As instituições financeiras estão entre as principais vítimas de ciberataques. Entre 2021 e 2022, as ameaças direcionadas a serviços financeiros na América Latina aumentaram 419%, ultrapassando em números absolutos, durante este ano, a casa dos 20 milhões segundo o estudo "Enemy atthe Gates – AnalyzingAttackson Financial Services". Diante desse cenário, empresas de cibersegurança afirmam que os bancos e as fintechs demandam um atendimento específico e minucioso para evitar que dados sensíveis vazem e prejudiquem seus clientes.
A segurança reforçada dessas companhias é extremamente importante, pois lidam com a proteção de dados sensíveis, devem cumprir regulamentação, lidam com a confiança do cliente e devem manter a resiliência dos negócios. Sendo assim, os bancos estabelecem a necessidade da realização de testes de intrusão regulares, e cada um deles tem suas especificidades, mas um processo maduro de cibersegurança vai bem além do que somente esses testes.
Segundo o executivo, a criatividade dos ataques surpreende a cada ano, principalmente quando direcionados a instituições financeiras. E, com a evolução da tecnologia de Inteligência Artificial, as soluções precisaram se reinventar. Os testes de sistemas biométricos são um exemplo disso, é preciso variar de acordo com o tipo e aplicação. Por exemplo, para sistemas de biometria de voz, é preciso fazer uso de programas que, por meio de IA, conseguem reproduzir o mesmo timbre e assim "clonar" a voz para contornar o sistema.
No caso de biometria facial, de acordo com o especialista, também existe uma ampla gama de testes a serem realizados, desde aqueles razoavelmente simples, como um gêmeo tentar acessar o sistema se passando pelo outro gêmeo, até o uso de máscaras 3D realistas, máscaras 2D simples de papel ou cartolina, o uso de foto da "vítima" em diferentes telas, entre outros. São inúmeros os cenários e é preciso abordar todos eles para construir uma segurança bem feita.
Por isso, para além dos pentests mais tradicionais, as empresas precisam oferecer ferramentas para monitoramento de ataques, além da criação de processos robustos de segurança da informação, sistemas antifraude, uso de criptografia de ponta, prevenção e detecção de intrusão, prevenção de vazamento de informações, segurança de endpoints, backups periódicos, gestão de incidentes, entre outros.
Muita coisa em jogo
Não investir em cibersegurança pode trazer inúmeros prejuízos para empresas no geral, entretanto, no caso do mercado financeiro, os bancos e as fintechs são os mais prejudicados, pois há muita coisa em jogo. Essas são empresas que lidam com uma grande quantidade de dados sensíveis de clientes, incluindo informações pessoais e financeiras. Um vazamento de dados pode resultar em danos financeiros significativos para os clientes, além de danos à reputação do banco ou fintech.
Por isso, existem diversas leis e regulamentações em vigor que exigem que as instituições financeiras tomem medidas adequadas para proteger esses dados – e o não cumprimento dessas regras pode resultar em multas pesadas.
Os frameworks TIBER do Banco Central Europeu, MAS de Cingapura, CBEST do Banco da Inglaterra, BaFin da Alemanha, e até mesmo a norma 4.893 do BACEN, no Brasil, estabelecem diretrizes em que testes de intrusão podem ser úteis para alcançar conformidade com tais regulamentações. Algumas normas de cibersegurança, como as do MAS, se não cumpridas à risca, podem fazer o banco ter sua licença de operação suspensa.
Para além disso, segundo o executivo, o investimento nessa área garante não apenas mais confiança do cliente, mas também uma oportunidade de se diferenciar no mercado, sem interrupções operacionais causadas por potenciais ataques. Além, é claro, da possibilidade de inovação e adoção de novas tecnologias, sem novos riscos de segurança.
Atualmente, dados da pesquisa da Febraban de Tecnologia Bancária 2022 revelam que 54% dos bancos participantes estão buscando aumentar seus investimentos em cibersegurança na infraestrutura tecnológica. Além disso, 42% preveem investimentos em tecnologia de prevenção a ameaças cibernéticas e 38% em segurança da nuvem para este ano.
Julio Cesar Fort, Sócio e Diretor de Serviços Profissionais da Blaze Information Security.