Em meio à necessidade da diminuição da circulação de pessoas e do isolamento social, a pandemia causada pelo novo coronavírus reforçou a urgência de um sistema financeiro digital, capaz de realizar transações de forma remota, rápida e com menor custo em relação às operações tradicionais. Nesse cenário, o Banco Central não só manteve as propostas da Agenda BC#, que reúne iniciativas para modernizar o Sistema Financeiro Nacional (SFN), como acelerou o ritmo do Open Banking, recentemente regulamentado, e do PIX. O sistema de transferências e pagamentos instantâneos, realizados a qualquer dia do ano, sem limite de horário e com o recurso imediatamente disponível ao destinatário, passa a vigorar em novembro. No entanto, essas alternativas vão exigir que as instituições financeiras façam investimentos e adaptações em segurança, a fim de proteger dados, processos e clientes.
O alerta é da Kryptus, fabricante do hardware security module e especializada em criptografia e segurança da informação, que acompanha o aumento expressivo de golpes cibernéticos globais desde que a quarentena intensificou as atividades online. Projetando uma conjuntura parecida com o início das operações do PIX, que igualmente vai transformar um grande volume de processos físicos tradicionais em virtuais, a companhia mapeou três ameaças com potencial para prejudicar a estratégia de proteção das transações do novo sistema de pagamentos:
1) Roubo das chaves privadas da instituição financeira: a ação permite que um invasor se passe pela instituição e autorize débitos, por exemplo. É necessário que o atacante explore alguma vulnerabilidade, tenha acesso ao sistema, escale privilégios e acesse as chaves privadas, dependendo de onde elas estejam armazenadas. Também pode acontecer que algum serviço mal configurado possibilite acessar as chaves de maneira simples.
2) Golpe do QR Code: a fraude consiste em invadir o ambiente e escalar privilégios, alterar o código de geração do QR Code e criar uma versão fraudulenta, desviando o dinheiro que seria remetido para uma loja, por exemplo, para o golpista;
3) Invasão do aparelho celular: pode ocorrer com o roubo do telefone ou de qualquer outro dispositivo do cliente. A iniciativa tem por objetivo usar as credenciais e efetuar transações em nome da vítima, acessando aplicativos de instituições financeiras para fazer operações.
“Analisando esses três pontos, basta um atacante obter acesso ao sistema em questão, por exemplo, subindo uma aplicação maliciosa que permite a escalação de privilégio para o nível de administrador. Assim, ele obtém controle de todo o sistema, podendo alterar o QR Code, no caso do lojista, invadir a conta bancária do usuário no aparelho celular, ou mesmo entrar no sistema de uma instituição financeira”, aponta Roberto Gallo, CEO da Kryptus.
Ele ressalta que além de focar nas potenciais ameaças é fundamental que as instituições estejam em compliance com as normas e regras do mercado e do próprio Banco Central, além fazer uma escolha cuidadosa das tecnologias adequadas. Nesse contexto, ele avalia como a solução de melhor custo-benefício para as instituições financeiras em busca de adequação para o PIX são os módulos criptográficos (HSM) que possam atender múltiplas normas e legislações simultaneamente.
“A escolha dos módulos criptográficos é uma parte importante do projeto do sistema de pagamento instantâneo”, afirma o executivo. “É necessário utilizar HSMs com certificações internacionais e nacionais, como o FIPS e aICP-Brasil. Desta forma, o cliente não só fica em compliance com o Manual de Segurança do Banco Central, mas também com PCI, LGPD e GDPR.”
Com potencial para alcançar um grande volume de transações, as soluções de alta disponibilidade devem estar no radar das empresas em busca de segurança e performance para reduzir riscos e custos.
“Hoje o HSM está presente em diversas verticais de negócios. Nas aplicações financeiras, a solução pode ser utilizada, por exemplo, como cofre digital, gerenciamento de credenciais, Autoridade Certificadora interna e adequação a leis de proteção de dados pessoais como LGPD e GDPR. Além disso, HSMs que possuem funções de virtualização possibilitam uma redução de investimentos (CAPEX) e custos operacionais (OPEX)”, finaliza Gallo.
