Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório

Sofreu uma violação?

|
Entre em contato conosco
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
O cinto de segurança cibernética: a opinião de um ciberpsicólogo sobre a transição da consciência para a preparação
Season Three
· Episódio
2

O cinto de segurança cibernética: a opinião de um ciberpsicólogo sobre a transição da consciência para a preparação

E se a maior vulnerabilidade na cibersegurança não for a tecnologia, mas as pessoas por trás dela? Dr. Erik Huffman, pioneiro em ciberpsicologia, se junta O segmento para detalhar os fatores humanos por trás dos ataques digitais.

Transcrição

Raghu Nandakumara 00:11

Bem-vindos de volta, pessoal, a mais um episódio de The Segment. É uma grande honra e privilégio contar hoje com a presença de um premiado educador, empreendedor, palestrante e pesquisador de cibersegurança. Dr. Erik Huffman, Bem-vindo ao The Segment!

Dr. Erik Huffman 00:28

Ei. Obrigado por me receber. Eu agradeço.

Raghu Nandakumara 00:30

Então, eu não vou ser capaz de fazer justiça ao seu maravilhoso passado. Tudo o que vou dizer é que essa é a primeira vez que converso com um ciberpsicólogo. Estou intrigado com o que é isso. Tenho uma pequena ideia, depois de assistir a alguns de seus vídeos no YouTube. Então, Dr. Huffman, por que não nos dá um pouco de sua experiência?

Dr. Erik Huffman 00:52

Sim, então, começando do começo, ou, você sabe, começando com a ciberpsicologia, coisas interessantes?

Raghu Nandakumara 00:59

Você sabe o que? Acho importante começar do início, porque é assim que descobrimos como você chegou à ciberpsicologia, certo?

Dr. Erik Huffman 01:05

A versão rápida e abreviada é depois que recebi meu diploma de bacharel em ciência da computação e comecei a trabalhar para a Walgreens, dirigindo de loja em loja, consertando impressoras, consertando redes, consertando computadores e coisas assim. Gostei muito! Sabe, a razão pela qual entrei na ciência da computação é por causa do meu pai, para ser honesto. Quando eu cresci, obviamente, assim como muitas pessoas, você não tem muito, e eu vi meu pai ir para a escola, e ele realmente se interessou por esses computadores. Então eu vi nossa vida mudar. Eu nos vi ir de, você sabe, um apartamento muito pequeno, uma casa pequena, para uma casa grande. Então eu disse: “Ei, isso é muito legal”, então eu decidi seguir o mesmo caminho. Então eu obtive meu diploma de bacharel em ciência da computação, comecei a trabalhar para a Walgreens e coisas assim. Em seguida, recebi meu mestrado em gerenciamento com concentração em gerenciamento de TI. E então comecei a fazer um pouco disso, gerenciamento de projetos. Eu tinha essa mentalidade, assim como todo mundo. Tipo, só pessoas idiotas são hackeadas. Por exemplo, se seu nome de usuário é admin e sua senha é admin, você merece. Você sabe, coisas assim, simplesmente super arrogantes. Tipo, ei, eu vou trancar tudo. Nada é ruim. Isso vai acontecer. E então houve uma violação de dados na minha cabeça. Então, três meses depois disso, há outra violação de dados na minha cabeça. Eu estava curioso: se apenas pessoas idiotas fossem hackeadas, eu sou estúpido? Sabe, uma espécie de autorreflexão, tipo, não é? É isso? Eu sou estúpido? Então, eu realmente comecei a analisar os dados em tudo o que fazíamos porque sei o que a tecnologia que implementamos ajudou. Eu sei disso. Como o firewall, o sistema IDS, o sistema IPS, todas as coisas que descartamos, toda a tecnologia, eliminamos esse problema. Sei que ajudou, mas por que não estamos vendo nenhum dos resultados? Então, comecei algumas pesquisas, e depois observei a taxa de tecnologia e analisei a taxa de violações de dados, e elas gostam de se espelhar. É como se, quanto mais tecnologia implementássemos, pior era o problema de violação de dados. Mas ainda assim, no meu coração, eu estava tipo, eu sei, eu sei que isso ajuda. Então eu comecei a olhar para a semelhança, que somos nós, que somos as pessoas. O que provocou uma coisa totalmente diferente porque comecei a analisar a psicologia das pessoas, a psicologia da engenharia social. E aí, ajudamos a fundar esse campo da psicologia cibernética. Então, meu olhar particular sobre psicologia cibernética, há vários ramos diferentes agora. Fora disso, algumas pessoas fazem pesquisas fantásticas. Eu, particularmente, analiso a engenharia social digital na cibersegurança. Então, na ciberpsicologia, também há pessoas que buscam saúde mental para crianças, cyberbullying e coisas assim. Mas eu, particularmente, analiso engenharia social digital, ataques cibernéticos e coisas desse tipo. Então eu fui de, você sabe, dirigindo de loja em loja na Walgreens para começar a ensinar. Comecei a lecionar e adorei estudar em algumas faculdades, no ensino superior. Então, contar as histórias me fez perder a razão pela qual essas histórias existiam. E então eu pensei: “Ei, eu tenho que sair da sala de aula. Deixe-me voltar às trincheiras com meus irmãos e irmãs cibernéticos.” E isso me leva a fazer uma enorme quantidade de pesquisas para continuar o impulso da psicologia cibernética enquanto ainda trabalho na indústria.

Raghu Nandakumara 04:45

Isso é incrível, e você está absolutamente certo. A suposição é que, tipo, pessoas descuidadas e estúpidas são hackeadas, comprometidas, certo? Mas a verdade é que algumas das organizações mais bem financiadas com os programas de cibersegurança mais maduros ainda são vítimas de um ataque, certo? E você disse que estava meio que no meio de dois ataques cibernéticos. Como você se sentiu no meio desses incidentes? Por mais que esses incidentes sejam, você os descobriu. Você está no meio deles. Como você se sente?

Dr. Erik Huffman 05:22

Honestamente, a sensação é de medo, e é como, tipo, o que fizemos de errado? Você tem que se acalmar. Você tem que acalmar todo mundo. Porque é como se, imediatamente, fosse tipo, quem fez o quê? E pode ser que você não tenha feito nada errado. Por exemplo, se você é uma empresa de pequeno a médio porte, se um estado-nação quiser pegar você, provavelmente eles vão te pegar assim, que você pode fazer tudo certo e ainda assim errar. Então, durante esses incidentes, era como: “O que fizemos de errado? Quem perdeu o quê? Quem fez o quê?” E foi isso, esse foi esse sentimento, e eu tive que superar isso. Você sabe, como ser, como pessoa sênior de nível júnior, porque, você sabe, eu era novo, recebi meu mestrado, estive no setor por um bom tempo, mas eu era novo em minha posição. Então você é uma pessoa de nível júnior e sênior, você tem que entender que, tipo, você tem que entender como liderar, e que pode não ser culpa de ninguém, e aquela reação instintiva do que aconteceu, e então é de quem fez o quê, isso foi tóxico. E isso é algo que uma lição que aprendi para mim foi apenas focar na coisa, focar no que aconteceu, focar em como, como você poderia evitar que isso acontecesse novamente. E então eu fui vítima disso, tipo, quem fez o quê? Isso não deveria acontecer. Estávamos 100% seguros. Na verdade, 100% seguro não existe. E então não pense em quem fez o quê. Pense no que aconteceu e, depois disso, na ação posterior, ou algumas pessoas chamam de autópsia, descubra quem fez o quê. O que aconteceu, você sabe, tipo, fizemos algo errado ou fomos pegos com a vulnerabilidade que nem sabíamos que existia?

Então você usou um termo muito poderoso sobre isso: “tóxico”. Nesse sentido, tratava-se mais de culpar e atribuir a culpa a um indivíduo ou a uma equipe do que entender como o problema se manifestou em primeiro lugar. Você vê isso? Não sei há quantos anos esses incidentes ocorreram, mas você vê que essa abordagem mudou nas organizações agora e que há muito mais foco no que levou a isso do que em quem?

