Criatividade de cibercriminosos faz aumentar a procura por segurança da informação no setor financeiro 

Durante a pandemia de Covid-19 houve a popularização do home office e do aumento de dependência de serviços digitais e aplicativos no ambiente profissional. Consequentemente, a atenção de cibercriminosos aumentou, que passaram a atacar em massa os ativos necessários para manter essa infraestrutura.

Segundo Willian Caprino, especialista em cibersegurança da BlazeInformation Security, todos os setores, de forma geral, ficaram mais expostos, cada um com o seu risco individual que precisa ser avaliado desde o impacto até a proteção de cada ambiente. No entanto, um deles é – e sempre foi – constantemente atacado desde os primeiros dias da sua digitalização: o setor financeiro.

“O motivo, como comumente é o desses crimes, é claro: dinheiro. A grande diferença é que são nessas instituições que ele está, literalmente, localizado. Dessa forma, a cada novo produto ou funcionalidade que surge no segmento, há uma legião de fraudadores que se movimentam buscando uma forma inédita de subverter sistemas, explorar vulnerabilidades e obter ganhos por meio de uma transação ilegal”, explica Caprino.

Segurança da informação

Por isso, o investimento do segmento para conter o avanço das ameaças dos cibercriminosos vem aumentando ano após ano. Caprino comenta que a Pesquisa Febraban de Tecnologia Bancária 2021 mostra que os bancos investiram R$ 2,5 bilhões em segurança da informação em 2020. O valor representa 10% dos gastos com tecnologia no ano em questão, de um total investido de R$ 25,7 bilhões – quantia 8% superior ao ano anterior.

Segundo o executivo, os tipos de ataques realizados nesses casos variam entre os extremamente simples até os mais sofisticados. “Os criminosos costumam estar sempre um passo à frente, burlando as medidas de proteção implantadas. As ameaças acontecem de todos os jeitos, como, por exemplo, ransomwares (semelhante a um sequestro digital de dados, onde os atacantes demandam um valor de resgate), vazamentos massivos de dados e comprometimentos de servidores internos, muitas vezes por um longo período de tempo sem detecção – permitindo que os cibercriminosos tenham acesso a numerosas e valiosas informações”, explica.

No entanto, para Caprino, uma das maiores preocupações é com as aplicações, sejam elas mobile, web ou desktop. Testes de invasão – também chamados de Pentests pelos profissionais da área – revelam falhas de segurança na arquitetura ou estrutura de uma aplicação que permitiriam um atacante fazer algo de uma forma diferente do que foi planejado para a mesma e assim efetuar uma fraude. “Devemos ressaltar que, em linhas gerais, os criminosos estão, na maioria das vezes, em vantagem, no sentido de que defender é muito mais desafiador do que atacar. A superfície de ataque para burlar sistemas é gigantesca, pois basta uma falha para que o atacante, em teoria, seja bem-sucedido”, observa.

Willian Caprino considera que a vigilância deve ser constante. “Nunca há um platô quando falamos de cibersegurança. Sempre é necessário estar atento às novas e constantes ameaças e atualizar as defesas, desde o início do processo de desenvolvimento de sistemas até a fase de produção, porque novas funcionalidades também introduzem novas vulnerabilidades. Portanto, a segurança da informação deve ser um ciclo contínuo de testes, detecção de falhas e aplicação das correções”, comenta.

Antecipação de cibercrimes

O especialista aponta que a palavra-chave para as instituições financeiras no que se refere ao combate aos ciberataques é atualização. “A atuação dos cibercriminosos é extremamente volátil, tornando um dever do setor modernizar constantemente as suas táticas de defesa. Uma das formas recomendadas para isso é a segurança ofensiva com foco em Pentest, os chamados testes de intrusão. A técnica envolve a simulação de um ataque cibernético, feita por hackers profissionais, que gera um relatório completo das falhas encontradas e como corrigi-las”, informa.

De acordo com ele, é uma maneira de antecipar a ação criminosa, prevendo as falhas que podem dar a oportunidade que o atacante almeja encontrar. Com essa solução também passa a ser possível criar um planejamento mais estratégico sobre como a instituição pode reagir em momentos de ataque e, assim, reduzir danos.

“É apenas com esse nível de atenção ao assunto que o segmento pode bater de frente com o problema. Diante do cenário atual, em que mudanças no meio digital ocorrem todos os dias, esperar a ação criminosa para depois agir pode ser fatal. O constante zelo do setor financeiro, que é aquele que mais está sujeito a se prejudicar com os ciberataques, nos leva a um futuro digitalmente mais tranquilo e promissor”, conclui Caprino.