O Banco Central do Brasil avança na direção correta com a decisão de aplicar novas medidas de Segurança Cibernética para permitir que instituições financeiras atuem dentro do Sistema Brasileiro de Pagamentos, pois será possível direcionar maior foco à proteção das cadeias de fornecimento e nivelar o padrão de proteção. Esse é o apontamento feito pelos CISOs do grupo Security Leaders ligados ao setor financeiro e consultados essa semana pela Security Report.
Os executivos se posicionaram após o anúncio do presidente do BC, Gabriel Galípolo, de novas medidas de controle para Instituições de Pagamento (IPs) e Provedoras de Serviços de Tecnologia da Informação (PSTIs). Na visão deles, o aumento das demandas por maior governança responde à necessidade de se elevar os padrões de proteção além das organizações financeiras e considerando, em especial, o ecossistema delas.
Conforme aponta um dos CISOs, que falou sob anonimato, os incidentes que se deram na Sinqia e na C&M Software demonstraram essa realidade. Nesse sentido, é preciso fortalecer aqueles que são os elos mais fracos da Segurança, em favor de ampliar a proteção em toda a cadeia. Isso apenas poderá ser feito se todos estiverem nivelados pelo mesmo padrão.
“Os ataques não vêm mais só pelo banco em si, mas pela cadeia toda — e os terceiros são o alvo da vez. Nesse contexto, o bloqueio de pagamentos acima de 15 mil reais em certos casos é essencial para fazer a transferência suspeita de dinheiro se tornar mais cara. Com isso, golpistas terão que diluir fortemente suas transferências, abrindo mais espaço para serem detectados. Não é a resposta final, mas já ajudará”, disse ele.
Já o CISO da Clash, Ricardo Castro, concorda com o colega, apontando inclusive que a ação do Banco Central deveria ter sido mais proativa, antes da ocorrência de qualquer incidente nesse sentido. De acordo com ele, Era necessário que a autoridade se posicionasse como forma de reforçar a integridade e a confiança nos sistemas nacionais de pagamento, diante de um mercado de fraude bastante forte como no Brasil.
Dessa forma, para garantir a escalabilidade e Segurança de novos produtos ligados ao Pix, era necessário garantir nova qualidade aos prestadores de serviços, considerando a dependência do mercado sobre elas. “A partir disso, é possível avaliar e certificar adequadamente, não apenas os PSTIs como as próprias instituições que busquem participar desse consórcio, que é um exemplo de eficiência para o mundo”, disse ele.
Maturidade e Regulamentação
Para Rodrigo Hammer, Head de Cyber Security na Conta Azul, a grande vitória gerada por esses novos padrões do BC envolve uniformizar o padrão de maturidade de todas as companhias financeiras, independente do tamanho e envolvimento dela na cadeia financeira. Isso é feito a partir da consideração igual entre os bancos, IPs e seus fornecedores de recursos tecnológicos em relação à padrões de SI como o ISSO 27001.
“O Banco Central teve que aplicar essas medidas mais rigorosas, para que todos fiquem em condições iguais. Isso porque instituições de nível S1, S2 e S3 tinham uma carga regulatória mais pesada, enquanto algumas Fintechs e instituições de pagamento não autorizadas ainda não precisavam de todo esse arcabouço de controles. Isso nos leva a um esforço de todo o sistema financeiro em direção a melhores padrões de Cibersegurança”, completa Hammer.
Agora, os próximos passos do Bacen devem ser focados em reforçar regulamentação sobre tecnologias aplicadas, incentivar investimentos em detecção e resposta a golpes e resiliência do ecossistema. Um passo dado nesse sentido foi a obrigação do bloqueio de transferências feitas a contas bancárias suspeitas de envolvimento com recepção de valores fraudulentos.
“O desafio do BC agora é o equilíbrio, pois a linha entre inovação e segurança é fina: Se pesar demais, trava o mercado. Se relaxar, o risco explode. A pergunta que a autoridade e o país precisam responder agora é se vamos conseguir manter uma referência na resiliência cibernética do meio financeiro, e entendo que o movimento feito até agora aponta para essa direção”, conclui o CISO anônimo.
