Diz o ditado popular: notícia ruim chega rápido. E isso é desejável no caso das ameaças à segurança cibernética. Quanto mais rápido a informação chegar, melhor será a prevenção de ataques, os alertas sobre riscos e, principalmente, maior a chance de evitar prejuízos. Tornar mais ágil o intercâmbio de informações sobre riscos de ataques ao setor financeiro foi exatamente o que levou bancos, FEBRABAN, Banco Central e órgãos do governo a negociar um acordo a ser formalizado em breve, para permitir o compartilhamento de dados sobre ameaças e incidentes cibernéticos.

O assunto é tratado na Subcomissão de Cybersecurity da FEBRABAN, criada em junho do ano passado e que já conta com a participação de 12 instituições do setor.

“A ideia é que uma empresa, um banco ou um órgão compartilhe imediatamente com o sistema qualquer tentativa de ataque, problema ou risco detectado e, assim, todos podem se proteger rapidamente”, diz Adriano Volpini, diretor setorial de Prevenção a Fraudes da FEBRABAN. “No ambiente de cibersegurança, a velocidade da informação e o conhecimento do risco, do método da ameaça, de como ela se materializa, valem muito e trazem ganhos ao mercado.”

Cibele Barreto

“No ambiente de cibersegurança, a velocidade da informação e o conhecimento do risco, do método da ameaça, valem muito e trazem ganhos ao mercado”

— Adriano Volpini, diretor da FEBRABAN

Por meio de uma plataforma virtual, já em fase de teste, as instituições podem fornecer informações sobre data, horário, tipo de ameaça detectada assim como sistemas afetados e o que fez para resolver o problema identificado, alertando automaticamente os demais parceiros cadastrados. No segundo semestre, um projeto-piloto deve ser acompanhado pela subcomissão, para, em seguida, entrar em operação.

O acordo para a troca de informações no setor deve ser assinado com o FS-ISAC (Financial Services Information Sharing and Analysis Center), um centro de compartilhamento e análise de informações de serviços financeiros dos EUA, que funciona como uma organização sem fins lucrativos e conta com 7 mil membros em 39 países.

Além da troca de dados sobre ameaças e incidentes físicos e cibernéticos, a entidade internacional orienta os associados com informações de provedores de serviços financeiros, empresas de segurança comercial, entidades governamentais e outras fontes de dados confiáveis.

“Alertas, análises, relatórios com melhores práticas e outras informações críticas são rapidamente disseminadas entre os associados de todas as regiões para ajudar o setor financeiro global a se preparar, responder e mitigar riscos”, informa o FS-ISAC.

O compartilhamento de informações é uma das medidas que o Banco Central recomenda na resolução que prepara para implementar uma política de segurança cibernética no país. A medida conta com apoio das instituições financeiras e entidades do setor.

A minuta da proposta da resolução foi apresentada em uma consulta pública, de número 57, aberta em setembro e encerrada em novembro do ano passado. Entidades como a FEBRABAN, instituições financeiras, prestadores de serviços de armazenamento de dados, entre outros, encaminharam 85 sugestões para a regulação do tema (leia mais sobre o assunto nesta edição).

“A iniciativa de regulação considera a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro, o que requer que as instituições tenham controles e sistemas de segurança cibernética cada vez mais robustos, especialmente quanto à resiliência a ataques cibernéticos”, informa o Banco Central. “A regulamentação traz avanços à medida que uniformiza a visão de risco de cibersegurança no sistema financeiro”, diz Volpini. “Apoiamos essa resolução, que é importante não só para o momento atual, mas, principalmente, para o futuro do sistema.”

A resolução também facilita o processo de troca de informações entre as instituições, que passa a ser protegido por uma regulamentação. “Assim, não há que se falar de problemas como quebra de sigilo, por exemplo”, completa o diretor da Federação.

O compartilhamento de informações é visto como uma ação inteligente por especialistas em cibersegurança. “Os ataques crescem em complexidade, sofisticação técnica e audácia”, avalia a pesquisadora norte-americana Joan McGowan, analista em finanças da consultoria Celent, com 18 anos de experiência em tecnologia e estratégias de crescimento para os mercados financeiros globais. “Para ter uma chance de enfrentar isso, os bancos devem ser mais colaborativos e estar dispostos a compartilhar inteligência de ameaças cibernéticas com seus pares.”

