Área do cliente
    • Ir para a lista

    [DZ Insight 2024] Como proteger o setor financeiro contra ciberataques

    Explore os desafios de segurança enfrentados pelo setor financeiro e descubra estratégias para fortalecer a ciber-resiliência nessa área.

    25 de Julho 2024 | 13:00

    Aprox. 19 minutos de leitura.

    O termo "cibersegurança" é frequentemente utilizado para descrever a proteção contra crimes digitais nas mais diversas áreas.

    No entanto, na prática, os desafios enfrentados podem variar amplamente entre os setores, devido às suas particularidades e aos diferentes vetores de ataque.

    Para abordar essas necessidades específicas, a equipe de Pesquisa e Desenvolvimento (P&D) da Diazero Security lançou a iniciativa DZ Insight.

    Este projeto consiste em uma série de artigos que examinam os principais desafios de segurança enfrentados pelos principais setores econômicos.

    Nosso objetivo é compartilhar gratuitamente nossos conhecimentos e análises, oferecendo um guia útil para aqueles que desejam aprofundar seus conhecimentos em cibersegurança.

    Para acessar nossa edição anterior, intitulada "[DZ Insight] Como proteger a área de saúde contra ciberataques", clique aqui.

    Indústria

    O setor financeiro sempre foi um alvo preferencial para cibercriminosos devido à sua alta rentabilidade.

    Um ciberataque bem-sucedido pode dar acesso a informações financeiras valiosas, como dados de cartões de crédito e bancários, facilitando a realização de fraudes como falsificação de boletos.

    Devido a essa sensibilidade, o governo impõe requisitos obrigatórios de segurança bastante rigorosos.

    Contudo, conforme informado em uma entrevista realizada com um de nossos clientes do setor financeiro, cumprir os requisitos do BACEN não assegura completamente a segurança.

    Isso porque as vulnerabilidades não estão apenas nas empresas, mas também nos usuários, que representam o vetor de ataque mais frágil: o ser humano.

    Todas as interações que o usuário realiza para utilizar serviços financeiros se tornam vulnerabilidades, desde pagamentos instantâneos e uso de carteiras digitais até reconhecimento facial para login e chatbots para suporte.

    Ou seja, o cenário de segurança se expandiu significativamente em comparação ao cenário tradicional.

    Com a tecnologia do Open Banking, muitas empresas de fintech e do setor de ativos digitais, como criptomoedas e DeFi, estão surgindo.

    Isso está aquecendo e diversificando cada vez mais o mercado de investimentos, tornando a cibersegurança mais importante do que nunca.

    Desafios

    O setor financeiro enfrenta os seguintes desafios principais:

    Falhas nas Cadeias de Suprimentos 

    Com o uso de software de código aberto tornando-se comum no desenvolvimento de software no setor financeiro, os ataques à cadeia de suprimentos de TI emergem como uma ameaça principal à segurança.

    Esses ataques exploram vulnerabilidades nos componentes internos do software, e os atacantes tentam diversas formas de comprometer o sistema.

    Entre as táticas utilizadas estão a introdução de malware em repositórios de código aberto e o hackeamento de empresas de desenvolvimento para adulterar softwares legítimos.

    Um exemplo notável é o ataque ao NPM (Node Package Manager), um gerenciador de pacotes para desenvolvimento de software.

    Os atacantes carregaram pacotes maliciosos relacionados a tarefas de empresas financeiras no NPM.

    Quando baixados e executados, esses pacotes comprometem as permissões de trabalho das empresas.

    Como resposta a essa ameaça, a SBOM (Software Bill of Materials) surgiu como uma solução eficaz para reforçar a segurança.

    A SBOM lista os componentes e informações dos pacotes de software e, quando integrada com informações de vulnerabilidades, permite a identificação rápida de fatores de risco dentro do software. 

