Ir ao guichê do banco para fazer depósitos já é algo impensado às novas gerações. Nos dias de hoje, cresceram os desafios de cibersegurança para o setor bancário, uma vez que a internet — ou o “ciberespaço” —, rompeu definitivamente as noções de tempo e localidade, conectando milhares de pessoas e empresas em um oceano de informações (muitas delas, sigilosas) que trafegam pelas redes diariamente.
A transição do malote agendado para o banco digital, por exemplo, é apenas uma maquete das mudanças profundas ocorridas no perfil do consumidor de serviços financeiros nos últimos anos: segundo dados da Federação Brasileira de Bancos (Febraban), em 2016, as transações bancárias por dispositivos móveis superaram imensamente às de outros canais de atendimento — as operações executadas pelo “mobile banking” totalizaram R$ 21,9 bilhões, ou seja, 34% do total.
O problema é que essa modificação no comportamento do cliente trouxe imensos desafios de cibersegurança para o setor bancário. Em 2017, por exemplo, a mesma Febraban constatou um aumento de 297% no volume de queixas sobre quebra de sigilo nas plataformas eletrônicas das instituições financeiras.
A questão é que, mesmo com os investimentos bancários próximos a R$ 20 bilhões/ano em segurança da informação, novas vulnerabilidades emergem da deep web a cada minuto, exigindo atualização constante de quem atua na área de TI do setor financeiro.
Como as novas tecnologias afetam a cibersegurança?
O eterno paradoxo da segurança da informação é que, a cada nova tecnologia que surge para gerar comodidade aos clientes, gera também algum rastro de vulnerabilidade que em algum momento será usado por cibercriminosos para invadir sistemas, roubar ou sequestrar dados confidenciais.
O fato de os bancos lidarem com bens monetários certamente os tornam os “queridinhos” dos crackers. Com isso, novas aplicações lançadas devem ser acompanhadas das respectivas tecnologias de bloqueio e intrusões, em uma permanente batalha virtual contra o submundo da web.
Conheço abaixo algumas ferramentas recentes que são relacionadas aos desafios de cibersegurança para o setor bancário:
Blockchain
Se não sabemos exatamente para onde as criptomoedas nos levarão, ao menos um legado parece bastante claro: seu sistema de registro de informações digitais. O blockchain já está começando a ser usado pelas instituições financeiras em transações com derivativos de balcão, mas há previsão de utilização iminente também nas transferências bancárias internacionais dentro de um mesmo banco.
O blockchain seduz as instituições financeiras porque garante a redução dos custos de infraestrutura que são atualmente necessários para gerar confiabilidade no sistema bancário. A descentralização dos registros em diversos computadores — em uma espécie de “livro de caixa criptografado viral” — , além de ser mais barata, eleva exponencialmente a dificuldade de violação de dados.
Cartões de crédito virtuais/serviços de mobile payment
Os principais bancos brasileiros já estão testando (em parceria com operadoras de telefonia móvel) os pagamentos via NFC com celulares. Essa tecnologia de pagamento por aproximação já é usada há anos em países como Japão, mas no Brasil ainda é uma novidade. Ao contrário do que muitos consumidores imaginam, esses dispositivos eletrônicos de pagamento se apropriam dos mesmos mecanismos de segurança lógica e física usados pelos cartões de crédito tradicionais. E mais do que isso, oferecem camadas adicionais de segurança, reduzindo as possibilidades de clonagem ou compras indevidas por terceiros, ainda que o smartphone do cliente tenha sido roubado.
Nessa seara, aliás, vale registrar que um dos maiores desafios de cibersegurança para o setor bancário em 2018 não é implementar a tecnologia, mas sim convencer o correntista que esses métodos disruptivos de pagamento são realmente seguros. E, de fato, são.
Outra tecnologia interessante de pagamentos on-line que promete reduzir o índice de estelionatos é o cartão virtual. Esses cartões são gerados pelo seu internet banking (códigos de segurança provisórios) para utilização em uma única compra. Após isso, se alguém tiver acesso aos dados, não conseguirá completar a transação, pois toda a codificação já perdeu a validade. Essas novas tecnologias vêm redesenhando o conceito de cibersegurança no país..
