Recentemente, a rede do consórcio internacional SWIFT (Society of Worldwide Interbank Financial Telecommunications), tornou público o fato de que algumas fraudes milionárias vêm ocorrendo no sistema financeiro internacional. Tais fraudes já podem ter somado mais de uma dúzia, em diferentes instituições e países, resultando em perdas de mais de 100 milhões de dólares apenas neste ano.
O caso envolve ataques a bancos menos protegidos, permitindo aos criminosos obter credenciais de operadores e efetuar transações não legítimas. Os ataques seguem em investigação, mas um fato já é sabido: foram perpetrados por gente com conhecimento técnico e do sistema financeiro, em ações sofisticadas e meticulosamente planejadas e executadas.
Apesar dos milhões de dólares roubados, o principal dano decorrente dos ataques é um ativo ainda mais importante e menos tangível: a confiança do sistema financeiro internacional. Normalmente, assume-se que se uma instituição submete à rede SWIFT uma transação, esta é legítima e pode ser confiável e aceita por outras. Hoje temos mais de 11.000 instituições financeiras que usam a rede SWIFT globalmente, as quais relacionam-se entrei si com base nesta confiança.
Claro, cada banco precisa ser responsável pela sua própria segurança, e a proteção do sistema bancário global só pode ser assegurada coletivamente. Como se sabe, em um sistema baseado na confiança, a corrente é tão forte quanto seu elo mais fraco. Por isso, recomenda-se que os bancos revejam imediatamente seus processos e sistemas (especialmente aqueles que se relacionam com a SWIFT) e tomem medidas corretivas, se necessário. Com esse propósito, apontamos 5 pontos importantes:
Mantenha um Processo de Gestão de Riscos, que constantemente avalie como novas ameaças, tecnologias, e mudanças no ambiente de negócios refletem no nível de risco da organização. Tal processo deve assegurar que os riscos sejam identificados, avaliados e que suportem a tomada de decisão acerca de quais controles de segurança são necessários para mantê-los sempre dentro do patamar considerado aceitável pela organização.
Mantenha processos de monitoração de incidentes e inteligência de ameaças, de modo a assegurar que os alertas relevantes sejam detectados (e somente estes, já que hoje a complexidade dos ambientes tecnológicos gera uma quantidade enorme de eventos e torna o foco no que é realmente relevante difícil, algo como procurar agulha no palheiro). Ferramentas de correlação de eventos e plataformas SIEM (Security Incident & Event Management) serão cruciais para lidar com o desafio. Técnicas de Security Analytics que identificam comportamentos anômalos e geram alertas independentemente de assinaturas de ataques conhecidos é uma camada adicional ao SIEM e igualmente importante. Some a isso profissionais qualificados, em operação 24×7, bases de regras de correlação e análise de dados robustas, bem como mecanismos para melhoria contínua destas bases; processos maduros para análise, confirmação e priorização dos incidentes para garantir seu tratamento apropriado; e Resposta a Incidentes por meio de processos, ferramentas e profissionais qualificados.
Proteja-se de acessos não autorizados, pois estes são o coração do problema na rede SWIFT. Tenha um diretório de usuários limpo, assim como os perfis de acesso de cada sistema crítico. Limite o número de credenciais privilegiadas, e revise periodicamente os direitos de acesso concedidos. Utilização de autenticação forte (multifatorial), datas de expiração para senhas e contas, registro das ações realizadas por usuários, auditorias frequentes são alguns outros exemplos de controles relacionados ao tema.
Persista na conscientização e treinamento dos usuários, pois como se sabe as pessoas são o alvo mais vulnerável, e é um dos recursos mais abundantes dentro das empresas. Podem ser usuários bem-intencionados da tecnologia, mas sem treinamento ou conscientização adequados. Em uma empresa com 10.000 usuários de tecnologia (sejam funcionários ou terceiros), uma campanha com efetividade de 98% ainda deixará 200 pessoas vulneráveis – sem mencionar o desafio da rotatividade e a necessidade de reciclagem e atualização para fazer frente à constante evolução das ameaças.
Prepare-se para o pior, e considere que o atacante terá sucesso. Os ataques descritos acima ilustram que sistemas sensíveis são altamente visados por criminosos sofisticados, como o crime organizado. É cruel, mas é preciso admitir que a balança tende para o lado deles – o atacante pode tentar mil vezes e basta apenas uma para ter sua missão cumprida; ao passo que ao gestor de segurança exige-se a perfeição e sucesso todas as mil vezes, importando menos as 999 que obteve sucesso em deter o atacante. Assim, é mais realista perguntar-se "E se…?"; e avaliar como a segurança reage e qual o nível de resiliência da organização caso o pior aconteça. Trabalhar com Escopo de Confiança Reduzido (Reduced Scope of Trust ou RSOT), segundo o Gartner, é a melhor alternativa para isolar sistemas sensíveis. Isso pode ser implementado por soluções avançadas de microssegmentação, segurança definida por software, que incluem o uso de criptografia fim a fim e mesmo técnicas para tornar os sistemas "invisíveis" a técnicas de varredura de rede utilizadas por atacantes. O resultado final é que, se um sistema crítico qualquer (como um sistema ligado à rede SWIFT) é isolado por meio de microssegmentação, o mesmo segue isolado e protegido dos criminosos.
Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.