Aqui e lá

Parcerias, inclusive fora do país, chamam a atenção no combate às ameaças cibernéticas. A partir de março, entra em operação em Genebra um centro global para o ciberespaço, criado por instituições dos setores público e privado para prevenir uma “Era das Trevas Global”, segundo anunciou recentemente o Fórum Econômico Mundial – que também divulgou estudo que calcula em US$ 500 bilhões por ano os prejuízos anuais, em todo o globo, com os crimes cibernéticos.

As perdas com crimes virtuais podem chegar a US$ 6 trilhões em 2021, na estimativa da Cyberventures, consultoria internacional na área de especializada em segurança da internet.

Os investimentos e as ações foram reforçados principalmente após o WannaCry, primeiro ciberataque em larga escala que atingiu ao menos 150 dos 193 países existentes no mundo. Embora o montante movimentado não tenha sido dos mais expressivos, o bloqueio de computadores em consequência do ataque afetou serviços públicos e empresas de grande porte.

Mas é no ramo financeiro que as ações e o debate mais avançam para buscar a redução das fragilidades e a propagação de soluções cada vez mais eficientes e evitar danos às instituições e aos clientes. Dados de um estudo global da consultoria Accenture mostram que o setor financeiro é um dos mais visados: foi alvo de 85% das tentativas de ataques em 2016, e, o mais preocupante: 33% dessas tentativas foram bem-sucedidas. A média de tempo que o setor levou para detectar um incidente foi de 59 dias.

Como se preparar?

Do alto ao baixo escalão, treinamento e mudança de cultura são necessários em qualquer instituição quando o assunto é cibersegurança, avalia Vanessa Fonseca, gerente sênior da Accenture Strategy.

“A segurança não é um assunto restrito somente ao departamento de TI; é um problema que atinge a empresa, tem impacto em sua imagem e em seus negócios”, diz a executiva. “Por isso, o treinamento constante e a mudança de cultura são essenciais: tem de haver engajamento do CEO e de funcionários de todos os níveis.”

“A segurança não é um assunto restrito somente ao departamento de TI. É um problema que atinge a empresa, tem impacto em sua imagem e em seus negócios”

— Vanessa Fonseca, da Accenture Strategy

Isso porque a engenharia social, por meio de clientes ou funcionários, é um dos principais métodos usados pelos invasores nos ataques cibernéticos. Há casos insólitos, como o de uma secretária de uma grande empresa, alvo de invasores que se aproximaram dela nas redes sociais ao identificarem sua paixão por gatos, criando laços para acessar dados e chegar a informações confidenciais do CEO e da empresa onde trabalhava a profissional.

No Brasil, os bancos investem ao menos R$ 2 bilhões por ano em sistemas de tecnologia da informação (TI) voltados para segurança. O valor corresponde a cerca de 10% dos gastos totais do setor com essa área.

“Um de nossos projetos para o futuro é a utilização de inteligência artificial e machine learning, como meio de potencializar a proteção, prevenção e resposta a ataques cibernéticos”, diz José Eduardo Moreira Berg, diretor de Segurança Institucional do Banco do Brasil, uma das instituições bancárias que elegeu a segurança cibernética como um tema estratégico.

A inteligência artificial pode ser usada, por exemplo, para ajudar a distinguir mais rapidamente quais eventos monitorados poderiam ter maior probabilidade de ser um ataque, auxiliando a tomada decisão dos especialistas envolvidos no processo de análise e de resposta a incidentes de segurança. Já no caso do machine learning, a ideia é contribuir com soluções de antivírus e antimalware. “Em vez de ter que atualizar constantemente a lista de vírus e malwares existentes, esse tipo de solução pode aprender a detectar um programa espúrio pelo tipo de comportamento”, explica o executivo.

“O Banco do Brasil tem investido muito em segurança cibernética. É natural que as empresas de uma forma geral aumentem a fatia do orçamento nesta área, em consonância com as estratégias advindas do modelo digital. O orçamento, nos últimos anos, tem crescimento na ordem de 25%”, afirma Moreira Berg.

