O universo bancário brasileiro vive um momento de intensa transformação. A consolidação de diversos serviços financeiros em SuperApps que atendem correntistas, investidores e consumidores (com diversos Market Places integrados) é um desses avanços. O surgimento de novos serviços como o PIX e a criatividade e a agilidade das Fintechs também acelera a mudança. Mas nada altera tanto o horizonte bancário brasileiro como o Open Banking. Construído a partir de APIs (Application Programming Interfaces) que conectam aplicações de bancos que não pertencem a um mesmo grupo, o Open Banking traz liberdade para o correntista realizar negócios com diversas instituições sem que tenha de ter conta corrente em todas elas. Nesse modelo cada correntista tem controle total de seus dados financeiros, podendo dizer sim ou não à proposta de compartilhar seus dados com várias instituições.
A primeira fase de Open Banking é baseada na construção de conexões entre as instituições financeiras S1 (bancos que possuam rendimentos iguais ou superiores a 10% do PIB) e S2 (instituições que ficam na faixa de 1 a 10% do PIB).
O ecossistema do Open Banking brasileiro é protegido pela Lei Complementar 105/2001 (Sigilo Bancário), que proíbe a venda de informações dos correntistas ou investidores para terceiros. Outra coluna da política de segurança e privacidade das instituições que trabalham com Open Banking é a busca constante da conformidade à LGPD (Lei Geral de Proteção de Dados).
A preocupação com a cyber segurança dos bancos integrados ao Open Banking é legítima.
Pesquisa realizada pelo instituto de análise de mercado Deloitte em 2018 com 1000 consumidores da Austrália mostrou que 59% não se sentiam confortáveis com a possibilidade de seus dados serem trocados entre diferentes instituições bancárias. Essas pessoas tinham dúvidas sobre a segurança do ecossistema de Open Banking da Austrália.
A consultoria inglesa YTS, por outro lado, aprofundou a análise desses temores na pesquisa sobre Open Banking realizada com 800 executivos dos mercados financeiros de UK e Netherlands em março de 2021. 38% dos entrevistados disseram temer ataques realizados por gangues digitais, enquanto 36% reconhecem que há vulnerabilidades em seus sistemas e 35% preocupam-se com a incidência de fraudes digitais.
A jornada de proteção ao Open Banking é longa e complexa. Há alguns passos, porém, que podem reduzir os riscos desse ecossistema.
1.Olhar além do perímetro tradicional e avaliar continuamente o ambiente. Ao adotar o Open Banking, as empresas ampliam sua superfície de ataque. A maioria dos programas de gerenciamento de vulnerabilidades legados é focado em ambientes tradicionais de TI. Isso significa que se fica cego em relação às vulnerabilidades dos novos ambientes digitas e das próprias APIs. As equipes de segurança podem ganhar mais visibilidade adotando soluções de gerenciamento de vulnerabilidades robustas e flexíveis que suportem avaliação contínua em todos os tipos de ativos.
2.Usar uma visão holística para proteger os ativos mais críticos. Proteger as iniciativas de Open Banking exige uma abordagem multifacetada. O uso estratégico de gerenciamento de acesso privilegiado pode ajudar a restringir o acesso a sistemas e dados críticos. Resolver erros de configuração no Active Directory pode, por exemplo, ajudar a romper vias de ataque , mesmo se um invasor conseguir obter acesso.
3.Priorizar a remediação dos riscos que afetam os ativos mais críticos. O ambiente de Open Banking exacerba a crise de priorização que já atinge muitas equipes de segurança cibernética. Segundo a Tenable Research, aproximadamente 30 por cento das vulnerabilidades nunca são remediadas e o tempo mediano entre a avaliação e a remediação é de 60 dias, até mesmo para vulnerabilidades críticas. Utilizando informações acerca de ameaças, pesquisa de vulnerabilidade e dados de probabilidade, é possível identificar os riscos mais críticos em toda o ambiente distribuído, focando-se nos 3 por cento das vulnerabilidades com maior probabilidade de ser exploradas pelos invasores.
4.Gerenciar proativamente o risco no ambiente dos parceiros. No ambiente de Open Banking, é crítico proteger as aplicações conectadas e software como serviço (SaaS, software-as-a-service) por meio de agentes de segurança de acesso à nuvem (CASB, cloud access security brokers). Esses pontos de proteção à aplicação gerenciam as políticas de conformidade e acesso em todo o banco e, também, em seus fornecedores externos de dados. É importante estudar a possibilidade de integrar todas as aplicações em uma única solução de gerenciamento de identidade e acesso, fornecendo uma plataforma central para monitoramento da conformidade.
5.Quanto maior a transparência, maior a confiança. O Open Banking exige maior transparência em relação a como as empresas estão usando os dados de consumidores. A LGPD é um incentivo para essa mudança, mas os próprios consumidores estão cada vez mais exigentes em relação a essa questão. É fundamental construir uma relação de confiança com o correntista, sendo transparente sobre como os dados são coletados, armazenados e usados. Essa abordagem é fundamental para que o cliente consiga fazer escolhas bem fundamentadas sobre seus dados pessoais.
No Open Banking, a falha de um banco pode ser a falha de todo o ecossistema.
A chegada do Open Banking ao Brasil multiplica entre várias instituições o tráfego de dados críticos do consumidor. Esse modelo é um imã para gangues digitais. Para manter a confiança dos clientes e evitar as multas da LGPD, as organizações financeiras precisam monitorar de forma contínua todos os ativos, identificando e remediando as vulnerabilidades com maior risco para os negócios.
A conexão entre várias instituições multiplica a vulnerabilidade do Open Banking. É hora de mudar a conversa de segurança, abrindo canais de compartilhamento de melhores práticas entre instituições que, antes, só se viam como competidoras.
Arthur Capella, country manager da Tenable Brasil.