Não. A resposta infeliz é não. Muitas vezes, mesmo quando eu consulto organizações, era: quem fez o quê, e é o foco em quem fez alguma coisa ou qual negligência existiu versus o que realmente aconteceu. E nós, como público, como sociedade, também fazemos isso muito com essas organizações, então há uma violação de dados em uma grande empresa e, imediatamente, é como se, bem, cara, elas obviamente estivessem fazendo algo errado porque há uma violação de dados. Até mesmo profissionais cibernéticos interpretam engenheiros de segurança cibernética de poltrona, tipo: “Ei, isso não teria acontecido se você tivesse feito isso”, sabendo que sabemos que 100% de segurança não existe, desde que as coisas estejam conectadas à fossa da Internet. Enquanto essa conexão existir, você não estará 100% seguro. Então eu não acho que isso tenha mudado ainda, especialmente em uma perspectiva de negócios. Muitas vezes, se as empresas pensarem que são a percepção pública, será ruim para os negócios ou sofrerão uma queda nas ações ou algo parecido. Ele vai imediatamente para quem fez o quê e depois volta, como o CISO ou algo parecido. E então o CISO diz: “Bem, obviamente você não está fazendo seu trabalho corretamente, e quem sabe qual era essa vulnerabilidade. Pode ter sido um dia zero. É tipo, ei, ninguém soubesse, e nós somos o paciente zero aqui. Sim, fizemos tudo certo e ainda assim erramos. E essa é uma realidade lamentável quando se trata desse setor. E eu sou humilde. Sou um homem muito humilde. Essa é minha mãe, minha avó, meu pai, eles me criaram para ser. E você sabe, eu fui vítima disso. E vou ser honesto com todos e dizer: Sim, fui vítima disso. Quando havia violações de dados consecutivas na minha cabeça como líder de segurança, recorri a: tipo, quem fez o quê? Tipo, isso não deveria acontecer. Bem, isso não deveria acontecer, mas aconteceu. E é mais ou menos como qual vulnerabilidade existia. Todos nós podemos aprender alguma coisa, como eu posso divulgar algo para o mundo, e todo mundo aprende alguma coisa. E é nesse momento, tipo, de quem você é culpado? Por exemplo, desculpe, você não sabe tudo sobre tecnologia e cada pedacinho de tecnologia que poderia ser potencialmente explorado. Não é uma expectativa realista de um líder para seus funcionários e não deve ser uma expectativa realista para todos os outros, para o CISO ou para os engenheiros de segurança cibernética. Não quer dizer que toda violação de dados deva ser desculpada. Não, mas você simplesmente não pode ir lá imediatamente. Se houver negligência, descubra isso depois de resolver o problema. Não aponte imediatamente para a negligência primeiro, depois vamos resolver o problema. Não resolva o problema, então procure negligência, se isso existir.

Raghu Nandakumara 10:30

Absolutamente. Acho que esse é um ponto muito importante a ser destacado porque não deve se transformar em um, a primeira reação não deve ser um exercício de CYA. Certo? Cubra sua parte traseira primeiro. Isso não deveria ser, certo? Você também mencionou o estresse dos CISOs, certo, e o tipo de medo constante em que eles vivem de “o que acontecerá se houver uma violação sob minha supervisão”, certo? Principalmente porque é tipo, bem, eu vou ser perguntado, certo? Bem, você tem todo esse financiamento para o seu programa de segurança, mas isso aconteceu. Portanto, essa deve ser uma parte fundamental, porque ouvimos muitas vezes sobre o esgotamento do CISO. Esse deve ser um dos principais motivos para isso.

Dr. Erik Huffman 11:13

Sim, com certeza é a última posição em que estive. Eu era a pessoa de segurança de mais alto escalão na organização e isso é um caminho para o esgotamento. Você está constantemente preocupado com todos os tipos de ameaças à segurança e com a velocidade que a empresa quer acelerar porque, você sabe, a velocidade dos negócios não pode diminuir, o que é totalmente compreensível. Mas, à medida que a velocidade dos negócios continua aumentando cada vez mais rápido, maior o risco. Sim, então você está tentando equilibrar o risco sem desacelerar o negócio, mas em algum momento, você precisa dizer à empresa: “Ei, você precisa desacelerar”. E você nunca, você nunca vencerá essa discussão. E é muito, muito difícil porque você ainda está preocupado com qualquer violação que possa acontecer, porque você pode ser o culpado por isso, a menos que tenha uma organização madura que lhe diga: “Na verdade, devido a isso, provavelmente não é sua culpa, mas ainda precisamos continuar investindo em segurança”. Mas esse é um nível de maturidade que não vemos em muitas organizações. É um nível de maturidade que ainda não existe em muitas salas de diretoria dizer ao CISO que, se houver uma violação de dados, talvez não seja por negligência. Pode não ser culpa dos CISOs. Pode não ser culpa do engenheiro de segurança cibernética ou culpa do diretor de TI ou de segurança. Pode ser algo que todo o setor esteja aprendendo de uma só vez, ou pode ser um dia zero que simplesmente não corrigimos com rapidez suficiente, porque zero dias foi lançado no primeiro dia, no terceiro dia. Acontece que acontece, acontece que vem até você, especialmente no ambiente corporativo, coisas assim existem. Não sou como um apologista do CISO, mas obviamente não é justo o nível de escrutínio que acontece até certo ponto em que algumas dessas violações de dados ocorrem. Se você é uma organização de médio porte e um estado-nação ataca você, você não está investindo dinheiro suficiente. Eu vou te dizer que você não está investindo dinheiro suficiente para proteger esse CISO. Esse CISO provavelmente será explorado. E se você os culpar, você pode contratar outra pessoa, e a mesma coisa vai acontecer com eles. Por exemplo, se os recursos estiverem escassos, contrate quem você quiser, e isso não salvará a organização do que vai acontecer. Portanto, você precisa continuar investindo em segurança, mas entender que 100% seguro não existe e entender que, como cara, algumas dessas violações são apenas boas de nível superior. E se você estiver preparado para eles ou não, e se quiser se preparar para tudo e realmente minimizar os riscos, é melhor que esse investimento seja bem alto. Ele precisa ser bem alto para dar uma chance aos seus engenheiros de segurança. Não tenha 1,2,3 deles em sua empresa que valem $50, $60, $100 milhões e diga que, se algo ruim acontecer, a culpa é de vocês. Não conheço muitas pessoas boas o suficiente para isso, e elas não são. Eles provavelmente não recebem o suficiente para que isso seja real, como um SOC de 24 horas com três pessoas, sei lá, cara.

Raghu Nandakumara 14:27

Tem algo aí que você disse. Não se trata apenas de a diretoria entender totalmente a importância de um programa de segurança, certo? Acho que esse tipo de maturidade, chegamos absolutamente ao ponto em que o conselho, os encarregados de tomar as decisões, compreende claramente os benefícios de um programa de segurança bem desenvolvido e executado. Mas o que você está dizendo é que isso por si só é bom, mas, na verdade, a diretoria precisa ter maturidade para entender que, por mais que invista em segurança, ainda há uma chance significativa de um invasor comprometer seu ambiente. E eles não deveriam reagir dizendo: “Ei, que diabos”, como se essa não fosse a reação. Deveria ser como: “Sim, entendemos. Entendemos que as probabilidades ainda estão a seu favor.”

