Vem este artigo a propósito do convite que recebi da Televisão de Moçambique para comentar os resultados do “Workshop de Avaliação Nacional de Riscos de Segurança Cibernética, com ênfase nas Infra-estruturas Críticas de Informação”¹.
Em Moçambique, de acordo com um dos painelistas presentes, “…pelo menos 500 instituições nacionais (públicas e privadas) sofrem ameaças e ataques perpetrados por piratas informáticos”.
Neste artigo, convido o meu leitor@ a responder à pergunta: No contexto de Moçambique, como é que a Cultura afecta a (In)Segurança Cibernética?
Vejamos sucessivamente:
- Definição de cultura², e de (In)Segurança Cibernética (IS).
- As relações entre a Cultura e a (In)Segurança Cibernética.
- Conclusão.
A. Definição de (In)Segurança Cibernética
Na minha opinião, a IS pode ser analisada através das seguintes lentes e consiste:
- Na qualidade ou situação,
- Em que computadores, dispositivos, redes ou sistemas de informação,
- E dados,
- E pessoas físicas e colectivas, sem o seu consentimento,
- Se encontram vulneráveis, i.e., impreparados e sem medidas de protecção,
- Contra ameaças, ataques e manipulação psicológica³,
- Perpetrados por hackers e malfeitores,
- Daí podendo resultar, ou resultando,
- Na diminuição, degradação e/ou perda de disponibilidade dos sistemas de informação, de dados confidenciais, de reputação, de danos financeiros significativos.
- [Tal estado de vulnerabilidade] pode criar as condições e estimular os indivíduos, as empresas, os Estados a agirem para proteger a segurança de pessoas e bens, a confidencialidade e a disponibilidade da informação e dos sistemas cibernéticos.
B. As relações entre a Cultura e (In)Segurança Cibernética: A frente e o dorso
O psicólogo social Geert Hofstede⁴ desenvolveu um quadro lógico de análise das diferenças culturais, baseado em seis dimensões que aqui uso para analisar este tema.
1) Dimensão Distância Hierárquica (IDH)
a) Descrição: Refere-se à aceitação da desigualdade de poder numa sociedade.
b) Países com alta distância hierárquica: como é o caso de Moçambique⁵, há uma aceitação geral da hierarquia e da autoridade, com uma grande diferença entre líderes e seguidores.
c) Comportamentos (In)Seguros resultantes do IDH alto: Ignorar alertas de segurança: nestas culturas, a confiança nas autoridades pode levar à tendência de ignorar alertas de segurança, presumindo que as autoridades têm tudo sob controlo.
d) Tipos de cibercrime mais frequentes: nestas culturas, a violação de políticas de segurança, o phishing⁶.
2. Dimensão Individualismo vs. Colectivismo (IDV)
a) Descrição: refere-se à aceitação de desigualdade de poder numa sociedade.
b) Países marcadamente colectivistas: como é o caso de Moçambique, o colectivismo é mais proeminente, e as pessoas valorizam a harmonia do grupo estão dispostas a fazer sacrifícios individuais pelo bem-estar do grupo.
c) Comportamentos (In)Seguros resultantes do IDV baixo: não compartilhar senhas indiscriminadamente: nas culturas de alto colectivismo, as pessoas podem ser mais propensas a focar nos interesses do grupo, evitando levar a cabo práticas arriscadas como compartilhar senhas sem pensar nas consequências para o grupo.
d) Tipos de cibercrime mais frequentes: nestas culturas, a violação de contas, o roubo de identidade.
3. Dimensão Masculinidade vs. Feminilidade (MAF)
a) Descrição: refere-se à distribuição de papéis e valores entre os géneros numa sociedade.
b) Países marcadamente masculinos: como é o caso de Moçambique, a masculinidade é mais proeminente, e as pessoas valorizam características consideradas tradicionalmente masculinas como a assertividade, a ambição e a competitividade.
“Nas culturas de alto colectivismo, as pessoas podem ser mais propensas a focar-se nos interesses do grupo, evitando levar a cabo práticas arriscadas…”
c) Comportamentos (In)Seguros resultantes da MAF alta: não proteger a privacidade online: nestas culturas, pode haver uma menor ênfase na protecção da privacidade online, uma vez que demonstrar vulnerabilidade ou preocupação com a privacidade pode ser visto como “feminino”.
d) Tipos de cibercrime mais frequentes: nestas culturas, o phishing e o ransomware⁷.
