Por que a exaustão humana é uma ameaça à segurança cibernética muito maior do que códigos complexos de computador

A mudança de falhas técnicas para a engenharia social reordenou fundamentalmente o cenário das ameaças digitais. Durante anos, a indústria global de segurança cibernética concentrou-se fortemente na construção de firewalls mais altos e na implantação de softwares antivírus sofisticados. No entanto, dados do Relatório de Custo de Violação de Dados da IBM revelam consistentemente que credenciais roubadas ou comprometidas, juntamente com esquemas de phishing, continuam sendo os vetores iniciais de ataque mais comuns. Nos Estados Unidos, a Agência de Segurança Cibernética e de Infraestrutura alertou repetidamente que os grupos de ransomware estão ignorando amplamente as defesas avançadas para atingir os elos mais fracos e humanos. Vimos isso se manifestar claramente em 2018, quando a cidade de Atlanta foi paralisada. Os hackers não usaram uma arma digital de complexidade inimaginável; eles utilizaram uma variante conhecida de ransomware chamada SamSam para explorar senhas fracas e servidores expostos à internet. O ataque paralisou os serviços municipais, forçando os funcionários da cidade a redigir relatórios à mão e mergulhando o sistema judicial local no caos, o que acabou custando milhões de dólares aos contribuintes para ser reparado.

A causa fundamental dessa vulnerabilidade reside em uma perigosa desconexão entre as ferramentas que as sociedades usam e as pessoas encarregadas de mantê-las. Em todo o mundo, a infraestrutura crítica é cada vez mais gerenciada por governos locais, redes regionais de saúde e distritos escolares públicos. Essas organizações estão profundamente integradas à rotina diária, mas operam com orçamentos apertados e sistemas legados desatualizados. Enquanto bancos internacionais e conglomerados multinacionais de tecnologia podem pagar exércitos de analistas de segurança para monitorar o tráfego de rede 24 horas por dia, uma estação municipal de tratamento de água ou um hospital regional simplesmente não podem. Além disso, há o elemento inegável da fadiga humana. Funcionários desses setores públicos são rotineiramente convidados a fazer mais com menos, processando centenas de e-mails e solicitações digitais diariamente. Quando os cibercriminosos aproveitam a inteligência artificial para criar e-mails de phishing com redação impecável e altamente personalizados, que imitam o tom de um supervisor ou fornecedor de confiança, um trabalhador cansado no final de um longo turno de trabalho fica naturalmente suscetível. É uma falha do ambiente, não da inteligência individual.

As consequências dessa vulnerabilidade estrutural vão muito além de telas de computador bloqueadas e criptomoedas extorquidas. Quando as redes de saúde e serviços cívicos falham, o impacto é tangível, físico e profundamente alarmante. Em 2022, o governo da Costa Rica declarou estado de emergência nacional depois que uma onda implacável de ataques de ransomware paralisou seu Ministério da Fazenda, interrompeu o comércio internacional nas fronteiras e perturbou gravemente o sistema nacional de saúde. Os cidadãos não conseguiram receber diagnósticos médicos a tempo, e as empresas de exportação sofreram perdas catastróficas com mercadorias apodrecendo nos armazéns. Da mesma forma, nos Estados Unidos, ataques de ransomware a redes de saúde forçaram rotineiramente os hospitais a desviar ambulâncias de pronto-socorros e adiar cirurgias que salvam vidas. Quando os registros dos pacientes são repentinamente criptografados e ficam inacessíveis, os médicos são forçados a trabalhar às cegas, comprometendo fundamentalmente a segurança dos pacientes. O mundo digital se misturou completamente ao mundo físico, o que significa que um ataque cibernético a um hospital local não é mais apenas uma violação de dados, mas uma ameaça direta à saúde pública e à vida humana.

Reverter essa perigosa tendência exige uma mudança profunda na forma como as sociedades abordam a defesa digital. Governos e instituições devem parar de tratar a segurança cibernética apenas como uma despesa de tecnologia da informação e começar a encará-la como um pilar central da segurança pública. Isso começa com uma mudança de paradigma em direção ao que os especialistas do setor chamam de arquitetura de confiança zero (zero-trust), uma estrutura que assume que as ameaças já existem na rede e exige verificação contínua de qualquer usuário que tente acessar dados confidenciais. No entanto, as estruturas tecnológicas por si só são insuficientes. A defesa mais eficaz deve se concentrar na resiliência humana. Os municípios e os prestadores de serviços de saúde precisam de financiamento contínuo e robusto dos governos federais ou nacionais, destinado especificamente ao treinamento em segurança cibernética e à modernização dos sistemas. Em vez de submeter os funcionários a vídeos de conformidade tediosos uma vez por ano, as organizações devem cultivar uma cultura de segurança onde os trabalhadores se sintam capacitados a verificar solicitações suspeitas sem medo de repressão por atrasar as operações. Além disso, a cooperação internacional é essencial para rastrear e desmantelar as redes financeiras que permitem aos grupos de ransomware lavar impunemente os fundos extorquidos.

Por muito tempo, a conversa pública sobre defesa digital tem sido obscurecida por jargões técnicos e por um foco equivocado na elite tecnológica. Construímos fortalezas digitais equipadas com os melhores alarmes, apenas para deixar a porta da frente escancarada porque esquecemos de apoiar as pessoas que guardam as chaves. À medida que a vida diária se torna totalmente inseparável das redes que gerenciam nossa água, nossa saúde e nossas economias, os riscos são simplesmente altos demais para ignorar o elemento humano na defesa digital. Um futuro seguro não será garantido apenas criando softwares melhores. Ele será garantido reconhecendo que nossa infraestrutura digital é tão resiliente quanto as instituições humanas e os funcionários exaustos encarregados de mantê-la. O verdadeiro campo de batalha da segurança cibernética moderna não está localizado em um servidor distante, mas na rotina diária das pessoas que mantêm a sociedade funcionando.