Dr. Erik Huffman 15:19

Sim, exatamente porque toda conversa na sala de reuniões sobre progresso ou negócios, provavelmente, não vou dizer o tempo todo, provavelmente evoluirá ou desenvolverá um novo risco. E dependendo de qual é esse risco, como conselho ou como CEO, COO, algo assim, você precisa entender que, quando você tem essas conversas, esses riscos surgem e você os mitigará ou aceitará esses riscos? Algumas dessas conversas sobre segurança que acontecem e você fica frustrado com CISOs se devem apenas a riscos aceitos. E o conselho, o CEO, o CEO e o CFO devem entender que, ei, se isso acontecer, aconteceu porque aceitamos o risco de isso acontecer. E se você aceitou o risco de isso acontecer, e isso acontece, então é apenas uma espécie de controle de danos. Você sabe, se o risco existisse, e pensássemos que o impacto, a consequência desse risco acontecer, não seria tão severo. E isso acontece, vamos garantir que não seja tão grave e, em seguida, vamos rever o risco. Continuamos aceitando esse risco? Provavelmente, a resposta é: “Não, precisamos mudar de direção. Precisamos fazer algo diferente.” Porque não achávamos que a probabilidade desse risco acontecer fosse tão provável, ou fosse bastante provável, e então aconteceu tão rapidamente. Tipo, achamos que isso vai acontecer de novo? Sim, isso vai ser uma coisa anual? É uma coisa trimestral? Espero que não seja como uma coisa semanal, mas pode ser uma vez a cada cinco anos depois de você fazer sua autópsia e pesquisar sobre ela, aceitar esse risco e responsabilizar o CISO pelo risco. Esse risco foi aceito como: “Ok, se isso acontecer, por favor, proteja-nos de que isso piore”. Não é “Por favor, proteja-nos desse risco de que aceitamos que isso acontecesse”, então você só precisa mitigar essa maldita coisa. Desculpas — você só precisa mitigar a coisa.

Raghu Nandakumara 17:26

Com certeza, e exatamente a última observação que você fez, porque ao ouvir você falar sobre isso, entendo tão apaixonadamente que, se você aceita um risco, basicamente fez a devida diligência e disse: “Acho que minhas chances estão a meu favor. Então, vou pegar isso aqui. Eu não vou colocar mais dinheiro”, mas você tem que perceber que esse risco ainda existe. Ao aceitá-lo, certo, você não o fez desaparecer, certo? Então, se esse risco é exatamente o que é explorado, você não pode dizer: “Bem, pensei que nos defendemos contra isso”. Você aceitou, certo? E eu, na verdade, até aquele ponto, nosso evangelista-chefe John Kindervag, ele realmente diz a ele, o risco é perigo, certo? Em vez de aceitar riscos, você precisa fazer o melhor que puder para mitigar o máximo possível.

Dr. Erik Huffman 18:20

Exatamente. Portanto, os conselhos maduros de segurança não entendem apenas a segurança. Bem, eles sabem, mas eles entendem que segurança é gerenciamento de riscos. Para cada profissional de segurança, o trabalho é um risco. Seja usando tecnologia ou implementando algo, nossa conformidade é apenas gerenciamento de riscos. Portanto, o conselho deve entender, ou suas equipes de desenvolvimento de negócios estão entendendo, que tudo é gerenciamento de riscos. E então, “Ei, nós vamos fazer isso. Você entende esse risco? Sim.” E então, espero que eles tenham um registro de risco preenchido, saibam o que estão aceitando e saibam o que estão tentando mitigar. E então a equipe de segurança, sim, deve ser responsabilizada. Você é responsável pelos riscos que estão no conselho e que você escolhe mitigar. Tipo: “Ei, dissemos que mitigamos isso e descobrimos que vocês ainda estão executando o Windows XP por algum motivo”. Sim, por todos os meios, tipo, por todos os meios. Mas se esse risco for aceito e o risco ocorrer dessa forma, significa apenas controle de danos. Controle os danos e certifique-se de que isso não aconteça novamente. Aplauda todos os homens e mulheres que lideram organizações com esse tipo de relacionamento, porque então a equipe de segurança, os CISOs, não está enfrentando tanto esgotamento porque entendem que o conselho entende, tipo, se algo ruim acontece. Eu não estou na rua neste mercado de trabalho difícil.

Você sabe, eles entendem que, ei, podemos fazer com que coisas aconteçam, e todos nós simplesmente controlamos os danos, mas certas coisas simplesmente não podem acontecer, como, se, se a violação acontecesse, e é negligência absoluta, sim, você é responsabilizado por isso, e é justo. É um argumento justo. o caminho. O nome de usuário era admin, a senha era admin, sim, ruim. Equipe de segurança ruim. Equipe de segurança absolutamente ruim. Ou você tinha um software sem patch que deveria ter sido corrigido há um ano ou três ou dois trimestres atrás. A equipe de segurança provavelmente deve admitir isso se seus processos estiverem quebrados. Mas se isso se transformar em software ou se for devido a uma necessidade comercial, implementamos isso ou não estávamos aplicando os patches tão rapidamente quanto queríamos porque não temos a equipe de que precisamos. E nós lhe dissemos qual risco existia, e você disse: “Ei, poderíamos estar um pouco atrasados em patches porque precisamos investir mais dinheiro nisso”, e algo ruim acontece. Então é como, bem, precisamos revisitar isso. Esse risco é muito alto; a consequência é muito alta e a probabilidade é muito alta. E essa conversa, é aí que todas as empresas deveriam estar, esse é o sonho das empresas.

Raghu Nandakumara 23:43

Esse é um resumo incrível de apenas uma coleção de pontos e, na verdade, sobre a melhor forma de a empresa, por um lado, e a organização de segurança apoiar algo de seu lado, realmente trabalharem juntas para oferecer os melhores resultados para ambos os lados. Então, obrigado por isso, Dr. Huffman. Eu meio que quero seguir em frente. Sua área, e nós meio que evitamos isso, mas você está aqui por causa de seu trabalho como ciberpsicólogo. Dê-nos uma definição muito simples do que é ciberpsicologia.

Dr. Erik Huffman 24:14

A ciberpsicologia é uma mistura entre segurança, cibersegurança, psicologia do comportamento humano e sociologia do comportamento humano na neurociência. Pura e simplesmente, você junta essas três coisas e acaba com a ciberpsicologia. Ok,

Raghu Nandakumara 24:30

Eu entendo, eu entendo isso, certo? Então, por que isso é tão importante hoje?

Dr. Erik Huffman 24:36

Porque mais de 90%, eu acho, estão entre 94 a 97% das violações de dados envolvem o comportamento humano, envolvem o ser humano, o elemento humano. Então, eu sei que, mesmo antes desta conversa, estamos falando de provavelmente de 2 a 3% do problema — não quer dizer que a tecnologia não importa, a tecnologia importa muito. Estamos falando de 2 a 3% das violações de dados. Os outros 95-97% das violações de dados envolvem comportamento humano, envolvem erro humano ou envolvem engenharia social sob alguma perspectiva. Quando comecei minha pesquisa, reuni um grupo de mais de 300 hackers, que se identificaram. Eles não me disseram se são chapéu branco, chapéu preto, chapéu cinza, qualquer coisa. Acho que 93% deles disseram que começam com humanos antes de começarem com a tecnologia, porque preferem que você me forneça seu nome de usuário e senha. Nem mesmo é hackear nesse momento. Isso torna meu trabalho muito mais fácil como ameaça, como agente de ameaças.

Raghu Nandakumara 25:40

Sim, com certeza. E acho que o último ponto é provavelmente um ponto de partida; os atacantes não querem trabalhar duro, certo? Eles querem o caminho fácil para o sucesso, não o caminho difícil para o sucesso. Bem, na maioria das vezes, de qualquer forma, trata-se do caminho mais fácil para a receita.

Dr. Erik Huffman 25:57

Sim, oh, definitivamente! Como enfrentar um firewall de patch, essa é uma tarefa insana. Poucas pessoas no planeta podem fazer isso. Então, quando você está falando sobre, tipo, tudo bem, você tem um sistema IDS totalmente corrigido, um firewall totalmente corrigido, qual roteador, cara, como pessoas que podem invadir ele. Isso é, tipo, 1% de 1%. É muito, muito, muito difícil de fazer. Então, isso limita, tipo, se você está totalmente atualizado, isso realmente limita quantas pessoas podem explorar você, mas se eu conseguir fazer com que você contribua para sua própria violação de dados, oh, cara, isso é amor.

