Também sabemos que as pessoas usam a Internet para várias finalidades e de várias maneiras diferentes. Elas a utilizam principalmente para trabalho, comunicação, entretenimento, estudo e para coletar informações. Além disso, elas a utilizam para transferir dinheiro, enviar ou armazenar dados confidenciais e compartilhar informações privadas. Também a utilizam para organizar protestos, ajudar pessoas em perigo, fazer uma petição ou apoiar organizações de direitos humanos de outro país.

Hoje em dia, todos os dias nos trazem novos dispositivos, soluções, aplicativos ou comunicadores. Com esse progresso contínuo, à medida que a tecnologia continua a evoluir, nossa vida parece ter se tornado mais fácil.

Mas será que estamos mais seguros?

Percebemos que quanto mais tecnologia usamos, maiores são as chances de crimes cibernéticos?

E sabemos como proteger nossa própria privacidade ou os dados confidenciais de outras pessoas?

Como educador e instrutor, tenho me feito muitas perguntas relacionadas ao tema da privacidade e da segurança cibernética

O que as pessoas precisam saber para se manterem seguras?

Como motivá-las (e a mim mesmo!) a prestar mais atenção ao operar on-line?

Há vários anos, tenho ministrado aulas e diferentes tipos de treinamento para jovens e adultos, incluindo pais de crianças em idade escolar, professores, ativistas ou membros de organizações não governamentais. Meu objetivo como instrutor é chamar a atenção deles para o fato de que nós mesmos temos que cuidar de nossa própria privacidade e segurança, pois nenhuma empresa ou organização fará isso por nós de forma tão completa ou abrangente quanto nós. Nós mesmos precisamos pensar e decidir quais softwares ou aplicativos instalaremos em nossos dispositivos, como trataremos nossas senhas e que tipo de informações compartilharemos com outras pessoas.

Não há melhor proteção do que... reflexão. ?

Por outro lado, juntamente com "Klara" (um pseudônimo usado por ela durante o treinamento), minha co-treinadora e colaboradora há dois anos, que é pesquisadora de segurança e hacktivista e atualmente trabalha como engenheira de segurança de software em uma instituição financeira, realizamos uma série de sessões de treinamento sobre segurança digital, durante as quais os participantes puderam aprender sobre soluções ou ferramentas tecnológicas muito específicas que os manteriam seguros e permitiriam que eles vissem como as configurações de segurança em seus dispositivos realmente funcionam.

Do ponto de vista do meu instrutor e da perspectiva de uma pessoa que realmente se preocupa em disseminar o conhecimento sobre o tema Segurança e Proteção Digital, acredito que há dois aspectos muito importantes que precisam ser abordados quando se fala em maneiras de se manter seguro on-line:

O primeiro é o aspecto psicológico, social e de conscientização de ser responsável por si mesmo e pelos outros.

O segundo é sobre a contribuição tecnológica que permite o uso de ferramentas específicas que aumentam nosso nível de segurança.

Por exemplo, se durante o treinamento apresentarmos ao nosso público um dos tipos mais seguros de mensageiros, como o Signal, mas ao mesmo tempo não o vincularmos ao tema da segurança do telefone ou à segurança do próprio mensageiro, e também não nos preocuparmos em mostrar a eles como a nossa segurança depende da segurança da outra pessoa com quem conversamos, então o uso do Signal em si pode se tornar inútil.

Para encurtar a história, o que precisamos lembrar aqui é que precisamos de ferramentas para nos proteger, mas, para nos mantermos seguros, precisamos realmente conhecer um contexto mais amplo de como usá-las e como elas afetam a nós e aos outros.

Estimular a motivação - para educar, não para assustar

As pessoas geralmente começam a pensar sobre sua privacidade e segurança somente quando algo ruim já aconteceu com elas. Pode ser qualquer coisa: desde a invasão de sua conta de mídia social, passando pela publicação pública de uma parte de sua conversa particular por um estranho, até o roubo de dinheiro de sua conta on-line. Tenho "coletado" várias histórias desse tipo que ocorreram na vida real e as apresento como exemplos de estudos de caso durante as sessões de treinamento que realizo. Acho que essa é uma ótima maneira de apresentar e conscientizar as pessoas sobre ameaças específicas em um contexto significativo com o qual elas possam se identificar facilmente.

