Ataque cibernético contra bancos: os desafios para a segurança cibernética

Miguel Ángel Mendoza, Especialista em segurança informática da ESET América Latina

Recentemente circulou uma notícia de que o sistema financeiro do México havia sido vítima de um ataque cibernético em que cibercriminosos roubaram cerca de 300 milhões de pesos. Ano passado, o ransomware Petya atingiu bancos na Ucrânia e, quando algum cliente utilizava o caixa eletrônico, os cibercriminosos exigiam o equivalente a R$ 1 mil para devolver à pessoa sua conta bancária.

Os exemplos são diversos já que os ataques aos bancos estão aumentando, embora sob diferentes modalidades. As primeiras ameaças registradas centravam-se nas técnicas de Negação de Serviço (DoS), com o objetivo de deixar as instituições fora de operação. No entanto, logo os atacantes começaram a focar no uso de códigos maliciosos na infraestrutura tecnológica para levar a cabo roubos cibernéticos, incluindo os muitos que comprometem caixas eletrônicos para o saque de dinheiro.

É difícil quantificar o prejuízo de um ataque cibernético para qualquer instituição financeira, uma vez que o impacto não é apenas econômico, mas há outros elementos que dificultam a mensuração, como o dano à imagem e reputação das organizações, a perda de confiança na instituição e até a perda de potenciais clientes. Portanto, o custo de um ataque cibernético para uma instituição pode representar um valor consideravelmente maior do que a quantia extraída pelos atacantes.

Para um gestor de segurança da informação garantir a integridade de um sistema financeiro, diversos pontos precisam ser considerados.

– Contemplar todas as áreas envolvidas: a segurança cibernética não deve ser baseada somente na tecnologia, mas deve ser pensada levando em conta outros pilares que vão desde os regulamentos até os aspectos operacionais. Portanto, é essencial ter os processos, equipe e tecnologia necessários para enfrentar ameaças e ataques.

– Antecipar e minimizar os riscos: Do ponto de vista operacional, os bancos e instituições financeiras podem criar equipes de resposta a incidentes para colaborar, coordenar e trocar informações, bem como ter planos de contingência e lidar com situações críticas. As avaliações de risco são muito úteis para antecipar possíveis cenários adversos e agir de acordo.

– Ter uma equipe preparada: a conscientização é uma atividade fundamental para minimizar riscos, já que um time informado, treinado e conscientizado representa uma linha de defesa. Além disso, é necessário aplicar controles de segurança para todos, antes, durante e ao final do vínculo empregatício.

– Atualização da infraestrutura tecnológica: no campo tecnológico, a revisão contínua da infraestrutura é um preceito básico para ser utilizado como medida proativa, por exemplo, com avaliações de vulnerabilidade, bem como a criação de inteligência para a detecção precoce de ameaças e reconhecimento de padrões.

– Obedecer às regras do setor: o marco regulatório em torno da cibersegurança bancária implica no cumprimento das leis e regulamentos em vigor, bem como o desenvolvimento e aplicação de outras iniciativas necessárias ao setor.

– Implementar resiliência operacional: um dos mais importantes aspectos da cibersegurança é a resiliência operacional, que significa a capacidade de uma organização para levar a cabo sua missão em circunstâncias adversas. Utilizar a resiliência operacional é uma maneira de atender a capacidade de processos e serviços críticos, a fim de mantê-los disponíveis diante de eventos inesperados e indesejados. Esse aspecto é parte fundamental da implementação da segurança com uma abordagem holística e transversal a todos os processos críticos da organização.

Há uma consciência crescente da necessidade de segurança cibernética no contexto de um cenário adverso. No entanto, mais esforços e recursos são necessários para enfrentar o problema. Por exemplo, um dos resultados do ESET Security Report 2018 mostra que apenas 1 em cada 10 empresas considera implementar uma solução de segurança móvel. Enquanto isso, a cada dia são identificadas novas vulnerabilidades e desenvolvidas novas ameaças para dispositivos móveis. Em outras palavras, enquanto os riscos aumentam, as tecnologias de segurança são pouco usadas, então a diferença, longe de ser reduzida, acaba crescendo.

Se quiséssemos ver o lado positivo desse tipo de incidente, poderíamos indicar que eles contribuem para mostrar à sociedade a relevância da segurança cibernética nesses tempos e a importância de abordar o assunto de diferentes perspectivas, uma vez que não se trata apenas de questões tecnológicas.

Os aspectos básicos que uma organização deve considerar para ser cada vez mais protegida estão relacionados a processos, equipe e tecnologia. Ou seja, a aplicação de medidas com diferentes abordagens, desde operacionais, administrativas, técnicas ou tecnológicas, até questões legais e regulatórias. Somente levando tudo isso em conta, uma instituição terá plena possibilidade de garantir sua segurança diante de tantas adversidades que existem atualmente no ambiente corporativo.