B!T: Devido à natureza do seu negócio, os bancos são das organizações mais protegidas, mas são também das que estão mais em risco. Acha que estas ameaças estão a aumentar? Estas ameaças são mais frequentes, mais sofisticadas?
Moshe Sidon: Lidar com coisas valiosas (como são os dados), é sempre um risco. É preciso protegermo-nos. Esta indústria não é só atacada por concorrentes – o que também acontece noutros setores. Não é só atacada por razões comerciais. É pelo dinheiro. Dinheiro fácil. Qualquer um pode ir hoje à Internet e comprar um programa para tentar atacar o sistema informático de um banco. É o mais protegido mas também um dos mais ameaçados.
Quem é aqui o alvo? Serão os clientes, os utilizadores finais, ou o próprio banco?
Essa é outra questão. Uma conta bancária é atacada utilizando as credenciais de um utilizador final. Quem é que está a ser atacado? É o utilizador? É o banco? Não é claro. Basicamente, o que acontece é que o banco está a ser atacado através do cliente. Legalmente, os bancos são, com frequência, responsabilizados pela segurança dos seus clientes. Os tribunais tendem a decidir a favor do mais lesado.
Quais são os principais objectivos destes ataques? Extrair dinheiro ou roubar informação?
Acredito que sejam os dois. Mas, em última instância, o que se procura é fazer dinheiro. Seja através da venda de dados roubados, ou obter dinheiro diretamente, a finalidade é conseguir lucro. Estes ataques são muito organizados. Não são adolescentes nos seus quartos, nos seus computadores. São criminosos. E todas as fases de um ataque podem ser terceirizadas. Desde o desenvolvimento do programa até à recolha do dinheiro. Funciona quase como um mercado maduro, e o objetivo final é sempre fazer dinheiro, embora a forma de o fazer não passe obrigatoriamente pelo roubo direto de dinheiro.
Se eu fosse um hacker e quisesse roubar um banco, como é que deveria proceder? Qual seria a anatomia do ataque?
Depende muito do propósito do ataque. Teria de arranjar todas as ferramentas necessárias. Normalmente, os cibercriminosos vão atrás do utilizador final, o elo mais fraco. Nem sempre é preciso explorar falhas zero day. Vulnerabilidades conhecidas podem funcionar igualmente. É procurar um banco com defesas mais fracas, e um software que permita atingir o maior número de pessoas, e até vários outros bancos. Por exemplo, em França, um ataque criou sites de phinshing para todos os bancos em apenas um dia. Basicamente, adaptou o mecanismo a cada um deles. Foram criados webistes que imitavam os sites “verdadeiros” e todas as funcionalidades, roubando dados dos clientes para, mais tarde, utilizá-los. Phishing é uma boa estratégia. Não preciso roubar dinheiro diretamente. O mercado negro de dados pessoais está a crescer.
As ameaças ao setor bancário são cada vez mais numerosas?
Estão a crescer, porque mais e mais dinheiro flui por estes canais. Há dois anos já falava disso. Ladrões de bancos seguem o dinheiro, e o dinheiro agora está na Internet. É uma forma diferente de assaltar o banco. Antes fazia-se com armas. Hoje faz-se de uma maneira mais clean.
O que podem os bancos fazer para se protegerem?
Pessoas mais inteligentes que eu disseram que a boa segurança passa pela proteção em camadas. Nunca se está demasiado protegido. É preciso ter controlos de segurança disseminados e não concentrados. Se uma camada for superada, outra tentará impedir o ataque. E assim sucessivamente. Inteligência é um ponto crucial para a proteção. Mas os criminosos também fazem uso dela. Estudam funcionários através de LinkedIn ou Facebook, sabem os seus gostos. É preciso adotar sistemas que permitam detetar comportamentos suspeitos para evitar invasões informáticas. Adotar soluções de identificação através de assinatura, é uma boa opção.
Estão as empresas preparadas para enfrentar estas ameaças? Visto que o nível de sofisticação e frequência são cada vez maiores. São feitos investimentos suficientes?
Falando especificamente da área de fraude baseada em malware e phishing, a situação não é ainda gerida da melhor forma. Em vez de se lidar diretamente com o problema, tem-se se sobrecarregado o cliente final com autenticação dupla, e outras medidas do género. Existem algumas centenas de famílias de malwares conhecidos, e deveria começar-se pela adoção de soluções que nos possam dizer quando existe uma infeção. Mas os bancos ainda não lidam diretamente com as ameaças. Se o tivessem feito à partida, talvez não tivessem adquirido estas proporções, pelo menos para já. Os investimentos têm grandemente sido redirecionados para a deteção de anomalias transacionais. As soluções adotadas podem não ser as mais eficientes. Talvez as coisas venham a mudar.
Se pudesse reunir todo o setor bancário numa sala, que conselhos lhe daria, em termos de cibersegurança?
Arquitetura em camada; soluções que lidam com o “antes” do problema e não com as consequências; soluções que identifiquem malware. Não existe nenhuma “bala de prata”, não existe nenhuma solução mágica. É um processo. É preciso uma ferramenta que tenha uma base de dados em constante atualização, para que as defesas sejam adaptadas.
A garantia faz parte de uma iniciativa que visa facilitar o acesso ao financiamento a…
O evento pretendeu dar a conhecer insights de especialistas, explorar demonstrações de vanguarda e discutir…
Depois do lançamento da app, o site surge agora com novas funcionalidades e mais transparência…
O Bit2Me STX é uma das primeiras infraestruturas do mercado financeiro blockchain destinada a operar…
Bolsa Jorge de Mello é dirigida a investigadores em Portugal e visa impulsionar a investigação…
O ranking reconhece e destaca o papel crescente das universidades na promoção do empreendedorismo em…