Ataque cibernético contra bancos: os desafios para a segurança cibernética
Ataque Cibernético contra Bancos – Por Miguel Ángel Mendoza, Especialista em segurança informática da ESET América Latina
Recentemente circulou uma notícia de que o sistema financeiro do México havia sido vítima de um ataque cibernético em que cibercriminosos roubaram cerca de 300 milhões de pesos.
2017 ano do ransomware Petya
Ano passado, o ransomware Petya atingiu bancos na Ucrânia e, quando algum cliente utilizava o caixa eletrônico, os cibercriminosos exigiam o equivalente a R$ 1 mil para devolver à pessoa sua conta bancária.
Leia também: ESET dá 12 dicas para uma navegação segura
Os exemplos são diversos já que os ataques aos bancos estão aumentando, embora sob diferentes modalidades.
As primeiras ameaças registradas centravam-se nas técnicas de Negação de Serviço (DoS), com o objetivo de deixar as instituições fora de operação.
No entanto, logo os atacantes começaram a focar no uso de códigos maliciosos na infraestrutura tecnológica para levar a cabo roubos cibernéticos, incluindo os muitos que comprometem caixas eletrônicos para o saque de dinheiro.
Os prejuízos são incalculáveis
É difícil quantificar o prejuízo de um ataque cibernético para qualquer instituição financeira, uma vez que o impacto não é apenas econômico, mas há outros elementos que dificultam a mensuração, como o dano à imagem e reputação das organizações, a perda de confiança na instituição e até a perda de potenciais clientes.
Portanto, o custo de um ataque cibernético para uma instituição pode representar um valor consideravelmente maior do que a quantia extraída pelos atacantes.
Para um gestor de segurança da informação garantir a integridade de um sistema financeiro, diversos pontos precisam ser considerados.
– Contemplar todas as áreas envolvidas:
A segurança cibernética não deve ser baseada somente na tecnologia, mas deve ser pensada levando em conta outros pilares que vão desde os regulamentos até os aspectos operacionais.
Portanto, é essencial ter os processos, equipe e tecnologia necessários para enfrentar ameaças e ataques.
– Antecipar e minimizar os riscos:
Do ponto de vista operacional, os bancos e instituições financeiras podem criar equipes de resposta a incidentes para colaborar, coordenar e trocar informações, bem como ter planos de contingência e lidar com situações críticas. As avaliações de risco são muito úteis para antecipar possíveis cenários adversos e agir de acordo.
– Ter uma equipe preparada: a conscientização é uma atividade fundamental para minimizar riscos, já que um time informado, treinado e conscientizado representa uma linha de defesa. Além disso, é necessário aplicar controles de segurança para todos, antes, durante e ao final do vínculo empregatício.
– Atualização da infraestrutura tecnológica: no campo tecnológico, a revisão contínua da infraestrutura é um preceito básico para ser utilizado como medida proativa, por exemplo, com avaliações de vulnerabilidade, bem como a criação de inteligência para a detecção precoce de ameaças e reconhecimento de padrões.
– Obedecer às regras do setor: o marco regulatório em torno da cibersegurança bancária implica no cumprimento das leis e regulamentos em vigor, bem como o desenvolvimento e aplicação de outras iniciativas necessárias ao setor.
– Implementar resiliência operacional:
um dos mais importantes aspectos da cibersegurança é a resiliência operacional, que significa a capacidade de uma organização para levar a cabo sua missão em circunstâncias adversas.
Utilizar a resiliência operacional é uma maneira de atender a capacidade de processos e serviços críticos, a fim de mantê-los disponíveis diante de eventos inesperados e indesejados.
Esse aspecto é parte fundamental da implementação da segurança com uma abordagem holística e transversal a todos os processos críticos da organização.
Recursos tecnológicos
Há uma consciência crescente da necessidade de segurança cibernética no contexto de um cenário adverso. No entanto, mais esforços e recursos são necessários para enfrentar o problema.
Por exemplo, um dos resultados do ESET Security Report 2018 mostra que apenas 1 em cada 10 empresas considera implementar uma solução de segurança móvel.
Enquanto isso, a cada dia são identificadas novas vulnerabilidades e desenvolvidas novas ameaças para dispositivos móveis.
Em outras palavras, enquanto os riscos aumentam, as tecnologias de segurança são pouco usadas, então a diferença, longe de ser reduzida, acaba crescendo.
Várias abordagens
Se quiséssemos ver o lado positivo desse tipo de incidente, poderíamos indicar que eles contribuem para mostrar à sociedade a relevância da segurança cibernética nesses tempos e a importância de abordar o assunto de diferentes perspectivas, uma vez que não se trata apenas de questões tecnológicas.
Os aspectos básicos que uma organização deve considerar para ser cada vez mais protegida estão relacionados a processos, equipe e tecnologia.
Ou seja, a aplicação de medidas com diferentes abordagens, desde operacionais, administrativas, técnicas ou tecnológicas, até questões legais e regulatórias. Somente levando tudo isso em conta, uma instituição terá plena possibilidade de garantir sua segurança diante de tantas adversidades que existem atualmente no ambiente corporativo.
Confira outros conteúdos da ESET no OverBR.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a usar tecnologia com segurança. Seu portfólio de soluções oferece às empresas e aos consumidores em todo o mundo um equilíbrio perfeito de desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e tem escritórios em Bratislava, São Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite http://www.eset.com.br/ ou nos siga no LinkedIn, Facebook e Twitter.
ESET América Lantina
Desde 2004, a ESET opera na América Latina, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.
Copyright © 1992–2017 ESET. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes são marca registrada de suas respectivas empresas.