Em relação ao cenário de fraudes, o BB verificou que a quantidade de ataques contra clientes tem aumentado em função do crescimento do uso de celular e internet para movimentação bancária. No setor, 57% das transações bancárias em 2016 foram feitas de forma digital.

Segundo dados mais recentes disponibilizados pelo Banco no Brasil, os ataques nos canais internet cresceram 13% nas contas de pessoa jurídica e 85% nas de pessoa física na comparação entre o segundo trimestre e o primeiro trimestre de 2016. Nos terminais de autoatendimento, o aumento foi de 3%.

“Para combater esses ataques, o Banco do Brasil investe fortemente na massificação do uso da biometria e do BB Code, o que deve gerar redução de 14% nos incidentes nos terminais e 35% na internet”, informa o banco. O BB Code é uma solução para autorização de transações na internet baseada na tecnologia QR Code (código de barras bidimensional) e criptografia.

No caso do mobile (pessoa física) e atendimento telefônico, houve queda nos ataques respectivamente de 70% e 30% no mesmo período. A expectativa era de nova redução de 13% até dezembro de 2017 na comparação com 2016.

Funcionários e clientes são alvos prioritários do treinamento e de programas de conscientização do Bradesco, assim como de investimentos para a área de segurança. Em 2017, 8% do orçamento de TI do banco foi alocado para a evolução do ambiente da organização e proteção dos dados dos clientes.

O uso do big data para identificar em tempo real possíveis ataques às máquinas de autoatendimento rendeu ao banco uma premiação, na categoria Cyber Security, do “Tech Projects of the Year Awards”. O Bradesco também se destacou no uso de mecanismos de inteligência e análise comportamental para identificar ações maliciosas na internet.

Entre os projetos do Bradesco está o aprimoramento da prevenção e detecção utilizando tecnologias de inteligência artificial, o compartilhamento de cyber inteligência e mecanismos de monitoramento dentro e fora da organização para se antecipar a ameaças.

Mais ainda há muito pela frente em relação à educação digital. “Precisamos fazer evoluir o engajamento e compartilhamento de informações; criar mecanismos e meios estruturados, não somente nas instituições e nos órgãos que as representam, mas em diversas frentes da sociedade, desenvolvendo um ecossistema de educação digital, onde seja possível a geração de conhecimento, cultura e fortalecimento da prática de proteção para empresas e clientes”, diz Walkiria Marchetti, diretora-executiva do Bradesco.

Divulgação

“Precisamos evoluir o engajamento e compartilhamento de informações”

— Walkiria Marchetti, do Bradesco

Hercílio Silva, gerente da área de Segurança Tecnológica da Caixa, alerta para a sofisticação dos ataques. “É essencial ampliar a cultura de cibersegurança nas empresas e para os clientes, pois a tendência é de sofisticação e ampliação dos ataques”, diz o executivo, ao mencionar soluções de segurança com inteligência, como security analytics e machine learning. “As pessoas podem ser o elo fraco mesmo com adoção de soluções de proteção.”

“A melhoria em segurança deve ser contínua, o que exige soluções ativas e atualizadas, monitoração constante, detecção e reação rápida, além de ampliar e formar equipes”, receita Silva.

O gerente da Caixa também avalia que é preciso investir em ferramentas para proteger os clientes nas operações bancárias que envolvem comércio eletrônico e uso de celulares. A maior exposição a internet, nuvem e IoT (internet das coisas) exige respostas cada vez mais ágeis.

Soluções avançadas de CyberDefense (tecnologias militares adaptadas à área civil) já são testadas com ao menos dez bancos de médio e grande porte pela Stefanini Rafael, empresa que surgiu da joint-venture da Stefanini com a Rafael, da área de soluções avançadas de Inteligência. Parte dessas ferramentas já é usada por governos e áreas de defesa de vários países, como Israel, para proteger seus sistemas.

Longinus Timochenco, diretor de CyberDefense LATAM da Stefanini Rafael, explica que as ferramentas disponíveis têm ainda o auxílio de big data de segurança e machine learning (inteligência artificial) para aprender comportamentos e fazer análises que permitem identificar vulnerabilidades e ferramentas maliciosas disponíveis no cyber espaço em ambientes como deep web (camada subterrânea da internet em que hackers compartilham informações), por exemplo.