Os atacantes não querem, não querem trabalhar duro porque as tecnologias estão evoluindo e os patches estão surgindo. As vulnerabilidades existem e depois desaparecem, mas você é um alvo. Então, quanto mais demorar, mais difícil pode se tornar. Mas se eu conseguir que você fale comigo, se eu conseguir que você contribua com seus próprios defeitos, isso torna meu trabalho muito mais fácil. E eu posso obter muito mais dados se eu me tornar um usuário privilegiado, se eu puder me tornar você em seu sistema, isso torna meu trabalho muito mais fácil. E então a maioria dos hackers começa por aí. Eles começam com você, começam comigo, antes de acabarem dizendo: Ei, deixe-me ficar cara a cara com a Microsoft ou com a Apple ou com a Cisco ou Palo Alto, sem ter isso, e eles não querem. Eles não querem fazer isso. Na maioria das vezes, a maioria dos hackers não o faz. A maioria deles só quer os dados o mais rápido possível e com a maior facilidade possível.

Raghu Nandakumara 27:36

E é exatamente por isso que grande parte do treinamento de conscientização sobre segurança que todos conhecemos e amamos está tão focado em quase abordar a tendência humana de ser curioso, certo? Então, se a educação existe, como você pode validar que um site que você está acessando é confiável, certo? Como você evita clicar nesse link em um e-mail quando eles oferecem ingressos para o Super Bowl por $5 na suíte VIP. Então, apesar de tudo isso, ainda clicamos com o botão direito. Ainda acessamos aquele site que não deveríamos acessar, certo? Ainda fornecemos nossos detalhes em um telefonema quando a pessoa está sendo nossa melhor amiga. Então, por que, apesar de toda essa educação, por que ainda não é? Por que você não chegou a um ponto em que nos paramos?

Dr. Erik Huffman 28:30

Sim, acho que minha opinião sincera é que passamos tanto tempo na conscientização sobre segurança cibernética que nem sequer exploramos a preparação para a segurança cibernética. Nós nos esforçamos tanto para conscientizar as pessoas sobre o problema que não preparamos as pessoas para os problemas que existem. Como neste momento, direi que a maioria das pessoas está consciente, então você não deve ensinar a conscientização. Precisamos começar a avançar em direção à preparação. Na engenharia social digital e no phishing, nada mais é do que marketing malicioso. E toda empresa sabe que o marketing funciona. É por isso que investimos bilhões de dólares nela. O marketing funciona. E então, marketing malicioso, por que isso não funcionaria? Porque está atacando, está atacando o humano. É se basear nos princípios de influência desse ser humano. E todos nós temos esses princípios de influência que existem para nós e, portanto, isso depende apenas de como o atacante está escolhendo alcançar a pessoa. Seus princípios de influência são diferentes dos meus princípios de influência. Então, as coisas em que você clicaria são diferentes das coisas em que eu clicaria. E ainda nem começamos a preparar as pessoas para a conversa de que elas, como pessoa, serão atacadas. Nós conscientizamos as pessoas sobre ameaças técnicas. Além disso, essas ameaças técnicas parecem muito difíceis de fazer. Parece muito difícil para uma pessoa que não gosta de tecnologia; parece que, ei, você precisa, nem mesmo verificar cabeçalhos de e-mail, é fácil, mas começamos a falar sobre portas traseiras e coisas assim. Mas se analisássemos o problema e disséssemos, o que eles tentarão fazer é enganar você como pessoa. E para que você nos ajude com o problema de segurança, precisamos que você não se deixe enganar. O que eles tentarão fazer é usar sua principal influência de gostar. Jogue com seu princípio de influência, reciprocidade e curiosidade. Coisas assim então soarão como para uma pessoa, como um funcionário comum, uma pessoa financeira ou uma pessoa de marketing, como: “Ah, eu entendo isso. Eu posso fazer isso. Por exemplo, eu não sou, não sou um especialista técnico, mas posso me proteger desse tipo de ataque.” Então, começamos a nos inclinar para a preparação. Começamos a preparar as pessoas para o problema porque a conscientização, eu não acho, é uma perda de tempo. Acho que ainda devemos continuar fazendo isso, mas é preciso dar um passo à frente disso. Precisamos dar um passo à frente disso e começar a preparar as pessoas para os tipos de ameaças que existem, como elas as atacarão especificamente e quais vulnerabilidades elas têm como pessoa, e realmente nos apoiar nisso. Por exemplo, agora, é muito difícil encontrar um emprego e as pessoas têm medo de perder seus empregos, especialmente em tecnologia. As demissões de tecnologia estão ficando loucas. Garanto que, se você enviar uma mensagem sobre demissões em uma campanha de phishing, as pessoas clicarão. Não é porque eles são estúpidos. É que essas pessoas estão com medo de seus empregos. Eles estão preocupados com isso. E esses são os tipos de ameaças que começamos a ver que têm mais sucesso. Os dias do príncipe nigeriano acabaram. Você sabe, as pessoas ainda enviam coisas assim, mas quando se trata de atingir a pessoa intencionalmente, as pessoas ficam com medo e não querem pensar duas vezes. Eles só querem ajudar o CEO porque têm medo do CEO porque têm medo de perder o emprego; isso é uma vulnerabilidade humana. E todo mundo tem um. Essa é, tipo, uma pessoa má, tipo, uma pessoa ruim, muito vulnerável neste momento. E para citar, sem aspas, corrigir essa vulnerabilidade pode precisar ser uma mensagem do CEO. Por exemplo, se houvesse apenas uma demissão, as pessoas precisassem ouvir isso do CEO e precisassem ouvir a honestidade. Se você acabou de demitir cerca de 20% da sua empresa, garanto que os outros 80% da sua empresa estão com medo da próxima demissão. E então, onde está essa vulnerabilidade de phishing? A que ponto está ligada essa vulnerabilidade da engenharia social digital? Provavelmente seu nome, Sr., Sra., Senhorita CEO. Porque se você mandar uma mensagem para outra pessoa. Eu garanto que eles vão viver. Eles vão ouvir e não vão querer questioná-lo porque estão com medo de seu trabalho, que é da natureza humana.

Raghu Nandakumara 33:09

Sim, sim. Então, acho que uma pequena coisa em que vou discordar de você é que não acho que o príncipe nigeriano tenha ido embora. Diz que o príncipe agora está armado com um grande modelo de linguagem que é capaz de gerar e-mails tão direcionados e personalizados, certo, que você realmente o vê por outra coisa e acha que é genuíno e um truque. Mas eu quero falar sobre vulnerabilidade, sobre vulnerabilidade e preparação humanas. Então, o que você disse é que somos muito bons em conscientização, certo? E eu concordo, certo? E você pode ver que isso foi além do ambiente de trabalho, e agora é mais ou menos como se as crianças de quando estavam quase no jardim de infância fossem educadas sobre a consciência cibernética, certo? E isso é muito importante. E você disse que precisamos nos concentrar na preparação. Então, minha pergunta para você é: é quando tudo é justo e adorável, certo? Somos capazes de tomar decisões relativamente racionais e objetivas. Mas, como você sabe, atacantes, hackers e criminosos estão atacando. Eles traçaram o perfil de seus alvos de forma que os alvejam quando estão mais vulneráveis. Então, como você se prepara para uma situação semelhante à do estado em que você está mais vulnerável e como você ainda pode agir de forma a garantir que você esteja se protegendo adequadamente?

