FAQ do Gestor

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este FAQ? Clique aqui para acessar os Contatos.

A cibersegurança consiste em parte fundamental da salvaguarda do acervo de uma unidade de informação e cultura.

O incêndio no Museu Nacional repercutiu internacionalmente, não apenas pela irrecuperável perda do seu inestimável acervo físico, mas como também pela precariedade dos dados digitalizados sobre suas coleções, como explica este artigo da Wired.

Uma instituição GLAM não pode considerar sua função social plenamente cumprida se não propicia estabilidade cibernética em seus sistemas e instalações. A Comissão Global sobre Estabilidade do Ciberespaço (GCSC), reunida em Paris, definiu “estabilidade cibernética” como sendo “condição na qual indivíduos e instituições podem estar razoavelmente confiantes em sua capacidade de usar serviços cibernéticos com segurança”. (DE LUCA, 2019)

A maioria dos ataques externos são randômicos, não direcionados, realizados por robôs, portanto, visam websites indistintamente. Neste sentido, qualquer website pode ser atacado.

Contudo, grande parte das vulnerabilidades de segurança cibernética partem de ameaças internas, ou seja, de pessoas de dentro das instituições e empresas que abusam se seus privilégios ou ampliam o seu acesso por meio de engenharia social (táticas para enganar pessoas), visando desde vingança até roubo.

As razões para os ataques cibernéticos às GLAMs vão desde o simples divertimento até a obtenção de lucro, que podem ser altíssimos. O cracker pode utilizar da boa reputação do website para melhorar o ranqueamento de outros sites (inserindo backlinks), adicionar conteúdo ilegal (pornografia, venda de drogas, etc), coletar e explorar dados dos seus usuários e patrocinadores, encaminhar spams pelo site (spamvertize), espionar as atividades da instituição e/ou empresas mantenedoras, atacar outros websites via website do museu.

Com informações armazenadas em sistemas de gestão de coleções, invasores podem planejar roubos presenciais na reserva técnica com os dados de localização e movimentação do acervo, ou mesmo na coleção principal, identificando cronogramas de conservação e rotinas dos funcionários. O mercado ilegal de obras de arte é um dos mais lucrativos do mundo. E é muito mais fácil roubar um museu ou uma biblioteca de obras raras do que um banco.

O ataque pode ser, ainda, para tirar o website do ar como forma de retaliação (hackativismo, por exemplo, por alguma exposição polêmica). Neste último caso, um ataque poderá desfigurar o conteúdo on-line do website (defacement) ou deixar o acesso lento, comprometendo a ampla propagação de notas oficiais da instituição no combate às fake news.

O website da instituição é um canal de comunicação, mas também de construção de autoridade institucional. E as GLAMs costumam ter grande autoridade, além de salvaguardarem acervos de alto valor histórico e monetário.

GLAMs com recursos digitais registram, ainda, dados sensíveis de seus visitantes. Alguns museus possuem jogos e desafios e armazenam estes dados vinculados ao e-mail e/ou rede social do usuário. Alguns destes jogos coletam dados de comportamento e saúde dos participantes. Outros, sobre meio ambiente e pegadas ecológicas, pedem informações que revelam o padrão de consumo, tais como quantas viagens de avião o visitante realiza por ano, quantas TVs, geladeiras, carros, etc. possui em sua residência. E assim por diante.

Por fim, GLAMs que possuem lojas, físicas ou on-line, coletam dados financeiros relevantes (compras, contas bancárias, cartões de crédito, etc.).

Por todos estes motivos, segurança é um ponto extremamente importante para as GLAMs, independentemente do seu porte. Websites hackeados resultam em perdas de custos de oportunidades (por exemplo, vendas de ingressos interrompidas), prejuízos diversos (processos legais, perda de propriedade intelectual, etc.) e, principalmente, danos à reputação e autoridade institucional.

Algumas vezes os ataques aos websites são bem óbvios, como páginas desfiguradas ou fora do ar.

No site Zone-H é possível visualizar exemplos de páginas de museus que foram hackeadas no passado.

Entretanto, nem sempre o ataque pode ser facilmente descoberto. Verifique se um ou mais itens a seguir estão acontecendo de forma persistente:

  • Alteração brusca na velocidade de carregamento das páginas. O website pode estar sofrendo um ataque DoS (Denial of Service) ou um ataque coordenado com vários computadores ao mesmo tempo DDoS (Distributed Denial of Service). Estes ataques não visam a invasão do computador ou aplicação, mas sua sobrecarga, tirando o website ou serviço “do ar” ou tornando-o ineficiente, lento.
  • Mudanças bruscas nas estatísticas do website.
  • Ao buscar no Google o próprio website (digite no campo de busca site: http://seudomínio.com.br), aparecem poucos (ou nenhum) resultados, metadados incorretos e/ou uma marcação de “site inseguro”.
  • A página de login não está funcionando ou está indisponível.
  • O website está redirecionando para outro website.
  • Aparecem conteúdos estranhos, especialmente links.

A grande maioria dos problemas causados com invasões e vazamentos ilegais têm sua origem em usuários maliciosos com entrada legítima e autorizada nas instituições e seus sistemas.

Ou seja, funcionários, estagiários e pessoal terceirizado que abusam de seus privilégios ou utilizam engenharia social para ampliá-los de forma desonesta.

Portanto, a checagem do passado e acompanhamento do comportamento dos funcionários, estagiários e parceiros da instituição é imprescindível para garantir a cibersegurança da instituição.

Redes sociais comerciais possuem regras próprias e podem alterá-las a qualquer momento, inclusive removendo páginas, grupos e perfis sem dar qualquer explicação aos usuários. Construir sua comunicação, bem como o marketing institucional, com base em redes sociais é como construir sua casa em um terreno alugado.

Além da coleta dos dados e do uso de anúncios, que distraem e comprometem a privacidade dos usuários, as redes sociais comerciais são regidas por algoritmos, ou seja, não há garantia de que a equipe vá receber os posts publicados pela instituição nas páginas e grupos.

De preferência, instale intranet e/ou rede social própria no website do museu, livre de algoritmos, coletas de dados, anúncios e outras interferências no processo de comunicação.

É possível construir uma rede social própria com o WordPress e os seguintes plugins: BuddyPress, bbPress e Groups. Com estas extensões a GLAM pode desenvolver sua própria intranet, rede social, fóruns e todos os recursos disponíveis nas redes sociais comerciais, com a vantagem de que a instituição terá total controle sobre estes canais.

Existem, ainda, inúmeros softwares de gestão bem mais eficientes do que as redes sociais, como os mencionados no Checklist do Gestor.

Mapeamento de Riscos (árvore de ataque) é a tentativa de antecipar possíveis ataques que venham a ser realizados contra o website e redes sociais da instituição.

Antes de cada exposição, especialmente as polêmicas, identificar possíveis perfis de hacktivistas ou ciberterroristas que poderiam atuar naquela causa temática, procurando prever suas ações e motivações implícitas: vingança, chantagem, raiva, vandalismo, espionagem, etc. Supor quem, por quê, quando, como e onde (quais sistemas e aplicativos seriam atacados).

Tentar supor, ainda, possíveis fake news associadas à exposição, deixando pronto materiais de combate às notícias falsas (notas oficiais de esclarecimento, catálogo do conteúdo exposto, sinalização de faixa etária recomendada aos visitantes, etc.). A prevenção é sempre a melhor opção.

Versão inicial de autoria de Ana Cecília Rocha Veiga.