Segurança da informação nos bancos. Qual é o caminho?

Segurança da informação nos bancos – qual é o caminho?

Antes de ser um profissional de segurança da informação, sou cliente de bancos, já tendo passado por vários deles. Os bancos fazem parte de nossas vidas, e eu, pelo menos, não consigo viver sem eles. E é uma situação difícil dizer que nossa vida como cliente não é fácil, apesar de ver evoluções, principalmente com o mundo móvel.

Usuários são os alvos

Uma das questões que me fascina é: como os bancos sofrem tantas fraudes, mesmo com tantos investimentos em segurança da informação, e com a implantação de tantos controles que, além de tudo, muitas vezes dificultam a vida dos usuários?

É claro que há uma série de fatores para explicar estas perdas com fraudes, tais como o crime organizado sempre ir na direção do lucro mais fácil e com menor risco, ou o fato das fraudes ocorrerem onde há, obviamente, dinheiro. Mas o fator mais citado normalmente é que os usuários são o elo mais fraco da corrente, o que leva às fraudes nos canais digitais dos bancos, que ocorrem pelo ataque aos dispositivos ou às identidades dos clientes, e não aos sistemas internos dos bancos.

Mas, será que, tendo isso em vista, a vida dos usuários precisa ser tão difícil, com a obrigação de memorização de múltiplas senhas, de ter que usar tokens em chaveiro ou cartões, de ter que instalar softwares em nossos computadores, de ter que cadastrar computadores, de ter que usar informações em conjunto com os dispositivos móveis, de ter que validar transações ligando para o banco? E volto para a questão que me fascina.

Sistemas internos dos bancos são os alvos

payment-systems-1169825_960_720

Aposto que você sempre escutou que sistemas internos dos bancos são muito bem protegidos, e praticamente impossíveis de serem atacados. Isso é verdade, porém o Carbanak, revelado em 2015, comprovou algumas teses importantes em segurança da informação. Primeiramente, que o que é seguro hoje não pode ser considerado seguro amanhã. E, que grupos motivados e com recursos (tempo, dinheiro e conhecimento) podem causar incidentes de segurança mesmo em sistemas considerados muito seguros.

O Carbanak é extremamente relevante, e segundo revelou o Kaspersky Lab, afetou mais de 100 bancos de 11 países, causando perdas de US$ 1 bilhão. E o ataque não foi com o roubo de credenciais de usuários ou com o comprometimento de sessões dos usuários do Internet Banking com malwares. Foi com o ataque a sistemas internos dos bancos, que culminou com fraudes em caixas eletrônicos e sistemas de Internet Banking.

Outro exemplo clássico que apareceu na mídia, de 2008, é o do Banco Société Générale, com Jérôme Kerviel causando perdas de EUR$ 4,9 bilhões com transações fraudulentas que abusavam dos acessos a sistemas internos do banco francês.

O caminho

Criminosos buscam sempre o dinheiro, o que faz com que o mercado financeiro seja um de seus alvos preferidos. Há duas frentes básicas que já são tradicionalmente trabalhadas: (i) o ambiente interno, que envolve processos e sistemas, e (ii) os acessos feitos por clientes, ou o endpoint, que pode dar origem a transações fraudulentas.

Ambas as frentes exigem abordagens mais modernas de proteção, que afetem cada vez menos a produtividade dos funcionários, e principalmente os clientes. Isto já acontece e está em constante evolução, envolvendo a definição de estratégias de segurança com foco na visão de negócios, a integração entre as diferentes áreas de negócios com as áreas de segurança, a definição de arquiteturas de segurança que integram os diferentes domínios de segurança da informação, e também a implementação de novas tecnologias de segurança, principalmente aquelas que trazem algoritmos de segurança e dão valor à usabilidade.

O caminho é longo, mas estamos todos construindo este mundo mais seguro, sempre contando com os bancos.

Emilio Nakamura

Mestre em Ciência da Computação pela Unicamp, possui MBA Executivo e as certificações CISSP-ISSAP, ISSMP. Já proferiu treinamentos e palestras no Brasil, Alemanha, Austrália e Inglaterra. Contribui com a comunidade de segurança da informação e comunicação há mais de 18 anos, trabalhando e criando soluções para empresas dos setores de telecomunicações, financeiro, energia, governo e varejo. Autor do livro "Segurança de Redes em Ambientes Cooperativos" que está na 10. edição, possui pedidos de patentes em áreas como proteção de infraestrutura crítica, autenticação e segurança Web. Consciente do papel da segurança da informação na evolução dos negócios e das pessoas, tem aplicado sua experiência em projetos que envolvem arquiteturas e tecnologias de segurança para tornar os negócios e sistemas mais confiáveis tanto para os usuários quanto para as empresas.