Entrevista: A segurana dos bancos e a segurana dos bandidos
Entrevista: A segurana dos bancos e a segurana dos bandidos
Depois analisar o contedo de 20 milhes de emails potencialmente perigosos e realizar mais de 2,5 mil ataques controlados a 450 redes de bancos, empresas e rgos de governo, o grupo de inteligncia da norte-americana Trustwave descobriu alguns dados surpreendentes, que constam do seu relatrio 2013 Trustwave Global Security Report. O mais assustador que as empresas levam, em mdia, 210 dias para descobrir que sua rede est hospedando um invasor. O dado favorvel que os Bancos esto bem mais seguros, e hoje respondem por apenas 7% dos ataques do cibercrime, contra 45% do varejo. Nesta entrevista, o diretor da Trustwave, Jarrett Benavidez, fala sobre vulnerabilidades em bancos e indica uma tima fonte de informaes sobre segurana para as ATM. Relatrio Bancrio: Onde se encontram as principais vulnerabilidades dos bancos, sistemas de transao e canais de atendimento dos bancos no Brasil? Jarrett Benavidez: As vulnerabilidades podem ser encontradas em qualquer lugar. Em geral, as empresas pensam em adotar tecnologias poderosas para a proteo dos dados, mas o comportamento do usurio uma varivel sempre mais complexa e nem sempre considerada em seu devido nvel de importncia. RB: De que modo o funcionrio pode colocar a instituio em risco? JB: O funcionrio pode, por exemplo, ser convencido a abrir um flanco e faz-lo inocentemente. Por exemplo, passando informaes por chamada telefnica; ou ento executar em seu computador algum comando que facilite a vida do invasor. Alm disso, sempre existe o risco dos ataques focados (na empresa e/ou no funcionrio), que se reveste de grande personalizao. RB: Que providncias precisam ser tomadas para suprir estas vulnerabilidades? JB: Em termos tecnolgicos, os bancos devem pensar no s na proteo do permetro, mas para todos os pontos de risco da rede, principalmente a rede interna. Muitas vezes, as empresas se focam em se proteger de riscos da internet (ou qualquer ameaa externa), mas se esquecem das ameaas internas. Alm disso, preciso cuidar no s da segurana lgica, mas tambm da fsica. Por exemplo, um simples pendrive inserido em algum ponto da rede pode comprometer dados confidenciais de toda a organizao. RB: As ATM esto bem seguras? JB: Quando falamos de ataques em ATM, a primeira coisa que vem a mente so modificaes fsicas nos equipamentos, como a instalao de "chupa cabras", cmeras ou outros aparatos. O que no deixa de ser uma verdade. Mas muitos se esquecem da prpria rede dos ATM, que costumam ter muitas brechas, e
poucos se protegem contra malwares direcionados a esses
dispositivos. Ataques com malwares no s infectam um sistema especfico, mas podem se propagar por toda a rede ATM e comprometer a base instalada como um todo. Outro fator interessante, que muitas dessas redes no so segmentadas como deveriam. Outro ponto a observar que os bancos investem muito na proteo dos ATMs, mas nem sempre tm uma poltica de atualizao permanente das defesas, enquanto isto, o crime ciberntico avana dia a dia em direo a novas tticas. RB: Existe alguma fonte sobre dados e informaes de segurana para as ATM? JB: Nosso relatrio mundial 2013 Trustwave Global Security Report , que foi lanado h pouco tempo, traz comentrios sobre esses ataques na Amrica Latina. Indico tambm que os responsveis pela segurana de ATMs consultem o PCI Council, que acabou de lanar um suplemento chamado ATM Security Guidelines que apresenta um conjunto de recomendaes para proteo fsica e lgica dos ATMs para resguardar os dados sensveis. RB: Sendo o varejo a maior vtima dos ataques, presume-se que a conexo destes estabelecimentos com as redes de pagamento das operadoras de cartes acabam sendo contaminados pela baixa proteo do varejo. Como os bancos e as empresas de carto podem se proteger? JB: Pensando como um atacante, ou seja, no ignorando nenhuma possibilidade de entrada para o ataque ou de possvel fuga de informao. por isto que todos os envolvidos na cadeia de pagamento com cartes de crdito esto sujeitos s regras do PCI DSS, de maneira que uma forma de se proteger buscar a aderncia norma. RB: O PCI DSS ainda caro. Seria ele economicamente vivel para o pequeno comrcio? JB: A certificao prev parmetros diferenciados para cada ente do processo. H muitos exemplos no mercado de como a implantao em grande escala pode torn-lo muito vivel para o pequeno comercial, que a parte mais frgil do elo. RB: Hoje podemos dizer que a totalidade dos bancos no Brasil adotam cartes com chip. De que maneira este fator impacta nos ndices de segurana? JB: Ela melhor que a de muitos outros lugares do mundo. De fato, esta caracterstica diminui bastante o nmero de fraudes, reduzindo o risco de comprometimento, mas no garante 100% de segurana. Alm disso, devemos levar em conta que algumas transaes no so realizadas com a leitura do chip e que todo o fluxo de dados de cartes deve estar seguro. RB: Por que as empresas levam 210 dias, em mdia, para identificar uma invaso nas suas redes? JB: Porque se o ataque muito sofisticado, ou feito de uma maneira "elegante" para que os mecanismos de proteo no o detectam (muitas vezes por um erro ou falta de configurao).
Hoje, boa parte dos invasores j adota a criptografia para se
esconder do hospedeiro e at para proteger o resultado de suas fraudes contra o assdio de gangues rivais. o prprio mundo da bandidagem que comea a se preocupar com segurana. Fonte: Relatrio Bancrio Data da informao: 05/04/2013 No existem documentos relacionados Sumrio Detalhes Histrico Vincular Pasta Desvincular da Pasta Comentrios + Adicionar comentrio Informao no tem nenhum comentrio disponvel