Dr. Erik Huffman 34:38

Sim, essa é uma pergunta fantástica, porque essa é a etapa que as organizações precisam dar. Muito disso é sobre autorreflexão, mas muito disso é entender o meio ambiente. Então, quando se trata de entender ambientes, como se você fosse para um país onde nunca esteve antes, garanto que, se você tiver uma mochila, ficará muito mais consciente do que está acontecendo ao redor dessa mochila. Se você é mulher ou homem e está carregando uma bolsa ou algum tipo de bolsa, garanto que você vai apertar a bolsa um pouco mais. No entanto, quando você está on-line, o ambiente físico ao seu redor não muda, mas em seu ambiente digital, você pode estar na terra de ninguém. Você pode estar em algum lugar estranho e estranho, mas como o ambiente físico ao seu redor não muda, seu cérebro como pessoa, biologicamente, não está vendo as ameaças. Não vê as ameaças da mesma forma. Especialmente algumas organizações, muitas organizações com as quais eu concordo muito, você sabe, trabalham em casa. Se você trabalha em casa, fica muito mais confortável. Portanto, seu estado mais vulnerável como pessoa on-line é diferente do estado mais vulnerável fisicamente. Por exemplo, se você estiver confortável, você é mais hackeável. É como se você se sentisse confortável em seu ambiente físico, seria mais provável que pensasse: “Ei, vou pegar minha mochila e talvez deixá-la em algum lugar”. E volte a dizer: Oh cara, eu esqueci totalmente. Mas se você estiver em um país estrangeiro, provavelmente não está esquecendo aquela mochila. Mas online, digitalmente, se você se sentir confortável, você não pensa: “Ei, deixe-me verificar isso. Deixe-me verificar isso.” Porque, como humano, como o idioma padrão, se for um idioma escrito, a voz padrão que você lê é a sua, e porque você está lendo com sua própria voz. Você está recebendo todas essas mensagens, todos esses comandos, com uma voz amigável e confiável, porque a maioria das pessoas confia em si mesmas, gosta de si mesmas. Você não o está lendo na voz da pessoa que o enviou, a menos que veja o nome de um ente querido ou de alguém que você conhece, então você começa a lê-lo na voz dessa pessoa. Então, como atacante, posso fazer com que quem diga o que eu quiser, porque é isso que eu gosto de chamar de autenticação por fator humano. Você vê o nome, depois vê a mensagem e confia na mensagem. Você sabe que precisa ser capaz de verificar essas coisas. Então, quando começamos a passar da consciência para a preparação, muito disso vai para a compreensão do ambiente e para a compreensão do eu. E se você entender o ambiente em que está, estará em uma posição um pouco melhor e melhor. E se você entende a si mesmo e como recebe informações e as vulnerabilidades que você tem como pessoa, então você está em um lugar melhor. Tudo começou quando recebi uma mensagem de uma impostora, me impondo como minha mãe. Então, você sabe, eu conheço a voz da minha mãe, mulher e homem negros do sul, a voz mais amigável na minha cabeça. Então, quando vejo que recebo essa informação, estou recebendo essa informação na voz dela. E é difícil dizer “não”. Você sabe, é mais ou menos assim. E a IA está pegando isso, e está virando isso como uma louca agora.

Raghu Nandakumara 38:11

Sim, com certeza. Na verdade, para aqueles que ainda não ouviram o Dr. Huffman contar essa história, eu realmente encorajo vocês a assistirem ao vídeo de sua palestra no TEDx, que é contada da maneira mais brilhante e brilhante. Colocaremos o link nas notas do programa. Então, quando pensamos em um tipo de preparação e em sermos capazes, eu acho, de estarmos preparados mesmo em tempos de estresse e vulnerabilidade, certo? Então, todas essas coisas, e essas são coisas difíceis de desenvolver, como podemos criar um programa robusto de preparação cibernética?

Dr. Erik Huffman 38:49

Sim, então faça isso, você tem que fazer duas coisas, na verdade. Você precisa fazer uma avaliação de ameaças e uma avaliação de enfrentamento. E eu encorajo cada pessoa a fazer isso por si mesma, sem dizer, ei, toda organização precisa fazer isso em uma organização com metas de alto valor. Você pode fazer isso com eles. Você pode fazer uma avaliação de ameaças e uma avaliação de enfrentamento. O que é uma avaliação de ameaças, quais vulnerabilidades ou ameaças existem para essa pessoa em particular e quais riscos existem para essa pessoa em particular? E então, a avaliação de enfrentamento é: quais habilidades e como elas reagiriam se esses riscos ocorressem. E então, ao fazer sua avaliação de ameaças, você apenas diz, ei, como faço para lidar com esse risco específico? Como faço para lidar com essa instância específica? Quais ameaças existem de forma realista, não apenas para o trabalho, mas para a pessoa e para elas mesmas que existem? Portanto, se você fizer isso pessoalmente, poderá ser muito mais realista ou muito mais pessoal com algumas das ameaças que existem para você. E então, com base nisso, você pode fazer uma avaliação de enfrentamento. Sim, e então essa avaliação de enfrentamento é: quais habilidades a pessoa tem, ou qual sistema de apoio ela precisa para se preparar melhor para esses riscos que existem lá fora. Fazer essas duas avaliações colocará você anos-luz à frente da maioria das organizações, porque essas são coisas psicológicas que as pessoas deveriam fazer, como quando enfrentam traumas ou estão em terapia. A maioria dos psicólogos lhe dirá: ei, faça uma avaliação de ameaças. Faça uma avaliação de enfrentamento para ver onde você está, e tão rápida quanto um exemplo rápido. Então, se você fosse fazer uma avaliação de ameaças, a pergunta que você pode fazer é: o que você poderia ou deveria fazer para reduzir esse risco específico desse problema? Insira como espaços em branco, qualquer que seja o risco que exista. Qual é a sua experiência com essa ameaça específica ou com essa coisa específica que existe lá fora? E então outra pergunta que você pode fazer, meio que fora da minha cabeça, é: como você evita lidar com esse risco específico que existe? Então, a partir daí, você obtém uma compreensão abrangente da pessoa e do risco que existe como ela está, como essa pessoa está trabalhando dentro, dentro da organização, se você quiser se aprofundar, se estiver fazendo um sozinho ou se quiser fazer uma pergunta profunda a alguém ao fazer uma avaliação de ameaças: como você sabe que está chateado? E quando você está chateado, você esconde isso de si mesmo? Então, se eles são realistas, digamos: Como eu sei que estou chateado? Sabe, normalmente eu começo a apertar meus punhos ou palmas, fico suado ou algo parecido. Por exemplo, existem alguns sinais reveladores para mim, pessoalmente, quando fico chateada. Você esconde isso de si mesmo e dos outros? Tipo, sim, sim. Normalmente, eu apenas guardo isso, então é tipo, então se você está em um momento de alto estresse, provavelmente não está demonstrando o estresse e está escondendo isso de si mesmo. Então você entende esse risco, entende a ameaça que existe para essa pessoa e, em seguida, lidar com a mesma ameaça pode ser, e quando essa ameaça ocorre, como você pode ver essa situação específica? E então você começa, é chamado de pensamento de camada de teste. Vai do que é a ameaça ao que você poderia fazer com a ameaça? Para quais são as possibilidades certas? Tipo, de que outra forma você poderia ver essa ameaça? Como se essa ameaça não pudesse desaparecer. De que outra forma você poderia ver essa ameaça? E então você está dando à pessoa ferramentas sobre como avaliar e lidar melhor com as situações que ela pode enfrentar no trabalho. E então é como você poderia mudar sua resposta a esse problema? Quero dizer, se você está mudando sua resposta ao problema, na verdade está dando a eles ferramentas para mudar seu comportamento. Então, em vez de alertá-lo sobre as coisas que ocorrem, como a conscientização sobre segurança cibernética, estou preparando você. Estou mostrando o que existe para você e estou lhe dando as ferramentas para se preparar para quando elas ocorrerem. Se a ameaça não desaparecer, você precisa entender como a vê e como pode mudar a situação dessa ameaça para estar melhor preparado para ela. Então, se você está recebendo e-mails direcionados, ou se está recebendo mensagens ou chamadas direcionadas, ou se está recebendo deepfakes de IA de pessoas específicas, você pode se preparar melhor para quando ver essas coisas que existem, há muita coisa que você pode fazer. Portanto, as avaliações de enfrentamento, as avaliações de ameaças que surgirão seriam a virada de jogo absoluta para as organizações, devido às ameaças que existem. Se você está apenas escolhendo ameaças, não escolha qualquer ameaça aleatória. Escolha ameaças com valor. Como se houvesse 1000 ameaças para cada pessoa. Todos sabemos que, como se tudo pudesse acontecer, escolha ameaças com valor. Depois de escolher ameaças com valor, ajude a pessoa a entender qual é a percepção da gravidade dessa ameaça, porque ela pode não enxergar a gravidade ou achar que a ameaça é muito mais grave do que realmente é. Se achar que a ameaça é muito mais grave do que na verdade é a zona Cachinhos Dourados, para alguém que vai clicar em algo ou ser vítima de engenharia social, a ameaça nem é tão séria. Como o CEO, eles provavelmente não vão demitir você. Você não deve ter medo do seu trabalho, mas a ameaça percebida, a gravidade dessa ameaça, está lá em cima, e a vulnerabilidade percebida de que eles têm profissionais de segurança cibernética, somos vítimas disso o tempo todo. Eu entendo a tecnologia, então não vou ser vítima da engenharia social digital para perceber que a vulnerabilidade é insana. Tipo, sim, você vai, eu acho que você, sim, você pode, porque não é um problema de tecnologia. É um problema humano e, em seguida, os benefícios associados que ocorrem. A partir disso. Então, o enfrentamento é tudo o que eu expliquei. E então, uma coisa a acrescentar ao enfrentamento é que, com base em sua avaliação de enfrentamento, o que você vai construir é mais autoeficácia, porque o que descobrimos são pessoas que odeiam microgerenciamento, pessoas que se automonitoram, tipo, provavelmente você e eu odiamos microgerenciamento. Sou muito automotivado. Eu não preciso ser tipo, olhado. Somos vítimas da engenharia social muito mais do que pessoas que confiam em outras pessoas. Porque eu estou lá fora, eu estou lá sozinha, tipo, deixe-me fazer meu trabalho. Estou bem e, por causa disso, confio em mim mesmo. Estou mais isolado. E como estou mais isolado, vou ter que tomar decisões sozinho. Então, engenharia social, você está realmente falando, você está realmente conversando cara a cara com o engenheiro social e o ator da ameaça. Portanto, é mais provável que você seja vítima de uma tentativa de engenharia social, assim como eu faria, e com essa avaliação de enfrentamento. O que você obteria depois disso é o controle percebido. Você pode controlar a situação? E se você percebeu o controle e consegue alinhar todas essas coisas e dar o controle da ameaça à pessoa, ela não está mais olhando para a equipe de segurança, pois, ei, você vai me salvar de todos os erros que eu possa cometer. Eu absolutamente não posso salvá-lo de todos os erros, porque se você começar a se juntar ao agente da ameaça e der a ele as chaves do reino, não há nada que eu possa fazer para salvá-lo. E então esse controle percebido agora você percebeu o controle da situação com precisão. Porque agora, se você percebe que o controle como usuário é que a equipe de segurança vai me salvar, os filtros de spam vão me salvar? Temos todas essas ferramentas de segurança disponíveis, como: não preciso me preocupar com engenharia social. Sim, você sabe. Sua percepção de controle da situação é que você não tem controle, e eu prometo que você tem controle. Desculpe, essa foi uma resposta longa. Sou apaixonado por isso.

