Nos últimos anos, os bancos enfrentaram espetaculares ataques via Internet. O mais impressionante deles foi o lançado em fevereiro contra a organização de cooperação internacional para envio de mensagens financeiras: a Worldwide Interbank Financial Telecommunication (SWIFT). Nesse ataque, diversos bancos sofreram perdas de volumes significativos de dinheiro. A maior vítima foi o Banco Central de Bangladsh, que viu algo como € 81 milhões tornarem-se fumaça. Também na Bélgica, criminosos do Down-Sec atacaram diversos bancos nacionais interrompendo os serviços bancários on-line por várias horas. Diane deste cenário, não é surpresa encontrar um medo generalizado de que a indústria financeira será cada vez mais alvo desse tipo de crime.
Em maio, Andrea Enria, chairman da Autoridade Bancária Europeia (EBA), pediu uma maior atenção ao gerenciamento de riscos de ataques via Internet, disponibilizando capital adicional como forma de enfrentá-los. Esse pedido é uma iniciativa que deve ser aplaudida. Por mais estranho que possa parecer, hoje não se dedica atenção suficiente para esses ataques cibernéticos. Quando um criminoso pega € 1 milhão em um assalto a mão armada a um banco, todo mundo acha um absurdo. Por que isso não ocorre com a mesma intensidade no caso dos ladrões on-line? Já é tempo de colocar a segurança de TI bancária no mapa.
Quanto melhor os bancos administrarem a segurança on-line no futuro, mais competentes os hackers necessitam ser. Por exemplo: os “hackers de Bangladesh” conseguiram penetrar na rede de computadores dos bancos, observaram como era feita a transferência do dinheiro, ganharam acesso à autenticação de dados dos bancos e emitiram ordens para a transferência de milhões. O prognóstico geral é de que esses bancos, e em particular os sistemas de pagamento, irão permanecer como um dos alvos favoritos dos criminosos da Internet dado o alto montante de dinheiro que está em jogo.
Ao mesmo tempo, o papel dos bancos está mudando. Eles estão se tornando mais digitais, o que os torna mais vulneráveis a ataques on-line. Como consequência, através do mobile banking, os usuários podem realizar transferências bancárias por meio de um celular ou de um tablet a qualquer tempo e de qualquer lugar. A tendência dos bancos é também de automatizar os processos de suporte com sistemas de TI mais simples. Quando eles escolhem esses sistemas de TI a segurança precisa estar no primeiro lugar da lista de prioridades.
Na luta contra o crime na Internet verificar a identidade correta é fundamental. Nesse sentido, a autenticação por múltiplos fatores desempenha um papel-chave. Múltiplos fatores significam que pelo menos duas chaves são necessárias para abrir a “porta”. Isso é normalmente uma combinação de algo que você conhece – como um código – com algo que você possui, por exemplo um cartão bancário, ou algo que você é – sua impressão digital.
Além disso, testes que verifiquem a resistência do software e do hardware dos bancos contra ataques via Internet, conhecidos como testes de estresse, são absolutamente necessários. O J.P. Morgan é uma das instituições financeiras que tem ampliado seu orçamento para isso.
Para concluir, os governos também devem desempenhar um papel na proteção dos bancos contra atraques cibernéticos. Hoje, a proteção legal existente entre a identidade digital e os bancos ainda não é clara. Basta olharmos para o acesso digital. Como pode a identidade dos clientes ser garantida quando da abertura de contas on-line, da transferência de dinheiro através de telefones celulares e do gerenciamento on-line de diferentes contas. Os governos precisam ser claros para os bancos sobre quais passos eles precisam tomar e o que pode ser permitido on-line.
Os bancos nunca serão totalmente seguros contra um ataque cibernético. Ainda assim, eles devem fazer tudo o que podem, empregando todos os recursos disponíveis, para se proteger contra os criminosos on-line. Nesse ponto, o fator múltiplo de autenticação, os testes de estresse e a regulamentação podem ser importantes armas contra os hackers mal intencionados. Também é importante que os testes de estresse tenham classificações distantes em segurança cibernética. Se um teste de estresse em segurança na Internet é implementado, é útil e interessante tornar esse fato público para os consumidores. Então eles saberão que o banco com o qual trabalham é efetivamente seguro.
* Jan Valcke é presidente e COO da Vasco Data Security