Inteligência Artificial/Machine Learning
O Danske Bank, maior instituição financeira da Dinamarca, já utiliza tecnologias baseadas em Inteligência Artificial/Machine Learning para analisar, em tempo real, milhares de transações bancárias simultâneas e, assim, diagnostica imediatamente a ocorrência de falsos positivos.
A localização de onde partem as movimentações de cada cliente, o dispositivo utilizado, os horários típicos, a natureza ou volume das operações, além de outras centenas de dados, são confrontados em cada ação. O rápido aprendizado da máquina alimenta também a capacidade preditiva crescente desses sistemas, impedindo, instantaneamente, qualquer tipo de fraude.
Desafios de cibersegurança para o setor bancário em 2018
Considerado por especialistas como o “rei dos trojans bancários” — malwares instalados inadvertidamente pelos próprios usuários —, o Brasil vê suas instituições financeiras perderem, todos os anos, cerca de R$ 1,8 bilhão com fraudes eletrônicas, que incluem clonagem de cartões, criação de sites falsos, técnicas de phishing e ransomware (bloqueio de dados, como o que aconteceu em âmbito mundial na onda de ataques de 2017 apelidada de Wanna Cry).
O nível de sofisticação dos ataques é tão grande que, em 2017, um grande banco brasileiro (mantido em sigilo) foi alvo de uma ação hacker até então inédita, que envolveu o sequestro do domínio de todas as páginas da instituição. A complexidade da operação foi tão elevada que até um certificado digital SSL legítimo em nome do banco foi gerado pelos criminosos. Apenas com essas lembranças, já é possível imaginar o tamanho dos desafios de cibersegurança para o setor bancário, certo?
Conheça algumas tendências de ataques que devem estar no radar das empresas do setor em 2018:
Contaminação “cross-plataform”
O aumento da integração entre os sistemas do setor, bem como o uso cada vez mais comum de múltiplos dispositivos para acesso aos dados bancários, materializa a possibilidade de disseminação de um malware que infecte um dispositivo e se propague de uma plataforma para outra. Esse risco deve ser superado atrelando segurança da informação como parte inicial da programação de aplicações.
Roubo de dados ligados à identificação biométrica
Gerenciar o patrimônio biométrico dos usuários é mais um dos desafios de cibersegurança para o setor bancário. Se o reconhecimento facial, pela digital ou pela íris, torna cada cliente único, o que fazer se esses códigos de identificação armazenados pelas instituições forem roubados?
Aumento de ataques ransomware simultâneos
Os ataques massivos orquestrados mundialmente em 2017, cujo objetivo era sequestrar os dados de milhares de pessoas e empresas, exigindo pagamento de resgate em bitcoins, devem ser intensificados em 2018. Ter uma estratégia sólida de “prevenção cryptolocker” e conscientizar usuários para que eles se blindem contra armadilhas de engenharia social, serão verdadeiras ideias fixas das empresas do setor.
A cibersegurança no contexto das fintechs
O fato de estarmos lidando com dados que crescem anualmente, e que necessitam de segurança e privacidade, somado à imensa quantidade de dispositivos conectados por força da Internet das Coisas (IoT), sinalizam o tamanho do desafio que instituições bancárias tradicionais e, principalmente fintechs, terão pela frente.
Segundo pesquisa da Global Fintech Survey, da PwC, 56% dos entrevistados colocaram segurança da informação como ameaça real ao crescimento das fintechs. De fato, inovar e ter capacidade financeira para não deixar brechas de segurança não é tarefa fácil, especialmente para quem não tem o poderio econômico dos grandes bancos.
O sucesso nessa batalha depende intimamente de encontrar a modelagem perfeita do blockchain às transações dessas instituições, além de entender como criar um tecido de segurança global que abrace múltiplos dispositivos ao mesmo tempo.