Raghu Nandakumara 47:09

Não, eu adoro isso. Acho que é uma ótima resposta. E eu acho que é muito importante porque, novamente, eu gostaria de resumir, certo? É essa mudança da consciência para a preparação, certo? A consciência é ótima, mas é basicamente inútil se você não estiver preparado para agir de acordo com essa consciência. E eu acho que você meio que gosta de você depois de resumir, então os caminhos que nos levam a uma melhor preparação.

Dr. Erik Huffman 47:35

Sim, exatamente porque, tipo, estar atento é como, se você dirige um carro, acidentes de carro ocorrem, estar preparado é colocar o cinto de segurança, sim, e quando você dirige, acho que a maioria das pessoas, todo mundo deveria estar preparado para um acidente. Você sabe, obviamente, você quer ter, você quer colocar o cinto de segurança, para o caso de algo acontecer. Além disso, a preparação da indústria automotiva é: ei, temos airbags e todas essas coisas. O carro foi projetado para ser mais seguro se algo acontecesse, e você coloca o cinto de segurança e está preparado para o caso de algo acontecer. Esperamos que isso aconteça, mas você está preparado para isso. E no momento, não temos cinto de segurança. Não temos cinto de segurança cibernética. Nós só temos um monte de vídeos e muita consciência do que pode acontecer, e o que fizemos recentemente é que, psicologicamente, assustamos todo mundo que deveríamos ter preparado. Sim, todo mundo tem medo dessa ameaça que existe, mas precisamos prepará-los para ela, porque a velocidade dos negócios não vai diminuir. Não podemos dizer “a internet vai embora”. É muito perigoso não acontecer. Não é realista. Portanto, precisamos prepará-lo para o ambiente em que, sem dúvida, você terá que viver e operá-lo como acontece com os carros. Você poderia tentar outros meios de chegar ao trabalho, meios mais seguros, mas provavelmente, se quiser manter o emprego, não quer começar a pedalar uma bicicleta à meia-noite para chegar ao trabalho em um horário decente, terá que se preparar para um potencial acidente de carro. Espero que isso não aconteça. Mas se você enfrentar esse tipo de ameaça que existe, coloque o cinto de segurança para ficar bem. E agora, se você acabar enfrentando um agente de ameaças muito bem equipado, especialmente agora que a IA e os deepfakes estão chegando para todos, podemos abordar isso e dizer que, como se estivessem chegando para todos, você precisa se preparar melhor para os tipos de ameaças que enfrentará como pessoa. E isso não inclui trabalhar como programar, programar e programar com um agente de ameaças, como se você o perdesse. Mas se você puder se preparar, se puder se preparar psicologicamente, poderá evitar que eles cheguem tão longe. Você pode evitar que eles explorem você como pessoa. Porque, no momento, 90% do problema não é igual. Os humanos são o elo mais fraco. Isso não é verdade. Acredito que, como humanos, temos o maior número de vulnerabilidades. Nós simplesmente temos o maior número de vulnerabilidades. Não somos o elo mais fraco. Nós mesmos bloqueamos muitas ameaças, mas temos uma quantidade enorme de vulnerabilidades únicas das quais a tecnologia não pode nos salvar. Isso é

Raghu Nandakumara 50:17

fascinante. Adoro a analogia do cinto de segurança. E, de fato, se você não se importa, vou ver de que tipo porque, como você disse, a razão pela qual você usa o cinto de segurança, a razão pela qual o carro tem todos os vários recursos de segurança semelhantes, é porque está dizendo que, no caso de um acidente, queremos que você esteja o mais seguro possível, certo? Então, com isso, você acha que uma estratégia de Zero Trust, uma abordagem Zero Trust, e já falamos sobre como, como um ataque, é uma inevitabilidade, certo? O atacante encontrará uma maneira de ter sucesso, da mesma forma que nunca poderemos eliminar todos os acidentes de trânsito nesse cenário. Você acha que adotar uma estratégia Zero Trust é como ter esses recursos de segurança em um carro? Ele prepara melhor uma organização para esse inevitável ataque cibernético.

