Quando perguntaram a Willie Sutton, um assaltante de bancos nos anos 20 e 30, por que ele assaltava bancos; ele respondeu, "porque é aí que está o dinheiro". A razão é a mesma para justificar porque os bandidos cibernéticos aumentaram seus ataques em geral e a instituições financeiras em particular uma vez que elas são muito mais interessantes e lucrativas do que outras como alvos de ataques cibernéticos.
O estudo de 2020 do Boston Consulting Group constatou que as instituições bancárias e financeiras correm 300 vezes mais risco de um ataque cibernético do que outras empresas, enquanto um estudo da Accenture constatou que o custo médio anual do crime cibernético para empresas de serviços financeiros em todo o mundo aumentou para US$ 18,5 milhões – o mais alto de todos os setores incluídos no estudo e mais de 40% maior do que o custo médio de US$ 13 milhões por empresa em todos os setores.
Ataques recentes bem sucedidos de segurança cibernética
Enquanto os ataques recentes contra Colonial Pipeline, JBS, Equifax, dentre outros, foram bem sucedidos devido à má gestão e concepção da rede, os ataques de malware e ransomware estão se tornando muito mais comuns devido a outras fraquezas sistêmicas. A empresa de segurança cibernética Bluevoyant, realizou uma pesquisa global de risco cibernético junto a 253 CIOs, CISOs e CPOs da indústria de serviços financeiros, que revelou:
- 85% sofreram uma quebra devido a fraquezas em sua cadeia de fornecimento nos últimos 12 meses;
- 38% utilizam dados e análises de risco de fornecedores em seu programa de gerenciamento de risco cibernético de terceiros;
- 38% auditam e relatam riscos cibernéticos de terceiros a cada seis meses ou com menor frequência;
- 89% têm visto aumentos em seu orçamento de gerenciamento de riscos cibernéticos nos últimos 12 meses.
O que as empresas de serviços financeiros podem fazer para se proteger?
O relatório de avaliação de risco para 2020 do Banco Central Europeu identificou os principais fatores de risco que o sistema bancário da zona do euro deverá enfrentar durante os próximos três anos. São eles:
- A digitalização contínua dos serviços financeiros;
- A obsolescência de certos sistemas de informação bancária;
- A interconexão com sistemas de informação de terceiros e, por extensão, a migração para a nuvem.
Devido à complexidade dos sistemas e redes de computadores nos serviços financeiros, há apenas uma estratégia que proporcionará o nível de defesa em profundidade necessário para a proteção contra malware agora e no futuro que é a implementação do modelo Zero Trust.
O Modelo Zero Trust
O modelo Zero Trust, conforme definição pelo National Institute of Standards and Technology (NIST), é baseado nos seguintes princípios:
- Todas as fontes de dados e serviços de computação são consideradas recursos;
- Toda a comunicação é assegurada independentemente da localização da rede;
- O acesso aos recursos individuais da empresa é concedido por sessão;
- O acesso aos recursos é determinado pela política dinâmica – incluindo o estado observável da identidade do cliente, aplicação/serviço e o ativo solicitante – e pode incluir outros atributos comportamentais e ambientais;
- A empresa monitora e mede a integridade e a postura de segurança de todos os bens de propriedade e associados;
- Toda autenticação e autorização de recursos são dinâmicas e rigorosamente aplicadas antes que o acesso seja permitido;
- A empresa coleta o máximo de informações possíveis sobre o estado atual dos ativos, infraestrutura de rede e comunicações e a utiliza para melhorar sua postura de segurança.
O último princípio é a chave para fazer um modelo de Zero Trust realmente funcionar no mundo real. Ao inspecionar todo o tráfego, incluindo comunicações seguras usando a decriptação e inspeção TLS/SSL (SSLi) (Transport Layer Security/Secure Sockets Layer), as organizações financeiras podem rastrear o que está entrando em suas redes e o que está tentando sair. A implementação correta do protocolo de segurança SSLi pode prevenir de forma eficiente e econômica a entrada de malware e a exfiltração de dados sensíveis tornando o modelo Zero Trust robusto e completo para proteger as redes corporativas dos segmentos de serviços financeiros e mercados de fintechs, que estão em expansão rápida, criando um ecossistema cada vez mais complexo.
Ivan Marzariolli, gerente geral da A10 Networks do Brasil.
