“Até o final dos anos 2.000, tínhamos uma estrutura tecnológica que nos permitia um nível razoável de proteção. Com a popularização dos dispositivos móveis, criamos novos atrativos e adicionamos mais elementos à rede, mas também novas brechas, vulnerabilidades e uma infinidade de métodos de ataques para cibercriminosos, consequentemente”. Esse é um dos principais desafios do setor financeiro na visão de Jorge Krug, diretor de TI do Banrisul.
Segundo Krug, a IoT foi um golpe na proteção do perímetro e a razão disso está diretamente associada à falta de segurança na concepção da aplicação, tornando os dispositivos em armas poderosas nas mãos dos cibercriminosos, vide o ataque Mirai ocorrido no ano passado. “Oferecer software seguro é obrigação do desenvolvedor e para que este objetivo seja alcançado é necessário avaliar a segurança de todo o ciclo de vida de desenvolvimento da aplicação”, afirma.
O fato de hoje os clientes estarem constantemente conectados à internet com os seus dispositivos móveis aumentou consideravelmente a exposição dos bancos. Em 2015, foram identificados mais de 3 milhões de aplicativos mobile classificados como phishing. “A falsificação de perfis nas redes sociais associada a essa técnica leva inúmeros usuários a fornecer dados pessoais aos fraudadores”, disse Krug.
É preciso repensar a Segurança
Os avanços na tecnologia e nos ataques demonstram um gap na forma como a Segurança é tratada. A velocidade com que as ondas tecnológicas estão chegando abre novas lacunas que, se não resolvidas, limitarão a aplicação dessas tecnologias. Segundo Krug, é preciso repensar a Segurança e revisitar o passado.
Um bom exemplo é como as fraudes em cartões foram reduzidas após a implantação de chip. O mesmo vale para a telefonia (GSM), cartões de transporte e ATMs. Em todos esses casos há algo em comum: adotou-se uma série de componentes de segurança, reduzindo drasticamente os ataques. “O elemento seguro é justamente a combinação entre hardware e software”, explica.
Para isso, alguns caminhos são apontados pelo especialista:
– Autenticação biométrica: deve-se investir na autenticação baseada em características físicas dos clientes, porém não como um fim, mas um meio associado a outros critérios que auxiliem na mensuração de risco.
– Biometria comportamental: por muitos anos, houve grandes esforços para conhecer e aprender o comportamento dos clientes para melhorar o seu atendimento. Hoje precisamos disso para garantir a Segurança das transações. A tecnologia aprende o comportamento do usuário, tais como velocidade de digitação, movimentação do mouse, pressão e inclinação da tela, tipo de transação.
– Autenticação adaptativa: Analisa o tipo/valor da transação e cruza com o score de risco gerado pelo DNA do dispositivo + ID de sessão + biometria comportamental. Para transações de menor risco, poderá ser dispensada ou solicitar uma autenticação mais simples. Para transações de maior risco, deve ser solicitada uma autenticação mais forte de dois ou mais fatores.
Krug é enfático ao afirmar que a avalanche tecnológica continuará de forma cada vez mais acelerada. “Mas não podemos permitir que essas ondas de inovações nos cubram”, ressalta. Ele alerta para gestores se concentrarem nos riscos e em pessoas e não apenas em sistemas e dados, que as lições aprendidas devem ser revisitadas e que segurança perfeita é impossível.
Proteger igualmente todos os ativos é um objetivo insustentável. Classificar os ativos e investir nos mais sensíveis pode minimizar os danos de um ataque. Proteja os ativos chaves com sistemas de várias camadas. Se uma falhar, a outra pode garantir a integridade do ativo