Recentemente circulou uma notícia de que o sistema financeiro do México havia sido vítima de um ataque cibernético em que cibercriminosos roubaram cerca de 300 milhões de pesos. Ano passado, o ransomware Petya atingiu bancos na Ucrânia e, quando algum cliente utilizava o caixa eletrônico, os cibercriminosos exigiam o equivalente a R$ 1 mil para devolver à pessoa sua conta bancária.
Os exemplos são diversos já que os ataques aos bancos estão aumentando, embora sob diferentes modalidades. As primeiras ameaças registradas centravam-se nas técnicas de Negação de Serviço (DoS), com o objetivo de deixar as instituições fora de operação. No entanto, logo os atacantes começaram a focar no uso de códigos maliciosos na infraestrutura tecnológica para levar a cabo roubos cibernéticos, incluindo os muitos que comprometem caixas eletrônicos para o saque de dinheiro.
É difícil quantificar o prejuízo de um ataque cibernético para qualquer instituição financeira, uma vez que o impacto não é apenas econômico, mas há outros elementos que dificultam a mensuração, como o dano à imagem e reputação das organizações, a perda de confiança na instituição e até a perda de potenciais clientes. Portanto, o custo de um ataque cibernético para uma instituição pode representar um valor consideravelmente maior do que a quantia extraída pelos atacantes.
Para um gestor de segurança da informação garantir a integridade de um sistema financeiro, diversos pontos precisam ser considerados.
– Contemplar todas as áreas envolvidas: a segurança cibernética não deve ser baseada somente na tecnologia, mas deve ser pensada levando em conta outros pilares que vão desde os regulamentos até os aspectos operacionais. Portanto, é essencial ter os processos, equipe e tecnologia necessários para enfrentar ameaças e ataques.
– Antecipar e minimizar os riscos: Do ponto de vista operacional, os bancos e instituições financeiras podem criar equipes de resposta a incidentes para colaborar, coordenar e trocar informações, bem como ter planos de contingência e lidar com situações críticas. As avaliações de risco são muito úteis para antecipar possíveis cenários adversos e agir de acordo.
– Ter uma equipe preparada: a conscientização é uma atividade fundamental para minimizar riscos, já que um time informado, treinado e conscientizado representa uma linha de defesa. Além disso, é necessário aplicar controles de segurança para todos, antes, durante e ao final do vínculo empregatício.
– Atualização da infraestrutura tecnológica: no campo tecnológico, a revisão contínua da infraestrutura é um preceito básico para ser utilizado como medida proativa, por exemplo, com avaliações de vulnerabilidade, bem como a criação de inteligência para a detecção precoce de ameaças e reconhecimento de padrões.
– Obedecer às regras do setor: o marco regulatório em torno da cibersegurança bancária implica no cumprimento das leis e regulamentos em vigor, bem como o desenvolvimento e aplicação de outras iniciativas necessárias ao setor.
– Implementar resiliência operacional: um dos mais importantes aspectos da cibersegurança é a resiliência operacional, que significa a capacidade de uma organização para levar a cabo sua missão em circunstâncias adversas. Utilizar a resiliência operacional é uma maneira de atender a capacidade de processos e serviços críticos, a fim de mantê-los disponíveis diante de eventos inesperados e indesejados. Esse aspecto é parte fundamental da implementação da segurança com uma abordagem holística e transversal a todos os processos críticos da organização.
Há uma consciência crescente da necessidade de segurança cibernética no contexto de um cenário adverso. No entanto, mais esforços e recursos são necessários para enfrentar o problema. Por exemplo, um dos resultados do ESET Security Report 2018 mostra que apenas 1 em cada 10 empresas considera implementar uma solução de segurança móvel. Enquanto isso, a cada dia são identificadas novas vulnerabilidades e desenvolvidas novas ameaças para dispositivos móveis. Em outras palavras, enquanto os riscos aumentam, as tecnologias de segurança são pouco usadas, então a diferença, longe de ser reduzida, acaba crescendo.
Se quiséssemos ver o lado positivo desse tipo de incidente, poderíamos indicar que eles contribuem para mostrar à sociedade a relevância da segurança cibernética nesses tempos e a importância de abordar o assunto de diferentes perspectivas, uma vez que não se trata apenas de questões tecnológicas.
Os aspectos básicos que uma organização deve considerar para ser cada vez mais protegida estão relacionados a processos, equipe e tecnologia. Ou seja, a aplicação de medidas com diferentes abordagens, desde operacionais, administrativas, técnicas ou tecnológicas, até questões legais e regulatórias. Somente levando tudo isso em conta, uma instituição terá plena possibilidade de garantir sua segurança diante de tantas adversidades que existem atualmente no ambiente corporativo.
Por Miguel Ángel Mendoza, Especialista em segurança informática da ESET América Latina