4. Dimensão Evitação da Incerteza (IEI)
a) Descrição: refere-se à tolerância de uma sociedade relativamente à incerteza e ambiguidade.
b) Países sem evitação da incerteza: como é o caso de Moçambique, as pessoas são mais tolerantes à incerteza, aceitam a ambiguidade e estão abertas à mudança.
c) Comportamentos (In)Seguros resultantes do IEI baixo: actualizar sistemas sem medo de disrupção: nestas culturas, as pessoas não temem fazer actualizações de sistemas e não receiam interrupções ou mudanças desconhecidas.
d) Tipos de cibercrime mais frequentes: nestas culturas, o spear-phishing⁸ e malware⁹.
5. Dimensão Orientação a Longo Prazo vs. Orientação a Curto Prazo (OLC)
a) Descrição: esta dimensão mede a maneira como as sociedades valorizam o planeamento de longo prazo, em comparação com a busca de sucesso imediato, estabilidade e respeito pelas normas sociais.
b) Países orientados ao curto prazo: como são os casos de Moçambique, anzânia e Nigéria, as pessoas são orientadas para o curto prazo e concentram-se no passado e no presente, valorizando a tradição e as normas sociais.
c) Comportamentos (In)Seguros resultantes da OLC baixa: adoptar tecnologias emergentes sem avaliação de segurança: em culturas com orientação de curto prazo, as pessoas estão mais dispostas a adoptar tecnologias emergentes rapidamente, sem considerar completamente as implicações de segurança a longo prazo.
d) Tipos de cibercrime mais frequentes: nestas culturas, ataques a dispositivos IoT, ransomware, engenharia social⁴.
6. Dimensão Indulgência vs. Restrição (INR)
a) Descrição: refere-se ao modo como as sociedades lidam com as suas próprias paixões e desejos humanos. Culturas com baixa pontuação na escala de INR tendem a controlar e limitar as expressões emocionais.
b) Países com alta escala de indulgência: como é o caso de Moçambique, tendem a permitir a gratificação imediata de desejos pessoais e emocionais.
c) Comportamentos (In)Seguros resultantes do INR baixo: compartilhar informações pessoais em redes sociais: em culturas com alta indulgência, as pessoas podem ser mais propensas a compartilhar informações pessoais e detalhes das suas vidas nas redes sociais, buscando gratificação e conexão emocional.
d) Tipos de cibercrime mais frequentes: nestas culturas, roubo de identidade, violações de privacidade.
C. Conclusão
- Neste artigo analisei a cultura através das dimensões de Hofstede, e percebemos como esta influencia os comportamentos (in)seguros online.
- Em sociedades como a moçambicana, com alta distância hierárquica, há maior aceitação de autoridade, impactando a adesão às políticas de segurança cibernética.
- Além disso, o colectivismo influencia a protecção de informações, reflectindo a valorização do grupo sobre o indivíduo.
- A masculinidade pode levar a assumir riscos excessivos online, enquanto a baixa evitação da incerteza pode resultar em menor cautela com links e e-mails suspeitos.
- A orientação a curto prazo pode promover a adopção rápida de tecnologias sem considerar a segurança.
- E a indulgência pode levar a compartilhamento excessivo de informações pessoais.
- A consciência da interconexão entre cultura e (In)Segurança é o primeiro passo para promover uma cibersegurança eficaz e mitigar o impacto negativo dessas ameaças nas sociedades¹⁰ .
¹ Promovido pelo INTIC, no passado dia 5 de Setembro de 2023.
² KLUCKHOHN, Clyde: «O coração da cultura é constituído por ideias tradicionais e de valores que estão ligados».
³ Engenharia Social: É uma forma de manipulação psicológica para persuadir alguém a realizar acções específicas.
⁴ HOFSTEDE, Geert (2001) “Culture’s Consequences: comparing values, behaviors, institutions, and organizations across nations”.
⁵ Moçambique nas seis dimensões culturais de Geert Hofstede, conferir: https://clearlycultural.com/geert-hofstede-cultural-dimensions/power-distance-index/
⁶ Phishing: ciberataques em massa. Os criminosos exploram a falta de discernimento dos utilizadores que, ao clicarem em links falsos, acabam por revelar, sem querer, informações confidenciais.
⁷ Ransomware: esquema de sequestro de dados sensíveis que se baseia na encriptação dos ficheiros de um utilizador e na exigência de um resgate em troca da chave de desencriptação.
⁸ Spear-phishing: e-mails falsificados direccionados a indivíduos.
⁹ Malware: é uma abreviatura de “software malicioso”.
¹⁰ Outros autores e livros relevantes nesta matéria: CLARKE, Richard et all, “The Fifth Domain: Defending Our Country, Our Companies, and Ourselves in the Age of Cyber Threats”.
