Psicologia Social da Cibersegurança

In today's society, cyber intrusion and attacks are becoming more prevalent. No one really knows the exact motivation behind such attacks. In some cases, it may be psychological and in others it could be a way to attain an adrenaline rush by invading a high-level security system or even for strategic and political reasons. While cyber attacks have increased, the world is putting execution actions in place to safeguard our critical infrastructure. (UKEssays, 2016)


In this report we will discuss the motivations and support of cyber attacks, define the cybersecurity policy as it relates to employees and employment, separation of duties, redundancy and diversity, in addition to perform and analyze how the implementation of the access control mechanisms have a positive or negative consequence on employee productivity.


The Motivation of Cyberattacks


The motivations of online opponents are varied, from financial gain to acts of political and ideological protest or even just personal amusement. Large scale cybersecurity incidents appear to have a factor in common however, which is that they are often instigated by groups, as opposed to individuals acting alone. As such these incidents can be considered as the result of group actions and group processes, although applying traditional concepts of group structures to the online world is problematic. For example, Anonymous, one of the most publicly known hacktivist groups, is not a close cohesive group that works in cooperation, but an umbrella term for those who identify with the aims of a section. Both Lulzsec and Lizard Squad were distinct groups that evolved from the loose collective of Anonymous, each with their own profile and characteristics. It has been assumed that in some instances individuals have been coerced or manipulated into participating in online activities by members of these groups without an accurate understanding of the consequence of their actions or the risk of criminalization (Olson, 2012).


The majority of psychological research that has been done to date in this area has focused on prevention and mitigation strategies for the targets of cybersecurity incidents. There is little understanding of what motivates the opponents to select the targets in the first place, particularly in cases of hacktivism and online protest where opponents place themselves at risk of prosecution for no obvious financial gain.


Such incidents may not only result from the archetypal hacker using technological means to get into a system. Instead, cybersecurity attacks are increasingly based on social engineering techniques - the use of psychological manipulation to trick people into disclosing sensitive information or inappropriately granting access to a secure system. The combination of technological and psychological skills and techniques are resulting in more sophisticated and impactful attacks that can remain obfuscated for months or years before becoming public. (Tetri & Vuorinen, 2013)


Types of Hackers and Actors


Hackers, one of the most misunderstood and overused terms in the security industry. The terms are almost constantly attached to activities that are shady or even criminal in nature, other members of the public have even come to embrace hackers as the new social activists thwarting politicians governments, large corporations and others. But idea of ​​hacking and hacking goes way back to pre-1970, with the first technology enthusiasts who wanted to learn about new technology and were curious about how it worked. As the technology progressed these individuals moved to more complex and advanced systems available at the time. With the expansion of internet, came the hacker culture, the way of thinking about knowledge sharing and democratization of information. With that some of the brilliant hackers remain researching to the development of several technology, while others decided to use their knowledge to other motivations. (Oriyano, 2016)


According to Megan Ruesink (2017), black hat hackers are the criminals of the online world. These are the folks who give hackers a bad name. They are often for selfish reasons, exploiting individuals for money, prestige or incriminating information. These individuals have no regard for the law and often hack to commit other, bigger crimes.


White hats, also known as “ethical hackers,” may help companies and governments find holes in their networks and security by first hacking into them. They hack into the systems to discover the liabilities before the bad guys do. If they do not happen to find a security hole in the network or a flaw in software, they report these issues back to the organization so they can take the proper steps to address the vulnerabilities.


Gray hat hackers find themselves somewhere in the middle on the spectrum between helping others and self-gain. Some gray hats, referred to as hacktivists, look for ways to expose wrongdoing, exact revenge or harass a target.


