O que a polícia de Nova York pode ensinar sobre segurança?

Durante a RSA Conference 2020, o ex-diretor de ciberinteligência e investigações do NYPD (Departamento de Polícia de Nova York) falou sobre como a polícia aumentou sua preocupação com a cibersegurança.

Enquanto eu dava uma olhadinha nas sessões da RSA Conference 2020, uma palestra chamada “Combate ao cibercrime em escala: Avançando na aplicação da lei” chamou minha atenção. Como alguém que é bastante viciado em Law & Order e também gosta de cibersegurança, pensei que parecia uma versão real de um programa de TV de hackers malvados, mas no Departamento de Polícia de Nova York (NYPD)

O palestrante, Nick Selby, tinha uma ótima história para contar. A cidade de Nova York tem um grande problema com o cibercrime – um problema de nove dígitos. Parecia que todo mundo, de nativos digitais a baby boomers, havia sido vítima de cibercriminosos, de golpistas de telefone até ransomwares, de um tio nigeriano que precisava de uma transferência de dinheiro e muito mais.

Na maioria das vezes, a polícia de Nova York que é acionada pelas vítimas. No entanto, sempre que os policiais que atendiam a uma chamada ouviam palavras técnicas como Bitcoin, sua primeira resposta era algo como “não é comigo”, porque, bem, era ciber. Nos mapas mentais de policiais e detetives, o “ciber” era o que algumas outras agências tratavam. Eles costumavam aconselhar as vítimas a ligar para o FBI e ficava por isso mesmo.

Para uma cidade do tamanho da cidade de Nova York, isso era um problema. Selby sabia disso, assim como seus superiores no Departamento de Polícia de Nova York, que encarregaram Selby de ajudar a mudar essa cultura e treinar oficiais responsáveis pelas infrações relacionadas a cibersegurança.

Toda a apresentação me cativou e discutiu todas as coisas legais que a equipe fez em termos de parar o cibercrime e ajudar a recuperar o dinheiro suado das pessoas. Não é minha história para que eu conte aqui, mas sugiro que assista à palestra completa abaixo:

 

No entanto, o que eu não consegui superar na apresentação foi o seguinte: Selby teve que ajudar a mudar essa cultura e treinar oficiais para se preocuparem com a cibersegurança.

Qualquer um que tenha liderado um treinamento de segurança provavelmente já teve que lidar com perguntas ou comentários sarcásticos, como:

Eu trabalho com finanças, por que devo me importar?
Eu trabalho na recepção, por que devo me preocupar?
Eu trabalho com suporte, qual é, eu sei tudo de segurança!

E a minha lamentação favorita:

Aff, treinamento de segurança, DE NOVO?
 

Bom, todos nós já vivemos isso e tivemos que fazer algo que não achamos fundamental para nossos trabalhos. O problema, porém, é que a cibersegurança afeta tudo. Seriamente. Aqui estão apenas alguns exemplos comuns no ambiente de trabalho:

  • Finanças – eles gerenciam o dinheiro. Quantos golpes discutimos sobre o envio de dinheiro para a conta errada?
  • Recepção — o primeiro rosto que você vê, a pessoa que deixa todo mundo entrar no prédio. Os recepcionistas também costumam distribuir credenciais de Wi-Fi aos visitantes. Considere a importância da recepção em proteger as empresas de pessoas como nos casos em que bandidos conectaram hardware malicioso a redes corporativas?
  • Suporte — consertam computadores e administram dispositivos. Quem pode fornecer um pendrive, caso seja necessário mover um PowerPoint entre dois computadores? Sem a TI, as pessoas podem recorrer à busca de dispositivos abandonados no escritório.

Você entende meu ponto? Todos os funcionários são tecnicamente vetores de ataque, mas geralmente não estão pensando nas situações que mencionei acima.

O que podemos aprender com o NYPD

Ao contrário dos treinadores corporativos de cibersegurança, o Departamento de Polícia de Nova York treina policiais, mas suas tarefas e desafios eram muito semelhantes e seus princípios orientadores:

Simplifique. Talvez o maior fator no sucesso da equipe da polícia de Nova York tenha sido o fato de manterem o treinamento simples e direto. Acredito que eles fizeram suas sessões de treinamento em menos de 20 slides. Ao planejar os materiais de treinamento para sua equipe, certifique-se de incluir objetivos claros para mostrar aos alunos por que eles devem se importar e como serem bem-sucedidos.

Capacite as pessoas. Outra abordagem interessante que Selby e sua equipe usaram foi oferecer um aplicativo para ajudar os policiais a codificar cibercrimes, facilitando as investigações apropriadas. Não estou dizendo que você precisa criar um aplicativo para sua empresa. Em vez disso, encontre maneiras de capacitar os funcionários a colocar seu treinamento em prática. Se eles vêem algo suspeito, como denunciar? Se eles recebem um e-mail de phishing, como podem bloqueá-lo para toda a empresa ou para onde devem enviá-lo?

Mostre resultados. O Departamento de Polícia de Nova York mede tudo o que pode e, com esse programa, o departamento começou a mensurar também o “ciber”, para que os policiais pudessem ver que seu trabalho estava realmente ajudando a investigar mais crimes em seus bairros. Eles também foram capazes de ver o tamanho do problema e como seus papéis ajudaram a combater o cibercrime. Seus funcionários podem não estar combatendo criminosos, mas você pode mostrar a eles como a conscientização deles realmente ajuda. Por exemplo, nove ataques de ransomware frustrados ou 200 e-mails de phishing evitados no ano podem ser bons resultados para compartilhar em uma atualização de status.

Seu treinamento não precisa ser de alta tecnologia ou caro. Compartilhar seus conhecimentos internos pode levar a grandes mudanças para sua organização.

Mesmo que a elaboração de um plano de treinamento em cibersegurança não esteja nos planos da sua empresa este ano, pode contar conosco. A Kaspersky oferece uma série de cursos gratuitos sobre educação em segurança que você pode compartilhar com seus funcionários, para começar.

Dicas