Durante o mês de outubro, é provável que governos, organizações sem fins lucrativos, fornecedores de cibersegurança e muitas empresas com equipes de responsabilidade social corporativa se preparem para divulgar dicas sobre como se manter seguro na internet.

Sem ao menos conhecer o tema oficial da campanha deste ano, na semana passada compartilhei com um colega as dicas habituais sobre segurança digital e, coincidentemente, abordei quase todos os principais pontos do tema oficial: "Proteja o Nosso Mundo". Entre eles, destaquei a importância de usar senhas fortes e únicas, ativar a autenticação em dois fatores e evitar clicar em links suspeitos de phishing.

Diante da enxurrada de orientações bem-intencionadas que circulam durante todo o mês de outubro, poderíamos supor que isso seria suficiente para garantir um ciberespaço mais seguro. Mas será que é mesmo? Essas dicas têm, de fato, promovido uma mudança de comportamento significativa e ajudado a enfrentar os crescentes riscos de segurança, tanto atuais quanto futuros? Talvez seja o momento de reavaliar criticamente nossa abordagem e reconhecer que apenas conselhos não são suficientes.

Indo além da conscientização

Após uma década promovendo as mesmas orientações — com o Mês de Conscientização sobre Cibersegurança comemorando seu 21º aniversário este ano — chegou o momento do setor repensar de forma radical suas estratégias. Além de oferecer orientações, é fundamental legislar e implementar melhores práticas de cibersegurança, especialmente quando estão em risco informações pessoais identificáveis (IPI) e outros dados valiosos.

Costumo não ser a favor de resolver problemas com leis e regulamentos, mas a realidade é que não estamos progredindo no ritmo necessário. Por exemplo, muitos serviços e aplicativos populares ainda não oferecem a autenticação em dois fatores e, mesmo quando disponível, ela não vem ativada por padrão. O Mês de Conscientização sobre Cibersegurança do próximo ano poderia até deixar de abordar esse tema se fosse exigido que todas as empresas que armazenam informações pessoais identificáveis habilitassem, por padrão, a autenticação em dois fatores em todas as contas de usuário.

É verdade que podem surgir problemas de acessibilidade se a autenticação em dois fatores for ativada por padrão. Caso algumas pessoas realmente precisem desativá-la por algum motivo, essa opção deve estar disponível. No entanto, para a maioria, a autenticação em dois fatores ativada por padrão deveria ser a regra. Assim como muitos sites atualmente quase escondem a opção de ativá-la, também deveriam tornar menos visível a opção de desativá-la.

A Apple foi uma das empresas que forçou a ativação da autenticação em dois fatores para todos os usuários já em 2017. A empresa perdeu usuários? O preço de suas ações caiu? É claro que a resposta para essas perguntas é "não". Quando não há alternativa, os usuários adotam práticas de segurança aprimoradas que protegem seus dados e informações. No entanto, se houver a opção de escolha e/ou a autenticação em dois fatores estiver desativada por padrão, muitos optarão pelo caminho mais fácil, mesmo que isso comprometa sua segurança em prol da conveniência.

Outra vantagem de ativar a autenticação em dois fatores por padrão para todos é que isso mitigaria significativamente os riscos associados à reutilização de senhas. Em outras palavras, uma senha reutilizada que conta com a autenticação em dois fatores tem menos chances de causar problemas. Isso não significa que seja aceitável usar senhas fracas ou reutilizar senhas; pelo contrário, a ênfase em senhas fortes e únicas diminuiria, pois essa camada adicional de segurança ajudaria consideravelmente a prevenir o roubo de dados de login.

Na verdade, quando algo como o roubo de dados de acesso continua sendo um problema significativo por tanto tempo, é hora de reavaliar algumas questões. Um exemplo é o Regulamento Geral sobre a Proteção de Dados (GDPR). A União Europeia (UE) percebeu que, sem uma regulação rigorosa, as empresas continuariam a seguir o caminho da menor resistência: coletar dados e armazená-los sem criptografia, adotando uma abordagem descontrolada em relação à proteção de dados. Manter a segurança das informações custa dinheiro e, devido às restrições orçamentárias, os diretores financeiros tendem a priorizar os lucros de curto prazo em detrimento da segurança a longo prazo. O GDPR alterou essa dinâmica, pois as pesadas multas impostas pela regulamentação justificam o orçamento para medidas adequadas de segurança de dados. No Brasil, enfrentamos a mesma situação com a Lei Geral de Proteção de Dados (LGPD), que exige que as empresas implementem uma estrutura e processos que garantam o armazenamento seguro das informações dos usuários.

A legislação a favor

Agora imagine o Mês de Conscientização sobre Cibersegurança do próximo ano sem o sermão sobre práticas básicas de segurança, como senhas fortes e únicas e autenticação em dois fatores. Após anos insistindo nesses temas, a conversa poderia evoluir. A atenção poderia se voltar para as fraudes desenfreadas que enganam as pessoas para roubar o dinheiro que tanto lhes custou ganhar. Embora alguns desses assuntos já sejam abordados atualmente, com muita frequência eles se perdem na confusão.

A todos os responsáveis políticos: é hora de mudar essa conversa e legislar sobre o que parte do setor ainda não implementou, para que a educação crucial sobre problemas reais de cibersegurança possa se tornar o foco principal.