Por que as pessoas resistem às correções da Microsoft para combater o BlueKeep?

Jeff Elder 15 jul 2019

Relatório da Avast Business mostra por que os usuários estão evitando uma simples correção da Microsoft que poderia prevenir um incidente mundial de cibersegurança causado pelo BlueKeep.

A Microsoft, o governo dos EUA e profissionais de cibersegurança estão implorando para que usuários de computadores instalem uma simples correção em suas máquinas para prevenir que uma vulnerabilidade conhecida como BlueKeep se torne um grande incidente na área de cibersegurança.

Mas por que os usuários não estão fazendo isso? A Avast pode ter a resposta.

Desde meados de maio, a Microsoft suplica com anúncios contundentes para que seus usuários apliquem a correção dessa vulnerabilidade em versões do Windows mais antigas. A empresa alerta que o BlueKeep pode causar um “surto” de segurança cibernética do tipo “wormable”. Isso significa que qualquer malware que explore essa brecha de segurança terá o poder de se propagar de um computador vulnerável para outro, sem que o usuário precise fazer nada, como aconteceu com o WannaCry em 2017.

Por esse motivo, o anúncio da Microsoft enfatizava: “Estamos tomando medidas não convencionais para oferecer atualizações de segurança e, assim, proteger a todos usuários das plataformas Windows".

Duas semanas depois, a empresa voltou com um alerta mostrando o número de usuários que não estavam levando em consideração seus avisos sobre o BlueKeep. “Se os relatórios mais recentes estiverem certos, quase 1 milhão de computadores conectados diretamente à internet ainda estão vulneráveis”, escreveu a Microsoft aos seus usuários no fim de maio.

A empresa não foi a única a notar o problema. Sua declaração cita a pesquisa conduzida por Robert Graham, da Errata Security, alertando que “é possível que cibercriminosos descubram uma forma de exploração dessa brecha nos próximos meses, com poder de causar grandes estragos nessas máquinas".

Há poucas semanas, 30 mil empregados da Agência Nacional de Segurança dos EUA (NSA, da sigla em inglês) tomaram uma medida excepcional para reforçar os alertas de segurança. A vulnerabilidade da Microsoft “pode se espalhar pela internet sem que seja preciso a interação com os usuários”, alerta a NSA sobre o BlueKeep. “Temos visto vírus de computador perigosos causando estragos em sistemas que não instalaram correções. Isso tem o potencial de causar estragos profundos. Estamos procurando convencer as pessoas a se protegerem contra essa falha”.

Mas como empresas, governos e profissionais de cibersegurança podem “incentivar o aumento dessas proteções”, uma vez que avisos de segurança sobre esse perigo não estão funcionando? De quantos alertas terríveis as pessoas precisam para tomarem alguma atitude? A resposta, como nota o relatório de psicologia da Avast Business, pode estar em um tipo diferente de alerta mais engajador, como os vídeos de segurança das companhias aéreas, que chamam a atenção dos passageiros.

Segundo um relatório da Avast e da ORConsulting, empresa de psicologia para negócios, “exposições repetitivas a alertas de segurança criam um hábito ruim, principalmente se o usuário já ignorou algum alerta anteriormente e nada de mau aconteceu”.

Experiências passadas que foram complicadas ou consumiram muito tempo do usuário podem fazer com que as pessoas hesitem quando alguém implora para que atualizem algum software. Um entendimento não tão claro do que está em jogo pode também aumentar a relutância.

Em um debate interno, que não dura mais do que uma fração de segundo dentro do sistema límbico cerebral, o ato de evitar algo desagradável vence a razão. As pessoas voltam para o trabalho e deixam que os avisos se apaguem de suas telas e mentes.

Como consertar isso?  Os consultores descobriram que uma abordagem diferente é necessária. É preciso criar empatia com os usuários, levando em conta todos os aspectos da mensagem e o comportamento econômico das pessoas. Isso pode gerar mais engajamento do que conselhos intimidantes.

Profissionais de cibersegurança podem insistir na ideia de promover uma atualização extremamente necessária, mas entender a motivação das pessoas pode fazer uma grande diferença para que elas façam isso de verdade.

Explicar o problema pacientemente ao usuário, reforçando como ele pode fazer diferença e criando uma grande sensibilização e responsabilidade compartilhada é uma estratégia que pode ir longe.

“Usar ideias desse tipo exige criatividade e muitos testes, mas pelo menos somos informados com evidências sobre a forma que os humanos tomam decisões”, revela o relatório.

“A maioria dos pequenos e médios negócios entendem como essas correções são importante, mas a verdade crua e nua é que ninguém gosta delas”, diz o diretor de gerenciamento de produto da Avast Business, Arne Uppheim. “Uma correção pode interromper sistemas importantes, causar perda de produtividade e ainda potencializar problemas com outros sistemas integrados. Por outro lado, não corrigir uma falha expõe o negócio a perda de dados e roubo de propriedade intelectual, atraso devido a remediação demorada, recuperação de dados questionável e danos à reputação da marca”.

Pequenas e médias empresas podem agir agora e usar o nosso novo serviço de Gerenciamento de Correções para corrigir a vulnerabilidade ao BlueKeep antes que cibercriminosos tenham a chance de usar isso contra os seus negócios. Os usuários podem fazer o mesmo em seus computadores Windows.

Leia mais no relatório da Avast Business sobre comportamento do usuário e como ele pode dificultar o bloqueio de grandes incidentes de cibersegurança: “Inércia na atualização: a psicologia por trás de correções de softwares”.

nrd
--> -->