(*) Por Agostinho Rocha
Pela primeira vez, a Controladoria Geral da Moeda dos Estados Unidos (OCC, na sigla em inglês) classificou, em 2013, o cibercrime como um dos maiores riscos para os bancos. Este ano as regulamentações foram ainda mais além, sendo direcionadas especificamente para invasões de rede em potencial. Uma pesquisa realizada recentemente pela Unisys juntamente com o Ponemon Institute descobriu que aproximadamente 70% das organizações que fornecem serviços de infraestrutura crítica já reportaram ao menos uma violação de segurança. Isso levou à perda de informações confidenciais ou à interrupção de operações nos últimos 12 meses.
Os criminosos cibernéticos estão se voltando cada vez mais às redes bancárias a fim de obter informações lucrativas de dentro do banco (entre filiais, data centers e funcionários) e de fora dele (com fornecedores, Banco Central, clientes, correspondentes bancários, comércios, reguladores, etc.).
É difícil superestimar a confidencialidade desses dados. Registros pessoais, às vezes, são repassados juntos com folhas de pagamento e informações médicas. Além disso, não são apenas os invasores que fornecem riscos à segurança. O número de pessoas com acesso às redes bancárias aumentou muito com os serviços de autoatendimento, clientes que realizam os serviços online e o uso crescente de aplicativos móveis.
”Com certeza nos preocupamos com os hackers, mas também tenho pesadelos com um funcionário inocente anexando um relatório de despesas no tablet em uma lanchonete e encontrando dados que deveriam estar separados. Exposições acidentais são péssimas para reputações e ótimas para hackers”, disse um executivo de segurança de uma instituição bancária.
Até agora, na maioria das vezes, os bancos que procuraram maior agilidade de rede e eficiência de custo precisaram aumentar os gastos com segurança. Nos últimos anos, muitos deles responderam a pressões ao tornar planas suas redes complexas. Isso, além de baixar o custo de manutenção das redes, simplificou a configuração e reduziu o número de dispositivos que deveriam ser gerenciados. A ação acelerou a capacidade de fazer mudanças e otimizou o tráfego entre fonte e destino.
Mas, em compensação, houve uma grande quantidade de ataques e visibilidade de informações que antes os usuários não tinham acesso. Estas redes planas costumam falhar ao segregar informações. Logo, os invasores podem ver todos os dados em movimento e acessar os sistemas envolvidos. Se eles tiverem as habilidades e o tempo suficiente para executar o ataque, podem causar muitos danos.
Outras instituições bancárias, na esperança de conseguir mais proteção, resistiram à pressão de tornar suas redes planas e optaram por redes em camadas. Porém, além de os cibercriminosos estarem ficando mais rápidos, as redes em camadas apresentam um tipo diferente de vulnerabilidade: consequências involuntárias.
Estas redes complexas e normalmente desarticuladas estão desafiando os próprios bancos. Elas tornam o que poderia ser uma modificação direta executada pela administração da rede (como uma atualização de produto ou um novo recurso online) em um esforço trabalhoso, demorado e minucioso, envolvendo diversas equipes. Quanto mais complexa e mais camadas a rede tiver, maior será a chance de uma etapa ser esquecida e a conexão ficar vulnerável a invasões.
Então, como os bancos podem alcançar o melhor dos dois mundos? Como é possível tornar a rede plana sem expor a superfície a invasores, ou segmentar a rede sem criar algo complexo e caro?
A chave está na troca da segmentação física por segmentação lógica. A segurança definida por software possibilita a divisão de uma rede usando recursos lógicos. Em vez de físicas, barreiras de infraestrutura como LANs virtuais, roteadores e firewalls alcançam os usuários que chegam à parte posterior do firewall.
Não importa quão plana seja a rede, essas barreiras lógicas confinam as tentativas por meio de chaves criptográficas, que separam usuários em grupos e permitem o acesso apenas aos corredores e portas em que a finalidade do trabalho o permite. Assim, os caixas dos bancos não veem informações financeiras, o setor de RH não vê dados de CRM e os hackers não têm acesso a mensagens de pagamento. Os locais não permitidos se tornam invisíveis para os usuários.
*Agostinho Rocha é especialista em segurança e Vice-presidente de Vendas da Unisys para a América Latina
