de unidades USB não identificadas.

Facilite ao máximo para que os funcionários sigam as políticas de segurança física, os processos e as melhores práticas, garantindo que eles tenham os recursos necessários na ponta dos dedos.

Por exemplo, recomendo ter o número de telefone e os e-mails de todos os contatos de segurança em todas as mesas e dispositivos. Dessa forma, se algo acontecer, os funcionários saberão a quem denunciar imediatamente. Também deve ser fácil encaminhar visitantes diretamente para a segurança, por isso é importante considerar a localização do posto da segurança física.

E certifique-se de que os funcionários tenham maneiras de proteger seus dispositivos e documentos, como armários pessoais, gaveteiros com chave e travas de segurança nos computadores em cada estação de trabalho.

Os ciberataques não acontecem apenas online, então você não pode confiar nas defesas puramente digitais.

Se há uma lição importante a ser aprendida aqui, talvez seja esta: para a segurança física, os pequenos detalhes são tão importantes quanto – ou talvez até mais do que – o panorama geral.

Claro, você precisa de uma estratégia de segurança física abrangente, que por sua vez está vinculada a uma estratégia de cibersegurança abrangente. Mas não é necessariamente a falta de pensamento estratégico que deixa as organizações vulneráveis a ataques físicos. Muitas vezes é uma questão de praticidade: as pessoas sabem exatamente o que fazer em relação a ameaças físicas e estão capacitadas para fazê-lo?

Ao repensar suas suposições, investir em melhor treinamento e capacitar as pessoas com os recursos certos, você pode impedir muitos possíveis ataques. E, embora você esteja dificultando meu trabalho, estará tornando o mundo muito mais seguro.

Então provavelmente vale a pena.