    A cadeia de suprimentos de TI impõe ao setor financeiro desafios como:

    • Introdução de Malware em Componentes de Software: Atacantes podem inserir malware em bibliotecas ou pacotes de software de código aberto que são amplamente utilizados. Uma vez que esses componentes são incorporados ao software das instituições financeiras, o malware pode ser ativado, comprometendo a segurança dos sistemas;
    • Comprometimento de Fornecedores Terceirizados: Muitos fornecedores terceirizados no setor financeiro não possuem defesas adequadas contra ciberataques. A falta de preparação e resposta efetiva a incidentes por parte desses fornecedores pode resultar na exposição de dados sensíveis e no comprometimento dos serviços prestados às instituições financeiras;
    • Hackeamento de Empresas de Desenvolvimento: Atacantes podem direcionar seus esforços para hackear empresas desenvolvedoras de software, adulterando o código legítimo e introduzindo vulnerabilidades. Isso é especialmente perigoso, pois o software adulterado é distribuído como se fosse seguro, dificultando a detecção de ameaças;
    • Falta de Transparência e Visibilidade: Muitas vezes, as instituições financeiras não têm visibilidade completa sobre todos os componentes de software utilizados e suas respectivas vulnerabilidades. A ausência de uma Lista de Materiais de Software (SBOM) dificulta a identificação e mitigação de riscos, pois as vulnerabilidades podem passar despercebidas;
    • Dependência de Serviços em Nuvem: A migração para serviços em nuvem aumenta a complexidade da cadeia de suprimentos. A segurança dos dados e sistemas na nuvem depende da robustez das medidas de segurança implementadas pelos provedores de cloud service. Qualquer falha ou vulnerabilidade nesses serviços pode ter consequências significativas para as instituições financeiras que dependem deles.

    Para prevenir esses ataques, as seguintes ações serão necessárias:

    • Implementar e Adotar SBOM (Software Bill of Materials): Utilizar SBOM para rastrear e documentar todos os componentes de software utilizados, permitindo uma maior transparência e facilitando a identificação e correção de vulnerabilidades;
    • Realizar Auditorias de Segurança Regularmente: Conduzir auditorias de segurança periódicas em fornecedores terceirizados e nos componentes de software para garantir que eles atendam aos padrões de segurança e estejam livres de vulnerabilidades conhecidas;
    • Fortalecer a Segurança dos Fornecedores Terceirizados: Exigir que todos os fornecedores terceirizados implementem e mantenham práticas robustas de cibersegurança, incluindo a detecção e resposta a incidentes, e realizar avaliações regulares de suas políticas de segurança;
    • Adotar Práticas de Desenvolvimento Seguro: Integrar práticas de desenvolvimento seguro no ciclo de vida do desenvolvimento de software (SDLC), como testes de segurança contínuos, revisões de código e uso de ferramentas de análise de segurança estática e dinâmica;
    • Monitorar e Gerenciar Ativamente a Cadeia de Suprimentos: Utilizar ferramentas de monitoramento contínuo para supervisionar a segurança da cadeia de suprimentos, detectar atividades suspeitas e responder rapidamente a quaisquer incidentes de segurança identificados.

    Inteligência Artificial (IA)  

    A Inteligência Artificial (IA) está revolucionando o setor financeiro, com aplicações em diversas áreas como análise de mercado, recomendação de produtos financeiros, determinação de preços de empréstimos, avaliação e gerenciamento de riscos, desenvolvimento de estratégias de investimento e atendimento ao cliente.

    Na segurança financeira, a IA é crucial para a detecção e prevenção de fraudes, bem como na identificação de transações anômalas, aprimorando a cibersegurança. 

    Por outro lado, a IA generativa também está sendo utilizada maliciosamente para desenvolver phishing, malware e disseminar informações falsas.

    Esse uso mal-intencionado torna as ameaças híbridas mais sofisticadas, exigindo aprimoramento nas técnicas de resposta a ataques, utilizando IA e big data, bem como técnicas de correlação para analisar eventos e detectar ataques.