State actors conduct cyber espionage, usually supported by countries such as China, Iran, Russia, North Korea, and the United States. Investigating this kind of espionage is often problematic. Specifically in the arena of hacktivism, pursuing international justice is challenging even though investigators are now more likely to identify actors. (UMUC, 2018)


A non-state actor in cyberspace is any group or individual, unaffiliated with a state, conducting malicious hacking to deliver a message, interrupt service, or further a purpose. Examples include hacktivists like Anonymous, religious groups, NGOs, and nationalist groups. In contrast to state actors, non-state actors seek attention to legitimize their cause ISIS, for instance, is a non-state cyber actor. (UMUC, 2018)


Atores estatais e não estatais conduzem igualmente ciberataques complexos, difíceis e bem-sucedidos. Da mesma forma, nos dois tipos de atores, a atribuição é igualmente difícil. No entanto, supondo que a atribuição seja estabelecida, existem diferenças nas respostas apropriadas, de acordo com o direito internacional sobre autodefesa nacional, especificamente nos princípios de necessidade e proporcionalidade. (UMUC, 2018)


Política de segurança cibernética


Sabendo que esses hackers estão presentes (ou trabalham para) várias empresas ou agências estatais, é crucial que essas organizações implementem as políticas e procedimentos apropriados de segurança cibernética para mitigar os riscos de ataques ou violações de dados.


Uma das partes mais importantes da política de segurança cibernética está relacionada a funcionários e empregos. Uma política de segurança cibernética de recursos humanos pode definir que todos os funcionários, voluntários, contratados e usuários terceirizados de informações de negócios e ativos de informações devem entender suas responsabilidades e considerados adequados para as funções em que são considerados para reduzir o risco de roubo, fraude ou uso indevido. As responsabilidades de segurança devem ser tratadas antes do emprego nas descrições de cargos e nos termos e condições de emprego associados. Onde apropriado, todos os candidatos a emprego, trabalho voluntário, contratados e usuários de terceiros devem ser selecionados adequadamente, especialmente para funções que exijam acesso a informações confidenciais. A gerência deve ser responsável por garantir a segurança aplicada através do emprego de um indivíduo na empresa. (Universidade Monash, 2018)


Dependendo do mercado ou do modelo de negócios, devem ser necessárias verificações de antecedentes, treinamentos e comunicações adicionais para garantir a conscientização sobre conformidade e segurança da informação.


Os procedimentos devem ser implementados para garantir que a saída de um funcionário, voluntário, contratado ou terceiro da empresa seja gerenciada e que o retorno de todo o equipamento e a remoção de todos os direitos de acesso sejam concluídos.


Separação de deveres


Separação de tarefas é o processo pelo qual as funções específicas para lidar com sistemas e dados confidenciais são segmentadas, de modo que nenhum indivíduo tenha controle total ou acesso a um sistema. A separação de tarefas pode reduzir as ameaças internas, limitando o acesso que qualquer pessoa tem a um sistema. Essa separação também pode servir como um sistema de freios e contrapesos para segurança. Isso diferencia os indivíduos que projetam ou testam um sistema daqueles que realizam testes ou monitoramento de segurança. O indivíduo (CISO) responsável pelo relatório de segurança da informação para a auditoria interna, desde que a auditoria interna não reporte ao executivo encarregado de finanças como o CFO. (Stewart, 2009)


Redundância e diversidade


A redundância no espaço, tempo e informação aumenta a resiliência contra falhas e alguns desafios se as defesas forem penetradas. Redundância refere-se à replicação de entidades na rede, geralmente para fornecer tolerância a falhas. No caso de uma falha ser ativada e resultar em erro, componentes redundantes podem operar e impedir uma falha no serviço. É importante observar que a redundância não impede inerentemente que os componentes redundantes compartilhem o mesmo destino, motivando a necessidade de diversidade. (Carvalho, 2014)


A diversidade está intimamente relacionada à redundância, mas tem o objetivo principal de evitar o compartilhamento do destino. A diversidade de espaço, tempo, meio e mecanismo aumenta a resiliência contra os desafios de escolhas particulares e consiste em fornecer alternativas para que, mesmo quando os desafios afetem alternativas específicas, outras alternativas evitem a degradação das operações normais. Diversas alternativas podem ser simultaneamente operacionais, caso em que se defendem contra desafios ou podem estar disponíveis para uso conforme necessário para remediar. A diversidade é uma técnica essencial para fornecer capacidade de sobrevivência. (Carvalho, 2014)


Embora a redundância e a diversidade sejam princípios gerais com uma ampla variedade de aplicativos, eles não são suficientes para impedir todos os ataques. Dado o quão difícil pode ser estender determinados sistemas de segurança com diversidade e redundância, eles não são uma solução simples que pode ser aplicada em qualquer caso, mas uma decisão de design complexa que deve ser cuidadosamente estudada para cada caso e contexto específico.


