Neste último mês, incidentes cibernéticos contra empresas brasileiras evidenciaram novamente o interesse do cibercrime em impactar o Pix. Na raiz dessa atenção, conforme explicam CISOs do grupo Security Leaders, está a necessidade por maior proteção dos ambientes terceirizados que oferecem esse serviço, além do amplo uso da tecnologia.
Dentro desse contexto, uma das ocorrências impactou o e-commerce das Farmácias Pague Menos. A organização informou em nota que o caso “acabou reativando itens descontinuados e gerando inconsistências no pagamento via Pix”. Uma semana depois, foi a vez da infraestrutura de transações Pix do Banco do Nordeste ser afetada, gerando longa instabilidade do serviço na instituição.
Na visão do Gerente Executivo de TI na Aegis Energy, Clayton Soares, os ataques não estão direcionados à tecnologia do Pix, propriamente, mas às infraestruturas vulneráveis que utilizam essa forma de pagamento. Ainda segundo ele, embora as grandes organizações do Brasil contem com controles robustos de Segurança, ainda existe uma demanda sobre a proteção de aplicações nas infraestruturas de parceiros.
“O que atrai os hackers para esse tipo de ataque é a simplicidade de alteração do código da aplicação para gerar um Pix para um terceiro não autorizado, contando também com a desatenção dos usuários ao não conferirem o destinatário real dos pagamentos. Assim, Uma vez que grandes empresas possuem fortes controles de Segurança, os invasores buscam o elo mais frágil para atacar”, disse ele, em entrevista à Security Report.
Alexsandro Diniz, CISO da Fundação Joaquim Nabuco (Fundaj), acrescenta também que esse impacto tem potencial de gerar repercussão importante na sociedade. Isso porque milhares de pequenos empreendedores e produtores dependem do fluxo constante de desembolsos, e uma pausa de poucos dias em sistemas como o PIX pode significar prejuízos significativos em quem opera com capital de giro mínimo.
Diante desse cenário, o objetivo deve ser avançar com rapidez e precisão no estabelecimento desses sistemas críticos, mantendo comunicação constante com investidores, parceiros e clientes para preservar a confiança na organização. “Isso demonstra que a instituição tem controle sobre os seus processos e um plano de resposta, porém é uma prática que também precisa ser mais disseminada no país, como parte da contenção dos prejuízos”, disse Diniz.
Além disso, repensar as próprias estratégias de gestão das aplicações de pagamento e as demandas de um padrão de maturidade dos terceiros também é fundamental. “Como tratamos nossos desenvolvimentos internos? Há Segurança e monitoramento suficiente sobre eles? Estamos considerando todo o necessário da maturidade do parceiro? São perguntas que devemos sempre ter como tópicos principais da nossa agenda”, conclui Soares.
