Especialistas pedem defesas automatizadas, já que treinamentos usados por empresas se mostram ineficazes

Um novo estudo com quase 20.000 funcionários do UC San Diego Health levanta dúvidas sobre uma das defesas mais comuns das empresas norte-americanas contra o cibercrime: o treinamento obrigatório de conscientização sobre phishing. Apesar do esforço de empresas e órgãos governamentais para educar trabalhadores a identificar golpes online, a pesquisa sugere que esses programas têm pouco ou nenhum efeito em evitar que funcionários caiam em ataques.

O estudo, realizado ao longo de oito meses em 2023, envolveu 10 campanhas simuladas de phishing direcionadas a funcionários do sistema de saúde da Califórnia. Os pesquisadores buscaram avaliar se o treinamento anual padrão, amplamente adotado em diversos setores, melhorava a capacidade dos empregados de identificar e evitar e-mails maliciosos. Em vez de observar um declínio gradual de atenção com o tempo, como era esperado, os resultados mostraram que não houve diferença significativa nas taxas de falha, independentemente de quando os funcionários haviam feito o treinamento pela última vez.

“Isso sugere que o treinamento obrigatório de conscientização cibernética não forneceu conhecimento de segurança útil aos usuários”, disse Grant Ho, professor assistente da Universidade de Chicago e coautor do estudo, ao Wall Street Journal.

Os pesquisadores constataram que funcionários que concluíram algum tipo de treinamento tiveram desempenho apenas marginalmente melhor do que aqueles que não receberam nenhum, com uma redução média de apenas 1,7% nas taxas de falha. A consistência dos resultados, mesmo logo após os treinamentos, indica que os programas pouco impactaram no comportamento dos trabalhadores.

Ho afirmou que pode haver várias razões para os resultados decepcionantes. O conteúdo pode ser genérico demais, mal elaborado ou apresentado em um formato – normalmente um módulo online obrigatório – que os funcionários não assimilam; muitos simplesmente ignoram. Os dados mostraram que, durante os treinamentos simulados, em mais de 75% dos casos os funcionários passaram menos de um minuto interagindo com o material. Em 37% a 51% das sessões, a página do treinamento foi fechada imediatamente. “Muitas vezes, quando os funcionários clicam em um módulo de treinamento e saem logo em seguida, é porque estavam verificando e-mails ou navegando na internet para outro fim”, disse Ho.

Para testar a eficácia de diferentes estilos de treinamento, o estudo dividiu os funcionários em grupos após cada simulação de phishing. Alguns receberam dicas gerais de cibersegurança, outros módulos interativos de perguntas e respostas, análises detalhadas do ataque recém-simulado ou uma combinação de ambos. Um grupo de controle não recebeu nenhum treinamento adicional.

Os resultados mostraram que as lições interativas de perguntas e respostas tiveram o maior benefício mensurável, mas apenas quando concluídas pelos funcionários. Embora a taxa de conclusão fosse baixa, aqueles que terminaram o treinamento interativo tiveram 19% menos chances de cair em um e-mail de phishing. Ainda assim, como poucos completaram, a eficácia geral no ambiente de trabalho permaneceu insignificante. Os pesquisadores também observaram que quem conclui o treinamento pode já ser mais atento por natureza, levantando a hipótese de que traços de personalidade – e não o conteúdo em si – expliquem a diferença.

O phishing continua sendo uma das formas mais comuns e prejudiciais de ciberataque. Funcionários que clicam em links ou anexos fraudulentos podem expor redes inteiras a invasões. No entanto, este estudo sugere que confiar apenas em treinamentos de conscientização humana deixa as organizações vulneráveis.

Ho e seus coautores argumentam que as empresas não devem abandonar totalmente o treinamento, mas considerá-lo apenas uma parte de uma estratégia de defesa mais ampla. Eles sugerem que ferramentas automatizadas, capazes de identificar e bloquear mensagens suspeitas antes de chegarem às caixas de entrada, são uma proteção mais confiável.

“Os treinamentos, da forma como são geralmente aplicados”, disse Ho, “não oferecem proteção suficiente contra phishing por conta própria.”

• Veja também: Estudo mostra que chatbots caem em táticas de persuasão assim como humanos