A Sociedade Interamericana de Imprensa (SIP, sigla em espanhol) recebeu recentemente jornalistas dos Estados Unidos e da América Latina para a 73ª Assembleia Geral em Salt Lake City. Pela primeira vez, neste ano, foram realizados painéis sobre cibersegurança, com quase um dia inteiro dedicado ao tema.
Hoje em dia, os jornalistas e editores estão cada vez mais preocupados com a proteção de si mesmos, do trabalho e de suas fontes. Com razão, pois vivemos em um momento em que quase todos os aspectos de uma publicação são produzidos de forma online, desde a coleta de dados e a troca de arquivos, até a pesquisa, redação e, inclusive, as ligações telefônicas.
Os jornalistas se deparam com muitas ameaças digitais que estão se tornando cada vez mais sofisticadas. Os ataques de estado-nação e as campanhas de ciberespionagem estão se proliferando.
Michael Kaiser, Diretor Executivo da Aliança Nacional de Cibersegurança, foi moderador dos painéis sobre cibersegurança da SIP deste ano, que contaram com especialistas em cibersegurança do Google, ESET e Utah Valley University.
Stephen Somogyi, gerente de produtos da divisão de Segurança e Privacidade do Google, começou seus comentários reconhecendo que, apesar do painel ser focado em ameaças digitais, as ameaças físicas enfrentadas pelos jornalistas são enormes e não devem ser desconsideradas.
Jornalistas como alvo dos cibercriminosos
A discussão foi focada no motivo que faz com que os jornalistas sejam alvo dos cibercriminosos. Durante o painel, os participantes chegaram à conclusão de que os jornalistas possuem muito poder, considerando que atuam como a voz das pessoas e trabalham com informações críticas.
Os cibercriminosos ou os grupos de ciberespionagem podem tentar reter informações chave ou revelá-las em um momento e modo vantajoso para eles e/ou grupo que representam, seja um estado-nação ou uma empresa criminosa.
Segundo o pesquisador de segurança da ESET, Stephen Cobb, algumas das maiores ameaças provêm do cibercrime e da ciberespionagem bem financiados, que farão tudo que for possível para atingir seus objetivos: “Realmente os grupos mais perigosos são cibercriminosos financiados ou criadores de ameaças com recursos - quanto mais recursos, mas perigosos podem ser”.
"os grupos mais perigosos são cibercriminosos financiados ou criadores de ameaças com recursos"
Cobb destacou como exemplo o governo mexicano, que comprou spyware comercial e, supostamente, o usou para atacar jornalistas, como Carmen Aristegui, repórter que expôs os maiores casos de corrupção do governo até o momento. Estes tipos de ferramentas nas mãos de empresas bem financiadas podem ser usados contra os jornalistas através da intimidação e do assédio.
Robert Jorgensen, Diretor do Programa de Cibersegurança da Utah Valley University, falou sobre os criadores de ameaças que buscam informações pessoais: “Existe um perigo real e presente de pessoas que se passam por jornalistas ou retiram a credibilidade desses profissionais e de suas fontes. Quando a imprensa é a voz das pessoas e a sua integridade é comprometida, as consequências podem ser gigantescas.
Kaiser questionou o que é possível fazer, inclusive diante das empresas que são financiadas: “Quando você se coloca na pele de um jornalista ou de alguém como um editor, como é possível compreender os riscos e construir uma proteção ao redor desses riscos?”.
Para os jornalistas pode existir uma diversidade enorme de sites, onde podem surgir vários ataques - por isso o conceito de gestão de riscos é muito importante. Além disso, os editores e os diretores de empresas jornalísticas devem participar e fazer perguntas sobre a segurança, da mesma forma como fazem com os equipamentos, utilizando ferramentas de TI, contratadas de forma externa ou interna.
Conhecer os riscos que existem e a forma como reduzi-los é fundamental. “É necessário reavaliar constantemente as formas de avaliação sobre o risco”, disse Cobb. É um processo contínuo no qual jornalistas e editores devem participar, recebendo capacitação de forma regular. Somogyi destacou que é preciso questionar sobre o que proteger e quanto tempo será necessário para isso.
“Quando interajo com jornalistas, sempre ficam entusiasmados com as coisas do estilo James Bond. No entanto, na verdade, o que poderá colocar você e suas fontes em um problema são os ataques mais comuns”, disse Somogyi.
Somogyi falou sobre os ataques DDoS, que explicou usando uma analogia: Você passou 15 dias sem dormir e 15 crianças pedem a sua atenção. Não é possível continuar...”. Tecnicamente, este tipo de ataque inunda um servidor com tráfego que faz com que o site não possa ser acessado. Isso pode fazer com que um editor de uma página não possa transmitir notícias.
“Este é um tipo de ataque que é relativamente fácil de ser executado. É algo muito frio, calculista e sem piedade”, disse Somogyi.
Compreendendo os riscos
O painel concluiu que a cadeia de suprimentos cria muitos riscos. Os ataques podem ocorrer ou serem gerados fora de uma empresa, em algum lugar na cadeia de suprimentos, onde não é possível ter controle sobre a segurança dos fornecedores. A questão da cadeia de suprimentos é comum no setor de entretenimento, mas também é um grande risco para editores e empresas jornalísticas.
“Também existem riscos na cadeia de fornecimento do software. Se você usa um software – todas as empresas fazem isso – saiba que os criminosos continuarão desenvolvendo ataques que modificam o software desde a fonte, o que destaca a necessidade da inteligência sobre ameaças”, disse Cobb.
um ataque ddos pode fazer com que um editor de uma página não possa transmitir notícias
Matthew Sander, presidente da PIC, sinalizou que estamos em um “cyber nexus”, e perguntou por onde começar neste “sofisticado problema de saúde pública da cibersegurança”.
"Há uma série de estruturas que devem ser levadas em conta", disse Jorgensen. Na realidade comece com a produção de um inventário do dispositivo e software. Inicie aos poucos e só se preocupe com as coisas maiores com o passar do tempo”.
"A comunicação entre pares é uma coisa muito boa", disse Somogyi. "Encontre uma maneira de ajudar os empregados para que possam adotar boas práticas. Coisas simples, como as atualizações de software, pois caso estejam desatualizados no momento de um ataque, você facilmente se transformará em um vetor pelo qual seus colegas também serão comprometidos”.
Jorgensen sugeriu começar com a educação: "Tudo que for feito para transmitir conhecimentos sobre segurança aos seus empregados irá ajudar".
Cobb concordou que a educação é um fator chave, e hoje em dia é possível fazer isso com relação ao uso das tecnologias tanto no trabalho como na vida pessoal. Quando todos possuem um computador ou um smartphone, a educação e o treinamento sobre cibersegurança serão sempre bastante benéficos.
Ao serem questionados sobre os padrões de segurança, os expositores advertiram que uma abordagem de checklist não é suficiente. Simplesmente verificar pontos ou cumprir padrões não é o mesmo que estar seguro, disse Somogyi, "não trabalhe com a ilusão de segurança gerada pelo cumprimento de padrões”.