A maturidade do setor bancário ao nível da cibersegurança é desafiada em permanência pelo aumento consecutivo do número de incidentes em Portugal. A solução passa por aumentar a proteção dos clientes e apostar nos recursos externos especializados.
O Boletim do Observatório de Cibersegurança, relativo ao primeiro semestre de 2020, coloca o setor bancário no topo dos incidentes de segurança registados no ano passado e nos primeiros seis meses de 2020.
De acordo com os dados publicados em julho pelo Centro Nacional de Cibersegurança (CNCS), entre o aumento global dos incidentes de segurança os ataques de phishing foram os mais frequentes, com mais de um terço destes (37%) a afetar a Banca no segundo trimestre deste ano. (ver quadro).
O setor bancário continua a ser muito apetecível para os cibercriminosos, graças à facilidade que existe em explorar a maior e mais vulnerável superfície de ataque em todo o processo – as pessoas.
Na Claranet, dedicamo-nos, entre outros serviços, a ajudar os nossos clientes a prevenir este tipo de fraude que é a que observamos com maior frequência, em linha com o identificado pelo CNCS.
No entanto, temos assistido a um crescente número de ataques de spear phishing, que visa igualmente o roubo de dados, mas em ações específicas dirigidas a uma pessoa ou organização (e não a milhares de sistemas em simultâneo, na esperança de algum utilizador cair no “golpe”).
Ao contrário de outros ataques tecnologicamente bem mais complexos, a execução de um ataque de spear phishing não requer qualificações técnicas particularmente elevadas.
Requer antes uma particular habilidade de engenharia social. E sendo uma ação relativamente fácil de executar, com óbvios ganhos financeiros, é também natural que assistamos ao seu crescimento.
Solução tecnológica e cultural
A resposta das instituições bancárias para mitigar o crescimento dos ataques de phishing e spear phishing registados nos últimos trimestres passa pelo reforço da utilização de soluções tecnológicas, mas sobretudo por processos que foquem diretamente a ação dos utilizadores.
Ao nível da proteção da utilização dos clientes bancários, as medidas de autenticação de duplo fator constituem um passo significativo para aumentar a segurança. Neste contexto, a diretiva PSD2 (Payment Services Directive), publicada no final de 2019, veio reforçar o processo de autenticação do cliente através de, pelo menos, dois dos seguintes fatores:
- Algo que apenas o cliente conhece - por exemplo, uma palavra passe;
- Algo que apenas o cliente possui - por exemplo, um telefone;
- Alguma característica que apenas o cliente possua - por exemplo, uma impressão digital.
Já a questão da sensibilização dos utilizadores é mais complexa de concretizar. O sector bancário tem feito um esforço e tomado diversas medidas para alertar os seus clientes para este tipo de fraudes. E a verdade é que os modelos de Governance desenvolvidos têm funcionado como garantia para que cenários mais negros não surjam, impulsionando uma abordagem de melhoria contínua.
No entanto, continuamos a assistir a um crescimento de ataques bem-sucedidos, tirando sobretudo partido de pequenas falhas comportamentais por parte dos clientes. Assim, este é um processo que levará muito mais tempo a ter sucesso, uma vez que implica uma mudança cultural na forma como os clientes acedem aos mais recentes serviços bancários.
A hora dos especialistas
O setor financeiro já é um dos que possui maior maturidade no capítulo da segurança, comparativamente com outras áreas de atividade, mas há ainda espaço para melhorar. Esta melhoria só pode ser atingida com a implementação de tecnologias e serviços que permitam correlacionar eventos de origens distintas, garantido assim uma visão completa de todo o ecossistema composto por tecnologias, processos e pessoas.
Os decisores da Banca têm consciência de que é essencial reforçar – e em permanência - as capacidades externas e internas de proteção contra os novos riscos de cibersegurança. Ora, numa altura em que esse reforço conta com um desafio adicional - a falta de recursos especializados no mercado na área da segurança nas TI – o papel das empresas especializadas em cibersegurança torna-se mais decisivo do que nunca.
Além de permitirem a implementação e utilização de tecnologias “up-to-date” num cenário em constante mutação, o know-how dessas empresas oferece a garantia de uma monitorização 24/7 e da dita correlação entre eventos, por exemplo, adicionando uma layer analítica cada vez mais necessária neste novo paradigma da cibersegurança.
Se em qualquer setor de atividade a sensibilização dos utilizadores e o acompanhamento permanente e em várias frentes dos riscos de cibersegurança é essencial à continuidade dos negócios, no setor bancário a prevenção, acompanhamento e mitigação desses incidentes é essencial para a economia.
Written by António Ribeiro - Cybersecurity Manager
As the Cybersecurity Manager at Claranet, António is focused on helping organizations to achieve a better security posture and progressively become more resilient to cyber threats. With a large experience in different multinational companies, António holds a BSc in Telecommunications by the Engineering Superior Institute of Lisbon, a MSc in International Management by ISCTE Business School-Lisbon and he also holds the CISSP credential issued by the (ISC)2.
Written by Nuno Sousa - Sales Vertical Lead
Com mais de 15 anos de experiência, Nuno Sousa é responsável pela abordagem estratégica da Claranet Portugal ao setor dos serviços financeiros. Com forte background tecnológico na indústria de TIC, completou a sua formação na Universidade Católica Portuguesa, na Harvard Law School e no Instituto Superior de Contabilidade e Administração do Porto; especializou-se nas áreas de cloud computing, public cloud migration, IoT, networking e security. Em 2017, juntou-se à Claranet para ajudar as organizações a adotar uma estratégia de TI híbrida, através de serviços de public e private cloud (Azure, AWS, Google Cloud).