Dr. Erik Huffman 51:10

Eu definitivamente acho que sim. Portanto, se sua organização, porque o que somos, do qual estamos falando, está tentando criar um comportamento de Zero Trust nas pessoas ao lerem coisas ou interagirem com pessoas ou outras entidades on-line, e, como organização, se elas construírem uma infraestrutura de Zero Trust, esse é o melhor cenário para as organizações. Não é nem mesmo confiar, mas verificar. É verificar. Você sabe, porque começamos a dizer, ei, confie, mas verifique. Você pode confiar, mas verifique se é verdade. Tipo, não, não confie em nada. Você sabe, basta verificar, verificar tudo. Porque Zero Trust, pelo que é. Não é um produto. É uma mentalidade ou um conceito que uma organização inteira deve seguir. Você simplesmente não pode comprar algo e dizer: Ei, agora somos Zero Trust. Você precisa implementar vários comportamentos diferentes. Então, eu diria a alguns que você não é totalmente Zero Trust, mesmo que tenha feito isso de uma perspectiva técnica, se não olhou para as pessoas e lhes deu o poder de ser Zero Trust. Então, se você é tão autoritário em seu comportamento como uma organização em que eles não podem questioná-lo, você está dizendo a eles que confiem inatamente em qualquer coisa que venha de você. Isso não é Zero Trust. Então eu acho que um tem que acontecer com o outro, como se você tivesse que ser Zero Trust como organização em seu comportamento, e você tem que ser Zero Trust como organização do ponto de vista técnico.

Raghu Nandakumara 52:43

Sim, com certeza. Eu acho que isso está certo. Então, continuando a partir daí. E mergulhamos nossos pés aqui e ali na IA, exatamente durante o processo dessa conversa. Então, quero dizer, estou meio que voltando à raiz disso na ciberpsicologia por causa de tudo o que falamos. Se agora abordarmos o fato de que a IA é uma realidade, certo? Nós o usamos no dia a dia, em nossos trabalhos, certo? Em nossas vidas. Mas se pensarmos sobre isso do ponto de vista da psicologia, isso realmente atrapalha muito, porque agora, como nossa capacidade de discernir a realidade da ficção, é muito difícil, certo? Sim, só que a dificuldade aumentou muito. Então, como isso funciona na sua área?

Dr. Erik Huffman 53:37

Oh, foram necessárias muitas coisas nas quais trabalhei por anos e as destruiu. Não, piadas à parte. Isso adiciona muita complexidade. Porque de um humano, quando digo que você está lendo sua própria voz, é exatamente isso que acontece. Então, se você alguma vez assistiu a um filme, lê um livro, um livro muito bom, e depois assiste ao filme, e fica decepcionado de todos os tempos, porque todo mundo parece errado, todo mundo parece errado, e a pessoa que criou esse filme foi uma das pessoas que escreveu o livro, e você está dizendo que ela está errada, porque quando você constrói, quando você lê, você constrói esse personagem em sua cabeça, e então você simplesmente, você começa a ler na voz deles e aceita isso como norma. Quando se trata de IA, agora posso pegar todo esse trabalho mental que você faz e descartá-lo. Eu posso fazer você ver o que eu quero que você veja, e eu posso fazer você ouvir o que eu quero que você ouça da maneira que eu quero que você ouça. Anteriormente, é por isso que os memes nunca foram enviados como ataques de ameaça. Você sabe, como se eles não estivessem enviando memes porque você vê, e então todas as suas defesas biológicas aumentam, e então você simplesmente diz, Não, isso não é real. Mas, como IA agora, posso acrescentar o gosto, o princípio do gostar. Posso te mostrar um homem, mulher ou quem quer que seja atraente, e então você terá mais chances de receber algumas dessas informações. Posso ter um vídeo do seu CEO dizendo, na voz dele, que você faça o que eles fazem e o que eu quero que você faça, e é mais provável que você o receba. Posso fazer uma pose falsa profunda como a sua e enviá-la para outra pessoa, e é mais provável que ela a receba. As defesas biológicas são um perigo mais estranho quando você olha para alguém e elas lentamente dissolvem essas coisas, e à medida que continuamos evoluindo, porque o objetivo da IA é não ser detectável por humanos que é IA. E isso significa, do ponto de vista da segurança, que eu preciso que seja falso o suficiente para que eu possa perceber. E agora, está ficando um pouco bom demais, e é difícil dizer, como se o CFO tivesse enviado dinheiro para outros cFos por meio de uma farsa profunda porque eles os ouviram dizer isso no telefone. Isso já aconteceu. E a IA nem é tão boa no momento. Ainda está em sua embaixada. Mas quando ficar muito, muito bom, essas defesas biológicas que temos quando vemos a música vão se despedaçar, porque agora você não pode confiar no que lê, não pode tocar, não pode confiar no que vê, não pode confiar no que ouve. É melhor que sejamos Zero Trust a essa altura, porque vai ficar muito assustador lá fora.

Raghu Nandakumara 56:32

E acho que também nesse ponto, toda essa questão de preparação, de repente voltamos à estaca zero, certo, tendo que reiniciar completamente e começar de novo.

Dr. Erik Huffman 56:44

Definitivamente, porque os agentes de ameaças, como tudo o que construímos anteriormente, os agentes de ameaças encontraram uma maneira brilhante de usá-lo contra nós. Por exemplo, a criptografia foi projetada para ser uma ferramenta de segurança e é uma ferramenta de segurança porque foi projetada para manter nossas informações confidenciais. O que os agentes de ameaças fizeram foi pegar isso e criar um ransomware e dizer: Ei, vamos usar criptografia, criptografar seus próprios dados e fazer com que você compre seus próprios dados de volta. Então, quando se trata de IA, ainda estamos vendo alguns ataques de IA começarem a acontecer. Mas, à medida que os agentes de ameaças começarem a entender a IA e como usá-la contra o comportamento humano, isso será muito importante quando se trata de engenharia social digital. Tipo, ei, agora eu posso fazer essa pessoa ver o que eu quero que ela veja e ouça o que eu quero que ela ouça, como eu posso? Como posso aproveitar isso para meu próprio ganho pessoal? Como as organizações já estão tentando aproveitá-la para seu próprio ganho pessoal por meio de diferentes anúncios e campanhas de marketing que existem no mercado. O agente da ameaça vai começar a usar isso contra nós, pois eu posso aproveitar esses princípios de influência das pessoas, e você pode fazer uma chamada do Zoom ou fazer uma videochamada de qualquer tipo com alguém e conversar com uma versão deepfake de quem quer que seja. E você sente que é real e está empolgado com isso, mas, na verdade, não é. É como, ei, pode ser o que quer que seja, uma marca falsa, uma chamada de vendas falsa, qualquer coisa que as pessoas precisem estar preparadas para enfrentar esse tipo de coisa, até mesmo deepfakes no Voice Now por telefone, tipo, você pode saber que está falando com quem você acha que está confiando antes de falar, tipo, ei, a resposta era: eu pegaria o telefone e ligaria para essa pessoa. Essa é a resposta? Vou pegar o telefone e ligar para essa pessoa. Ei, você sabe, Susan, é isso? Você gosta de, Sim, você tem certeza? Eu meio que acho que, sim, você me liga. Então você tipo, oh, sim, eu ligo para você. Então, na verdade, vai mudar o jogo da engenharia social digital. E já estamos começando a ver que um pouco, eu acho, vai se catapultar para a estratosfera nos próximos cinco anos.

Raghu Nandakumara 59:06

Acho que é quase no ponto em que até mesmo esses tipos de interações não físicas, em que, digamos, seja por telefone, quase teremos que encontrar uma maneira de usar várias maneiras de validar a identidade, certo? Teremos que fazer o mesmo direito de dizer: “Ei, eu sou o Dr. Huffman. Você pode validar? Você pode se identificar” por qualquer rosto, identidade, etc., para que eu possa confirmar que estou falando com você antes do resto da conversa? Então eu acho que é aí que, tipo, toda a forma como abordamos a preparação e até a consciência, até certo ponto, vai mudar muito nos próximos anos. E eu acho que, quero dizer, você está na vanguarda disso, que ainda devemos estar no início de onde podemos criar como será essa preparação.