Essas soluções abastecem o sistema de informações internas e externas e antecipam possíveis estratégias e métodos de ataque, garantindo mais segurança às empresas. “As empresas não utilizam nem 40% do potencial de segurança”, diz o executivo.

Ele faz questão de frisar um ponto: “as empresas e as instituições podem adotar diversas soluções, investir, mas precisam se conscientizar de que pequenos gestos colocam em risco informações valiosas e comprometem a segurança de uma corporação”. Francisco Camargo, presidente da Abes (Associação Brasileira das Empresas de Software), tem a mesma avaliação: é importante investir na educação de colaboradores e conscientizar empresas, governo e população sobre a importância das medidas de prevenção.

Cibersegurança no setor financeiro brasileiro

Pesquisa com 151 empresas mostra como as instituições se preparam para enfrentar as ameaças no ambiente cibernético

OS ATAQUES

Principais motivos identificados entre os que atacam:

  • Obter ganho financeiro
  • Roubar, manipular ou adulterar informações
  • Conseguir vantagens competitivas e informações confidenciais de empresas concorrentes
  • Fraudar, sabotar ou expor a instituição invadida, por vingança
  • Promover ideias políticas e/ou sociais
  • Praticar o terror e disseminar pânico e caos
  • Enfrentar desafios e/ou ter adoração por hackers famosos

OS MÉTODOS

Os invasores utilizam vários métodos para os ataques cibernéticos.

Os mais comuns:

1) Malware – softwares desenvolvidos para corromper computadores e redes por meio de:

  • Vírus: software que causa danos a máquina, rede, softwares e banco de dados
  • Cavalo de Troia: aparece dentro de outro software e cria uma porta para a invasão do computador
  • Spyware: software malicioso para coletar e monitorar o uso de informações
  • Ransomware: software malicioso que bloqueia o acesso a sistemas e bases de dados, solicitando um resgate para que o acesso seja reestabelecido

2) Engenharia social – métodos de manipulação para obter informações confidenciais, como senhas, dados pessoais e número de cartão de crédito:

  • Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento
  • Phishing: links transmitidos por e-mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais
  • Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais
  • Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais
  • Acesso pessoal: pessoas localizadas em lugares públicos como bares, cafés e restaurantes que captam qualquer tipo de informação que possa ser usada posteriormente para um ataque

3) Ataques de DDoS (distributed denial of services) e botnets – ataques com objetivo de negar ou atrasar o acesso aos serviços ou sistemas da instituição

  • No caso dos botnets: o ataque vem de um grande número de computadores infectados utilizados para criar e mandar spam ou vírus, ou inundar uma rede com mensagens resultando na negação de serviços

4) Invasões (advanced persistent threats) – ataques realizados por invasores sofisticados, usando conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico

O QUE ESTÁ EM DISCUSSÃO NO SETOR

  • O Banco Central publicou uma proposta de resolução para implementar uma política de segurança cibernética no país
  • Uma consulta pública sobre o tema, a de nº 57, foi aberta em 19 de setembro e encerrada em 21 de novembro pela instituição
  • O BC está avaliando 85 sugestões e comentários de entidades, instituições financeiras, prestadores de serviços de armazenamento de dados e cidadãos que foram encaminhados sobre o tema e deve considerá-las no texto
  • Após ser aprovada pela diretoria colegiada do banco, a nova proposta, que deve incluir as sugestões feitas, será encaminhada ao Conselho Monetário Nacional (CMN)
  • Até o segundo semestre, a resolução com as regras da política de cibersegurança no Brasil deve ser publicada

O que prevê a resolução:

  • conteúdo mínimo da política de segurança cibernética no país
  • requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo exigências contratuais mínimas
  • exigências quanto ao tratamento dos incidentes relacionados ao ambiente cibernético
  • ações para o compartilhamento de informações sobre esses incidentes

A consulta pública sobre cibersegurança

O QUE É

A Consulta Pública nº 57 foi divulgada pelo Banco Central do Brasil em 19 de setembro de 2017 e encerrada em 21 de novembro de 2017