Aqui estão algumas dessas histórias da vida real que costumo usar durante minhas sessões de treinamento como casos para os participantes discutirem:

  • Uma história de comunicadores seguros e invasão de uma conta do messenger: um jovem ativista de direita, que estava subindo com sucesso na carreira política, foi atacado um dia por um ativista que publicou abertamente todo o conteúdo de suas conversas particulares no messenger nos últimos seis meses. Depois disso, a carreira da vítima foi destruída e ele ficou comprometido entre seus amigos e colegas, que leram que tipo de coisas desagradáveis ele havia escrito sobre eles em particular.

  • Uma história sobre a nossa confiança infinita nas informações que vemos publicadas nas mídias sociais: algumas pessoas encontraram uma empresa de mudanças no FB e solicitaram o serviço. Consequentemente, acabaram perdendo todos os seus pertences, pois a empresa de mudanças era uma farsa que nunca existiu legalmente - os vilões simplesmente chegaram, levaram todos os seus pertences e desapareceram sem deixar rastros.

  • Uma história sobre as informações que publicamos sobre nós mesmos nas mídias sociais: uma pessoa se tornou vítima de um ataque de phishing e de uma fraude financeira depois de confiar em um invasor e compartilhar com ele muitas informações pessoais.

  • Uma história sobre a importância de usar a autenticação de dois fatores: uma ativista dos direitos dos animais perdeu sua conta do FB para sempre porque um hacker usou seu próprio 2FA na conta dela, de modo que nenhum dos formulários de recuperação de perfil do FB funcionou para recuperá-la; ela perdeu a conta simplesmente por não saber o que era o 2FA.

Há muitas outras histórias como as citadas acima. Podemos usá-las para ajudar as pessoas a começarem a pensar por si mesmas sobre sua própria segurança e as escolhas que fazem todos os dias, para mostrar a elas situações da vida real que podem afetar a todos, para explicar como os invasores trabalham e como nos proteger deles.

Além das histórias e da reflexão que elas trazem, também é uma boa prática motivar as pessoas na próxima etapa a encontrar tempo e energia para instalar e começar a usar várias ferramentas específicas, como: um gerenciador de senhas, um mensageiro seguro, 2FA, ou incentivá-las a mudar o provedor de Internet, se necessário. No mundo em que todos estão tremendamente ocupados, o que precisamos na maioria das vezes é simplesmente de um pequeno "empurrão" para nos tornarmos mais interessados em nossa própria segurança... Portanto, é melhor aprendermos com uma história comovente da vida real, que aconteceu com outra pessoa menos afortunada do que nós, e que pode ser uma lição válida para nós, em vez de tirarmos conclusões de nossa própria "experiência ruim".

Como dizem, é melhor prevenir do que remediar...

Durante o treinamento, podemos contar as histórias nós mesmos, usar alguns dos materiais disponíveis no YouTube, fazer um exercício em grupo com base no compartilhamento de histórias selecionadas por seus membros com outros, ou simplesmente perguntar se os participantes têm alguma experiência pessoal/relacionada ao trabalho/organização que gostariam e podem compartilhar com os outros no grupo.

Realizo esses exercícios somente em grupos com os quais estabeleço uma regra clara de discrição. O que é discutido no grupo, permanece no grupo. Acredito que a criação de um ambiente seguro de confiança mútua durante os treinamentos de DSS é de importância crucial para sua eficácia.

Trabalhar com exemplos específicos tem um valor educacional, mas também é um trampolim para seguirmos em frente e começarmos a trabalhar em como evitar tais situações e que tipo de ferramentas e contramedidas podemos usar para esse fim.

A prevenção é o melhor remédio, e é muito melhor tomar consciência do que pode acontecer conosco a tempo do que ser forçado a lidar com as consequências.