Dr. Erik Huffman 59:58

Ah, sim, com certeza. Acho que não examinamos isso com atenção suficiente. Passamos muito tempo na conscientização. Acho que a maioria das pessoas nem mesmo começou com uma preparação fora da técnica, quando começamos a falar sobre ameaças psicológicas. Trabalhei com algumas organizações e elas perguntaram a mesma coisa: “Ei, você poderia se verificar antes de ligar? Tipo, o que devemos fazer?” Eu estava tipo, se você tem, esta era uma entidade governamental, tipo, se você tem algo super secreto, super importante, você pode ter, tipo, uma frase de código, tipo, quando a vaca pula sobre a lua, meu estômago dói, você sabe, algo parecido com isso, algo que deepfakes nem chegou perto, como se você não pudesse fingir que se é tão confidencial, se é tão secreto, você pode precisar ir tão longe, porque se você está preocupado com o fato de que, ei, alguém, alguma coisa ou alguma organização esteja realmente mirando em você dessa maneira, e você não consiga fazer isso longe. Talvez você precise ir tão longe porque o vocal deep falsifica, agora está reduzido para menos de 20 segundos. 20 segundos de dados vocais treinarão um deepfake para soar bem. Você sabe, porque ouvimos música o tempo todo. É como se os músicos não morressem mais. Como se você pudesse obter um novo disco de Elvis. Você pode comprar um novo Michael Jackson, France Tupac, você sabe, e parece bom. E as pessoas estão lançando músicas agora, e as pessoas, outras pessoas dizem, isso soa como IA, mas na verdade são apenas os artistas em sua nova música. São pessoas, um artista lança uma música, e é tipo, não sou eu, é IA. E à medida que fica tão bom e começa a ser treinado com outras pessoas, figuras públicas ou pessoas com as quais você nem está familiarizado, vai ser difícil confiar até mesmo nos dados vocais, e logo será difícil confiar no que você vê on-line, então essa postura de Zero Trust também terá que acontecer do ponto de vista psicológico para as pessoas. Caso contrário, 90% permanecerão em 90% e permanecerão estagnados ou, se não subirem, os agentes de ameaças escolherão a coisa mais vulnerável, por exemplo, se eu conseguir que você me dê suas credenciais, não importa o que você possa fazer. Não importa o que você possa fazer. Absolutamente

Raghu Nandakumara 1:02:24

Quero dizer, falando sobre artistas, eu diria que desde que o autotune foi introduzido, não sabemos se estamos ouvindo o verdadeiro artista ou não, mas você disse que não podemos confiar no que vemos.

Dra. Huffman TIMESTAMP

À medida que a IA e as falsificações profundas começam a surgir, os agentes de ameaças começam a optar por usar algumas dessas coisas contra nós. É claro, não dá para perceber, mas ficou ainda pior quando começamos, tipo, filtros de fotografia, sim, você começa a adicionar filtros a eles. É como, ei, nossa IA é real, mas filtramos todo mundo. Sim, caiu ainda mais porque as pessoas simplesmente não conseguem perceber. E isso está em sua infância. Existe uma inteligência artificial ruim por aí, porque, você sabe, muitas pessoas olham como os dedos, você sabe, há cerca de sete oito dedos em uma mão para revelá-la. Mas as boas que existem lá fora, e as modernas, estão começando a melhorar, como se as mãos começassem a ter apenas cinco dedos, em vez de membros extras ou algo parecido. Isso está apenas nos levando a perguntar como nós, como público, incluindo profissionais de segurança, podemos ver a diferença? E porque não podemos ver a diferença agora, como é agora, o quê e os atores da ameaça. Sabemos que essa é uma vulnerabilidade em que, mesmo que você olhe, dê uma olhada, não dá para perceber os dados vocais se temos vídeos agora. É o último estudo sobre vídeos de IA que existe, cerca de 30% 35% no momento, ainda não estamos perto da saturação de dados, então, mas ainda é menos do que um lançamento de moeda, o que ainda me diz que não sabemos a diferença. Se pudermos notar a diferença como público, o número que eu estava procurando é maior que 70%, porque isso significa que é mais do que um lançamento de moeda. É muito mais do que uma moeda, você pode realmente notar, a diferença é menor do que um lançamento de moeda, e é muito menos do que um lançamento de moeda. Não podemos dizer a diferença entre o que é real e o que foi manipulado por computadores.

Raghu Nandakumara TIMESTAMP

Quer dizer, Dr. Huffman, sei que gravamos há muito tempo aqui. Dediquei muito do seu tempo, mas você não me deixa com muita esperança com o argumento que disse, já hoje, de que a probabilidade de podermos olhar para uma imagem, ouvir um som e determinar com precisão se ela é falsa ou real é significativamente menor do que lançar uma moeda. E então, à medida que alimentamos esses modelos de IA com mais dados, certo? Eles só vão melhorar. Então, assim como transmitimos sua mensagem, temos que repensar, potencialmente, como apresentamos a consciência. Nós absolutamente temos que repensar a forma como nos criamos. Mais preparados para a forma como reagimos ao fato de sermos vítimas de ataques cibernéticos como indivíduos ou organizações. Mas acho que o ponto principal que você está enfatizando aqui é que precisamos realmente pensar assim, mas não podemos necessariamente deixar o tipo de emoção humana de fora disso, certo? É fundamental para a forma como nos preparamos uns aos outros, como reagimos nessas situações, e essa é a única maneira de melhorarmos coletivamente o gerenciamento de incidentes cibernéticos,

Dr. Erik Huffman TIMESTAMP

Definitivamente, e eu diria que nem toda esperança está perdida. Acho que há muito progresso a ser feito por causa de tudo. Uma coisa da qual me orgulho em minha pesquisa é que não estamos vendendo nada. E há uma solução para isso aí. Existem maneiras psicológicas de lidar com isso em que não precisamos ser os 90%. Se reduzirmos os 90% a 70%, retiraremos centenas de bilhões de dólares dos cibercriminosos. Então, entender que o problema não é a tecnologia não significa, tipo, “Ei, temos que inovar algo novo. Só que temos que mudar a forma como treinamos. Temos que mudar a forma como pensamos. Precisamos entender um pouco mais o ambiente e como você é psicologicamente mais vulnerável on-line do que cara a cara. Por exemplo, ninguém forneceu as informações do cartão de crédito pessoalmente, ninguém forneceu as informações da conta bancária. Simplesmente não está acontecendo. Fazemos isso online, e é tipo, bem, eu nunca faria isso. Tipo, sim, nós fazemos, é como, no trânsito, todo mundo é péssimo em dirigir, mas ninguém é um mau motorista. Se você perguntar a eles, tipo, sim, acho que sim, você pensará que há uma maneira de chegar a todo mundo. Então, com certeza, podemos corrigir isso e resolver isso, e isso é totalmente gratuito, totalmente gratuito.

Raghu Nandakumara TIMESTAMP

Absolutamente Acho que essa é a beleza disso. Então, Dr. Huffman, foi um prazer e uma educação ter você no podcast. Eu sei quando estou me preparando. Eu sei que você é um grande fã de Will Smith, e você e eu somos grandes fãs de Fresh Prince of Bel Air. Planejamos incorporar uma espécie de aula cibernética de Fresh Prince, mas teremos que deixar isso para quando você for o próximo em nosso podcast. Mas muito obrigado. Dra. Huffman.

Dr. Erik Huffman TIMESTAMP

Sem problema algum. Sem problema algum. Muito obrigado. Amor. Agradeço isso. É fantástico.

Raghu Nandakumara TIMESTAMP

Obrigado por assistir ao episódio desta semana de The Segment. Para obter ainda mais informações e recursos do Zero Trust, confira nosso site em illumio.com. Você também pode se conectar conosco no LinkedIn e no Twitter da Illumio e, se gostar da conversa de hoje, poderá encontrar nossos outros episódios onde quer que você obtenha seus podcasts. Sou seu anfitrião, Raghu Nandakumara, e voltaremos em breve.

Voltar ao topo
Leia mais