A BT está lançando globalmente o serviço BT Assure Ethical Hacking for Finance, um novo serviço de segurança destinado a analisar a exposição das instituições financeiras a ataques cibernéticos.
Dados pessoais sensíveis mantidos por instituições financeiras, como bancos comerciais e de investimento e companhias de seguros, são alvos atraentes para hackers maliciosos e criminosos cibernéticos. Esse risco tem se intensificado nos últimos anos, na medida em que as instituições financeiras cada vez mais operam on-line seus serviços.
O serviço BT Assure Ethical Hacking for Finance emprega métodos que simulam os utilizados pelos "black hats" responsáveis pelos ataques para testar os pontos de entrada dos sistemas de TI dos bancos, assim como os "pontos fracos" de uma organização. Isso inclui esquemas de phishing, dispositivos móveis e hardware – desde laptops até impressoras, redes internas e externas – bancos de dados e complexos sistemas corporativos de planejamento de recursos.
A BT analisa e verifica os sistemas que podem acessar a rede e, ainda, testa o risco de erro humano – por exemplo, a utilização da engenharia social – para examinar como os funcionários estão aplicando as políticas da organização.
O novo serviço tem como base a experiência adquirida pela BT em hacking ético durante as quase duas décadas em que vem trabalhando em estreita colaboração com as principais instituições financeiras dos Estados Unidos. Dentro dos limites estritos das regulamentações, os hackers éticos da BT têm sido capazes de acessar bancos de dados e obter informações relativas a dezenas de milhares de números de previdência social e cartões de crédito; interceptar e modificar dados de cheques depositados por meio de dispositivos móveis; fazer a engenharia reversa de sistemas proprietários de criptografia para transmissão de dados; gerar grandes quantidades de cartões de presente, com informações de pagamento válidas para outras contas de teste; criar contas de administrador a partir da simples abertura de um e-mail por parte de um funcionário; utilizar sessões de acesso remoto para penetrar nos sistemas de interface entre usuários e sistema operacional, com a subsequente criação de túneis para a empresa; transferir fundos entre contas não autorizadas de teste e coletar dados das contas de usuários por meio da comunicação entre máquinas.
O principal objetivo é identificar vulnerabilidades que possam afetar processos de negócios críticos de uma organização, prejudicando sua reputação e sua marca.
Ele, utiliza serviços STAR (Simulated Targeted Attack and Response) certificado pelo CREST para ajudar as empresas do setor financeiro a desenvolver soluções de segurança mais robustas, garantindo que os dados confidenciais de clientes permaneçam seguros. A BT foi uma das primeiras empresas no mundo a obter, em 2014, o credenciamento do CREST para prestar serviços STAR.
Em colaboração com o Bank of England (BoE) e com organizações britânicas privadas e de governo, o CREST desenvolveu os parâmetros STAR para serviços de segurança cibernética baseados em inteligência, compreendendo testes de invasão e de potenciais ameaças, para responder com mais precisão a alertas de segurança cibernéticos que afetem sistemas críticos.
Para Mark Hughes, presidente da BT Security, "a possibilidade de acessar informações financeiras confidenciais atrai os hackers de modo especial; muito poucas empresas atraem a atenção para suas operações on-line como os bancos. Além da perda financeira em si, um ataque sério pode causar danos irreparáveis ??à reputação de instituições financeiras. E embora grande parte das preocupações estejam voltadas para os bancos de varejo, as ameaças também visam bancos de investimento, operações de câmbio e grandes transações de clientes corporativos dos bancos. Encorajamos as instituições financeiras a testar sua segurança por meio de simulações em que nossos consultores em hacking ético levam ao limite suas capacidades de defesa contra ataques cibernéticos".