OBJETIVO

Implementar uma política de segurança cibernética

COMO É FEITA

Um edital apresenta a minuta de resolução com temas importantes e as entidades do setor, bancos e interessados encaminham suas propostas para participarem da consulta

TEMAS QUE O BANCO CENTRAL QUER INCLUIR NA PROPOSTA

  • obrigatoriedade de as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil implementarem política de segurança cibernética e estabelecendo o conteúdo mínimo dessa política
  • requisitos a serem observados pelas instituições para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo exigências contratuais mínimas
  • exigências quanto ao tratamento dos incidentes relacionados ao ambiente cibernético e prevê que as instituições devem desenvolver ações para o compartilhamento de informações sobre esses incidentes

O QUE OCORREU

No período de consulta pública foram recebidas 85 sugestões ou comentários de diversas entidades, incluindo associações representativas de instituições financeiras, prestadores de serviços de processamento e armazenamento de dados, instituições financeiras individuais, entidades públicas e cidadãos

PRÓXIMOS PASSOS

O Banco Central está avaliando essas contribuições, a fim de aprimorar o texto da proposta. Depois, o novo texto será submetido à apreciação da Diretoria Colegiada do BC. Se aprovado, será encaminhado para a análise e deliberação do Conselho Monetário Nacional

Conheça as principais sugestões feitas pela FEBRABAN

ASSUNTO: manutenção no Brasil das cópias de segurança dos dados e das informações armazenados pela empresa contratada, bem como das informações sobre os seus processamentos

FEBRABAN:

  • A adoção de centralização da cópia dos dados localmente pode constituir um ponto de vulnerabilidade e ferir o princípio de resiliência buscado com a adoção de soluções em nuvem
  • A distribuição dos dados, com os devidos controles de segurança, garante maior nível de resiliência em caso de ataque cibernético distribuído
  • A limitação de somente adotar soluções de cloud locais para armazenar as cópias dos dados pode gerar inviabilidade financeira de adoção, prejudicando a competitividade das instituições financeiras, até mesmo prejudicando a inovação e adoção de novas tecnologias disruptivas no mercado financeiro

ASSUNTO: Aplicações de correções de segurança (patches) em hardware e software

FEBRABAN:

  • Declarar as especificidades dos hardwares e softwares que serão atualizados pode limitar a abrangência do controle de correções

ASSUNTO: Adoção de procedimentos e controles em níveis de complexidade, abrangência e precisão semelhantes aos utilizados pela própria instituição financeira, perante terceiros

FEBRABAN:

  • Não é possível exigir o mesmo nível de segurança para todos os tipos de terceiros, prestadores de serviços
  • O uso de classificação de controles por criticidade do serviço de terceiros prestado deve estar equiparado ao nível de acesso aos dados, aos sistemas e a rede dos terceiros em questão

ASSUNTO: obrigação de prever na Política de Segurança Cibernética rotinas, controles e tecnologias

FEBRABAN:

  • Dar publicidade de forma detalhada sobre as rotinas, os controles e as tecnologias utilizadas expõe as instituições financeiras às vulnerabilidades
  • A ideia é apenas mencionar os controles adotados na política de segurança sem que haja a necessidade de publicação da política para terceiros

ASSUNTO: Vedação de contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior

FEBRABAN:

  • A garantia que o regulador terá os acessos aos dados independe da localização física dos dados
  • A utilização do serviço distribuído em nuvem favorece a continuidade de acesso aos dados mesmo em casos de isolamento da rede do país em virtude de ataques cibernéticos organizados e direcionados a infraestruturas nacionais
  • É essencial a oferta de serviços em instituições com presença global
  • A vedação sobre a contratação dos serviços em nuvem fora do país pode gerar maiores custos para as instituições
  • As instituições brasileiras que fazem parte de conglomerados financeiros internacionais podem se beneficiar de centros de processamento de dados e serviços de TI localizados e prestados globalmente
  • Sob a perspectiva das instituições de pequeno e médio porte, tal medida pode impactar diretamente nos modelos de negócios desenvolvidos por essas instituições e até mesmo por fintechs