Há milhares de tipos de ameaças, enganos e crimes cibernéticos à nossa espera no espaço cibernético, aos quais várias pessoas são mais ou menos propensas. Portanto, ao escolher um aplicativo ou programa específico que possa ser recomendado a um determinado público-alvo, é sempre bom ajustá-lo às necessidades do grupo, ao tempo que temos à nossa disposição e ao nível de avanço tecnológico do grupo.

No entanto, podemos considerar alguns temas e ferramentas de treinamento comuns que acredito serem universais e que devem ser amplamente conhecidos por todos os usuários da Internet. Dito isso, gostaria de enfatizar que se trata de uma escolha subjetiva minha e que, de forma alguma, esgota a gama de soluções disponíveis.

Estes são os meus 10 principais assuntos a serem incluídos em um treinamento de DSS (acrônimo em inglês para: Digital Safety and Security)

Como definir "segurança" e "privacidade",

O que pode dar errado? - Tipos de ameaças à segurança: phishing, técnicas sociais, hacking etc,

Quais informações/dados são considerados "sensíveis",

Configurações de mídia social, privacidade e segurança,

Gerenciador de senhas e gerador de senhas,

Autenticação de dois fatores,

Comunicadores seguros e como usá-los,

E-mail seguro,

Ferramentas de criptografia de dados,

Dispositivos móveis, configurações de segurança.

Cada um desses tópicos é amplo o suficiente para ser tratado em um workshop separado, mas, como geralmente temos um tempo limitado durante o treinamento, precisamos nos contentar com o tempo que tivermos e fazer algumas escolhas inteligentes. O que nós, como instrutores, também precisamos fazer é decidir, a cada vez, até que ponto gostaríamos de nos aprofundar em um assunto com nossa explicação:

  • Vamos simplesmente recomendar uma ferramenta específica?

  • Ou explicaremos como ela funciona e para que a usamos?

  • Ou talvez devêssemos mostrar ao público várias ferramentas ou possibilidades, mas não recomendar nenhuma delas em específico?

Por exemplo, quando falamos sobre um gerenciador de senhas, podemos recomendar uma ferramenta específica, como o KeePass, e ajudar as pessoas a instalá-la, ou podemos mostrar a elas outra ferramenta com recursos semelhantes para comparar e deixar que o público decida qual delas precisará.

Em minha opinião, a segunda abordagem costuma ser mais eficaz; no entanto, ela exige mais tempo e um grupo de pessoas interessadas em aprender como as coisas funcionam.

Precisamos estar atentos ao fato de que também há participantes que vêm ao workshop de DSS e precisam apenas de uma ferramenta simples, que exija uma instalação rápida, que esteja pronta para uso em segundos, e que não gostariam de gastar tempo analisando como ela funciona ou quais alternativas podem existir.

Pessoalmente, acredito que "menos é mais" e que, às vezes, vale a pena gastar um pouco mais de tempo explicando um único tópico em profundidade, em vez de tentar cobrir o maior número possível de tópicos de uma só vez. O tempo geralmente é escasso, dada a grande quantidade de material que pode ser abordado durante um treinamento em DSS. Por isso, considera-se uma boa prática preparar uma folha de referência para os participantes com uma lista de links para várias ferramentas úteis e recursos viáveis, com os quais as pessoas possam se familiarizar em seu próprio tempo e de acordo com o treinamento.

Aqui está um exemplo de uma lista de referências curta:

Mecanismos de pesquisa alternativos:

Seu e-mail vazou? Confira aqui: https://haveibeenpwned.com

Mensageiros seguros:

E-mail seguro: ProtonMail https://protonmail.com/pl/security-details

Gerenciador de senhas: KeePass https://keepass.info/download.html

Esses foram apenas alguns exemplos. Há muitas, muitas outras recomendações ou ferramentas a serem listadas e que merecem ser discutidas. A segurança digital é uma área ilimitada a ser explorada...

Viaje com segurança!


Ilustração de fundo: Foto de Photon photo from shutterstock / licença shutterstock