Notícias

Segurança da Informação: Hackers forçam bancos a se ajudar

Crescentes ameaças cibernéticas estão forçando os bancos a fazer algo que não soa muito natural para essas intituições tão apegadas aos seus segredos: compartilhar informações.

Este mês, agentes de segurança de bancos de Wall Street, como Morgan Stanley e Goldman Sachs Group Inc., devem se reunir com pesquisadores do Instituto Politécnico da Universidade de Nova York para discutir a criação de um novo centro que analisará montanhas de dados bancários para detectar possíveis ameças, disseram pessoas a par do assunto.

Ao mesmo tempo, o Bank of America Corp. começou a receber especialistas de outros grandes bancos em reuniões trimestrais, nas quais os concorrentes tentam descobrir soluções para as ameaças cibernéticas, segundo outras pessoas.

Ambas as iniciativas visam a encorajar os bancos a trabalhar em conjunto para melhor se protegerem contra os hackers, cujos esforços para interromper operações eletrônicas e roubar dinheiro ou dados de clientes constituem uma crescente preocupação.

Ataques on-line aumentaram bastante nos últimos dois anos e instituições financeiras estão entre os seus alvos principais, de acordo com uma nova pesquisa da PricewaterhouseCoopers LLP. Avivah Litan, um analista da Gartner Research, prevê que, nos próximos dois anos, só nos Estados Unidos, as companhias financeiras aumentarão seus gastos com combate a fraudes e com sistemas de autenticação de clientes em até 12%, para US$ 1 bilhão — um recorde.

Embora os executivos dos bancos concordem em princípio com o compartilhamento de informações, alguns temem que isso possa revelar aos concorrentes detalhes demais sobre suas operações.

Durante a reunião na Universidade de Nova York, por exemplo, é de se esperar que alguns executivos argumentem que os bancos devem analisar os seus próprios dados internamente, em vez de disponibilizá-los a pesquisadores externos, disseram pessoas a par do assunto.

[wsjamb1jan11]

Representantes da Morgan Stanley e da Goldman Sachs não quiseram comentar.

“A mentalidade dos bancos têm sido: ‘Vamos fazer tudo internamente porque não queremos abrir mão de nada'”, disse Peyman Mestchian, sócio executivo da firma de pesquisas de risco tecnológico Chartis Research, de Londres.

Mas os hackers estão forçando os bancos a uma cooperação maior entre si, disseram alguns executivos.

“Nós nos demos conta de que, se os fraudadores cooperam entre si, nós, como uma indústria, devemos fazer o mesmo”, disse Keith Gordon, vice-presidente sênior para segurança do Bank of America.

Um exemplo da vulnerabilidade dos bancos ocorreu em 2010, quando especialistas em segurança de grandes instituições financeiras se reuniram para uma conferência em San Francisco.

Enquanto se discutiam as ameaças cibernéticas e como preveni-las, hackers perpetraram um ataque real. Usando o que veio a ser chamado de Zeus Trojan — um tipo de software que infecta computadores e furtivamente rastreia os toques no teclado para roubar dados pessoais —, esses malfeitores penetraram os firewalls dos computadores dos bancos e roubaram milhões de dólares dos seus clientes.

Os especialistas em segurança presentes à conferência trocaram frenéticas mensagens nos seus celulares e decidiram se reunir pessoalmente para discutir os ataques, disse uma pessoa que estava lá.

“Aquela foi a primeira vez, que eu me lembre, em que as pessoas se sentiram à vontade para falar sobre essas ameaças”, disse essa pessoa.

Durante uma reunião mais recente organizada pelo Bank of America, em meados do ano passado em Nova York, executivos discutiram um tipo de espionagem que consiste num padrão de longo prazo de tentativas persistentes dos hackers, conhecido como “ameaças persistentes avançadas”.

Esse padrão é considerado pela maioria dos profissionais como a maior ameaça cibernética dos dias de hoje. O Bank of America não quis comentar o assunto.

Os bancos estão também trabalhando com provedores de Internet para melhor autenticar o tráfego de emails, a fim de prevenir que hackers se disfarcem como funcionários para obter accesso a dados de clientes. Em vez de forçar o provedor a decidir por conta própria quais emails deixar passar, os bancos estão dando a eles dados que permitem verificar melhor as mensagens, disse Kelly Wanser, cuja empresa, eCert Inc., trabalha como uma autenticadora deste tipo de dado.

Compartilhar dados pode ser desencorajado em outras partes do banco, por causa das leis anti-truste.

Mas a prática foi sancionada no mundo da segurança cibernética desde 1998, quando os setores público e privado nos EUA começaram a trabalhar juntos para proteger dados críticos à infraestrutra, como o sistema financeiro. Firmas financeiras criaram uma entidade chamada Compartilhamento de Informações do Sistema Financeiro e Centro de Análise, para encorajar os bancos a cooperar entre si.

Ainda assim, apenas recentemente os bancos começaram a interagir.

Fonte: Suzanne Kapner, WSJ, Valor Economico

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.