A autenticação desempenha um papel central na segurança de muitos sistemas de computação. É particularmente crítico na computação em nuvem, pois sua falha pode permitir que os invasores controlem as contas dos consumidores em nuvem e, finalmente, seus recursos e dados. Nos últimos anos, as vulnerabilidades de autenticação apareceram em ofertas e plataformas populares de nuvem. Além disso, mecanismos criptográficos que serviram como blocos de construção de protocolos de autenticação, além desses próprios protocolos, também foram considerados vulneráveis. Vulnerabilidades de dia zero desse tipo podem permitir que os consumidores da nuvem sejam invadidos sem perceber.


Em resumo, com base no estudo de Carvalho (2014), propomos o uso de redundância e diversidade para tornar os mecanismos de autenticação em nuvem resistentes a vulnerabilidades desconhecidas, de dia zero. A idéia básica é que, recorrendo a mais de um mecanismo (redundância) e possuindo mecanismos diferentes (diversidade), mesmo se um estiver comprometido, o mecanismo geral de autenticação pode permanecer seguro.


Referências


Carvalho, R. (2014, 11). Segurança de autenticação por diversidade e redundância para computação em nuvem. Recuperado do Técnico Lisboa: https://fenix.tecnico.ulisboa.pt/downloadFile/563345090413264/Tese-67069-Ricardo-Carvalho.pdf


MANDIANT. (2013). Exposição de uma das unidades de espionagem cibernética da China. Recuperado do FireEye: https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf


McAlaney, J. (2016). A psicologia social da segurança cibernética. Retirado de The British: Psychological Society: https://thepsychologist.bps.org.uk/volume-29/september/social-psychology-cybersecurity


Universidade Monash. (2018, 05). Segurança de recursos humanos (conformidade com a ISO 17799: 2006). Recuperado da Universidade Monash: http://www.policy.monash.edu/policy-bank/management/its/security-framework/chapter11.html


Olson, P. (2012). Nós somos anônimos. Nova York: Back Bay Books.


Oryiano. (2016). Guia de Estudo de Hacker Ético Certificado pela CEH. Indiana: SYBEX.


Ruesink, M. (2017). Tipos de hackers: chapéu branco versus chapéu preto e todos os tons no meio. Recuperado de Rasmussen: http://www.rasmussen.edu/degrees/technology/blog/types-of-hackers/


Sterbenz, J. & Hutchinson, D. (2012). Redundância, diversidade e conectividade para obter resiliência de rede multinível, capacidade de sobrevivência e tolerância a interrupções. Recuperado em ITTC: http://www.ittc.ku.edu/resilinets/papers/Sterbenz-Hutchison-Cetinkaya-Jabbar-Rohrer-Scholler-Smith-2012.pdf


Stewart, J. (2009). CompTIA Security + Review Guide. Recuperado em http://books.google.com/books?id=IPtl6iE56skC&pg=PA99&lpg


Tetri, P. & Vuorinen, J. (2013). Dissecando a engenharia social. Comportamento e tecnologia da informação, 1014-1023.


UKEssays. (2016, 10 e 30). Aspectos psicológicos da cibersegurança. Recuperado do UKEssays: https://www.ukessays.com/essays/security/psychological-aspects-of-cybersecurity.php


UMUC. (2018, 05). Hackers e atores. Recuperado da Universidade da UMUC University of Maryland College: https://lti.umuc.edu/contentadaptor/page/topic?keyword=Hackers%20and%20Actors

3 visualizações

Materiais feitos para você

Contato

Edifício Icon - Alameda Mamoré, 503 Conj.33

Alphaville - São Paulo

CEP 06454-040

Edifício Bolsa de ImóveisAv. das Nações Unidas, 11.541 - Brooklin, São Paulo - SP, 04578-000

 

 

 

 

Tel: +55 11 3181-8444

contato@baymetrics.com.br