17, 19 e 20. Essas são as idades dos suspeitos tanto do recente ataque ao berçário Kido quanto dos ataques de abril que viram os varejistas britânicos Marks & Spencer e The Co-operative cortarem serviços e perderem milhões de libras.
O mesmo grupo que assumiu a responsabilidade pelo hack da M&S também teve como alvo a Jaguar Land Rover em agosto, interrompendo a produção global e afetando milhares de empresas que dependem das vendas à JLR para apoiar os seus trabalhadores.
Gerente de Desenvolvimento de Negócios Internacionais e Vendas do Grupo IB.
No passado, os ataques a gigantes industriais foram em grande parte realizados por hackers patrocinados pelo Estado de países como a Rússia ou a Coreia do Norte. Mas a maioria dos suspeitos identificados em recentes ataques cibernéticos de grande repercussão têm duas coisas em comum: falam inglês e são jovens.
Numa altura em que a nossa geração mais jovem está a escolher entre utilizar as suas competências para o bem ou para o mal, é imperativo que as integrem em carreiras na indústria da segurança cibernética.
Onde estão os jovens aprendendo a hackear?
O aumento repentino do crime cibernético juvenil pode indicar um aumento no número de jovens que aprendem a hackear, mas há outra razão: a crescente acessibilidade do ransomware, o número crescente de fornecedores de Ransomware como serviço (RaaS).
As equipes RaaS fornecem programas que os afiliados (como os adolescentes presos nos hacks M&S e Co-op) usam para atingir negócios específicos.
Os programas afiliados facilitam o acesso de possíveis hackers à infraestrutura necessária para violar as medidas de segurança de uma organização;
Em troca do uso de sua plataforma, a equipe RaaS fica com uma parte dos lucros gerados por um ataque nas empresas afetadas. Na maioria das vezes, isso vem de um resgate, que é um pagamento para descriptografar os dados roubados, a fim de recuperar a chave de criptografia e não publicá-la online.
O que leva os jovens ao cibercrime?
Portanto, o hacking está se tornando cada vez mais acessível. Mas por que atrai cada vez mais jovens?
Fergus Hay, cofundador da iniciativa de habilidades cibernéticas para jovens The Hacking Games, falou recentemente no podcast Masked Actors do Group-IB sobre as motivações comuns dos jovens cibercriminosos. Ele os resumiu como: “Os Quatro F’s”: Fama, Frustração, Finanças e Amigos.
Os ataques cibernéticos de alto perfil satisfazem todos os itens acima: dão reconhecimento aos seus perpetradores, uma válvula de escape para o ressentimento crescente, e o pagamento para as organizações que se curvam aos pedidos de resgate pode ser enorme.
Quanto ao aspecto comunitário, Fergus sugere que este tem as suas raízes nas comunidades de jogos online, onde muitos jovens experimentam pela primeira vez o “hackeamento”. Nos jogos, você tem um laboratório ao vivo para testar, hackear, modificar, quebrar jogos, doxxar uns aos outros e criar bots de mira.
Toda essa experimentação está construindo seu conjunto de habilidades e é recompensada com pontos de XP, promoções e competições o tempo todo.
Nas comunidades de jogos, portanto, o hacking não é apenas encorajado, mas também legitimado.
Outra razão potencial reside na forma como o talento cibernético tem sido historicamente criado e desenvolvido. As contratações tradicionais muitas vezes dependem de educação e treinamento formal, enquanto negligenciam indivíduos autodidatas e talentosos que não seguem esse caminho tradicional.
Fergus também afirma que a esmagadora maioria dos talentos cibernéticos é neurodiversificada, o que pode tornar os canais de recrutamento tradicionais ainda mais acessíveis.
Com as carreiras jurídicas fora do alcance, indivíduos talentosos com fortes competências cibernéticas (e o conhecimento do que podem alcançar se forem utilizados de forma ilícita) são os principais alvos de recrutamento para organizações cibercriminosas.
O problema da imagem da segurança cibernética ética
A lacuna de competências em cibersegurança não é um problema novo. Em Setembro deste ano, o Governo do Reino Unido divulgou um estudo que mostrou que quase metade de todas as empresas do Reino Unido lutam com uma “lacuna de competências básicas”.
As três principais lacunas de competências detectadas no sector cibernético foram “auditoria e garantia”, “análise forense digital” e “criptografia e segurança das comunicações”.
Estas são áreas onde os jovens talentos podem prosperar e, embora a escassez de talentos tenha diminuído desde o ano passado, ainda há um longo caminho a percorrer.
Uma razão potencial é a percepção dos papéis da segurança cibernética entre os jovens; eles são vistos como enfadonhos ou muito técnicos, sem o fascínio e o apelo do trabalho criminoso clandestino. Basta comparar a imagem da cultura pop de um misterioso hacker de elite com a de um profissional de TI no porão de uma empresa.
Este problema de imagem tem consequências reais. Sem convencer os novos talentos digitais de que a segurança cibernética é uma carreira viável e desejável, a indústria continuará a perder competências para ambientes mais “excitantes”.
Para onde vamos a partir daqui?
Para combater o aumento do cibercrime juvenil, a indústria deve fazer mais do que reforçar os perímetros de segurança. Primeiro, deve abordar os factores sociais que atraem os jovens para o crime.
A imagem da cibersegurança precisa de mudar para atrair novos talentos para carreiras legítimas, mas o mesmo acontece com a imagem do bom recrutamento.
As organizações precisam rever suas políticas de contratação e redefinir o que é uma boa contratação. É hora de repensar como a indústria se envolve com talentos em potencial, descobrindo onde eles passam seu tempo, seja no ambiente de jogos ou nos servidores Discord.
E precisamos de olhar para além dos candidatos tradicionalmente aceites para colmatar a lacuna de competências, alcançando aqueles que estão fora do sistema de ensino superior e em comunidades neurodiversas com oportunidades para desenvolver competências e identificar planos de carreira.
Casos recentes demonstraram amplamente que os jovens no Reino Unido e noutros países possuem as competências cibernéticas necessárias para fazer uma grande diferença, seja como um passivo ou como um activo. Agora cabe à indústria mostrar que existem espaços legítimos onde seu talento será valorizado – antes de migrarem para os painéis de mensagens RaaS.
Você pode ouvir o episódio inteiro de Joysticks to Jailbreaks onde quer que tenha podcasts. Basta procurar por ‘Atores Mascarados’.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