    Alguns problemas associados à IA incluem:

    • Vazamento de Dados Pessoais: Exposição de dados usados para treinar serviços de chatbot baseados em IA;
    • Problemas Éticos: Manifestação de comportamentos discriminatórios por parte da IA em relação a gênero, raça, etc.;
    • Riscos de Terceiros: A vulnerabilidade da IA de grandes empresas pode afetar várias instituições financeiras.
    • Transações de Alto Risco: Quedas no mercado de ações devido a falhas nos algoritmos de negociação de ações baseados em IA;
    • Mau funcionamento de Algoritmos: Acidentes financeiros causados por mau funcionamento de modelos de IA devido à contaminação dos dados de treinamento.

    Esses desafios destacam a necessidade de uma abordagem proativa e abrangente para a implementação e gestão da IA no setor financeiro:

    • Aprimoramento das Técnicas de Segurança: Investimento em tecnologias avançadas de cibersegurança, incluindo detecção de fraudes em tempo real e monitoramento contínuo de transações para identificar atividades suspeitas;
    • Implementação de Regulamentações Estritas: Desenvolvimento e aplicação de regulamentações que garantam o uso ético e seguro da IA, prevenindo comportamentos discriminatórios e vazamentos de dados pessoais;
    • Colaboração Intersetorial: Fomento da colaboração entre instituições financeiras, empresas de tecnologia e órgãos reguladores para compartilhar informações sobre ameaças emergentes e desenvolver estratégias conjuntas de mitigação de riscos.

    Adotar práticas responsáveis e seguras é essencial para maximizar os benefícios do uso da IA e mitigar os riscos associados.

    Dessa forma, é possível reforçar a segurança cibernética, melhorar a eficiência operacional e oferecer uma experiência superior aos clientes.

    Ineficiência no Gerenciamento de Identidade e Acesso (IAM) 

    Uma das principais dificuldades enfrentadas pelas instituições financeiras é a ineficiência no gerenciamento de identidade e acesso (IAM).

    Com um grande número de funcionários e clientes, o gerenciamento eficaz de identidades é crucial para a segurança cibernética. 

    Em um relatório recente, a Rede de Repressão a Crimes Financeiros do Departamento do Tesouro dos EUA destacou explorações significativas relacionadas à identidade, sublinhando a importância do IAM.

    Os principais desafios relacionados ao gerenciamento de identidade e acesso incluem:

    • Complexidade do Ambiente de TI: As instituições financeiras operam em ambientes de TI complexos que incluem sistemas legados e modernos, on-premises e em nuvem. Essa heterogeneidade dificulta a implementação e gerenciamento de uma política de IAM unificada e eficaz;
    • Crescimento de Ameaças Internas: Funcionários e contratados internos representam uma ameaça significativa se não forem geridos adequadamente. O acesso excessivo ou inadequado a sistemas críticos pode resultar em uso malicioso ou acidental de dados sensíveis;
    • Gestão de Identidades de Clientes: Além dos funcionários, as instituições financeiras também precisam gerenciar as identidades de um grande número de clientes. A proteção das credenciais dos clientes, a implementação de autenticação segura e a prevenção de fraudes são desafios constantes. A experiência do usuário também deve ser considerada para garantir que os processos de segurança não sejam excessivamente complicados ou dissuasivos.

    O IAM é fundamental para o setor financeiro, pois envolve a autenticação e autorização dos usuários que acessam sistemas e dados sensíveis.

    Essas organizações enfrentam desafios únicos na gestão de identidade devido à natureza sensível dos dados financeiros e aos rigorosos requisitos regulatórios que devem cumprir. 

    A ineficiência no monitoramento e controle das autorizações de acesso pode levar a sérias consequências.

    Essas falhas podem ser exploradas ativamente por cibercriminosos, resultando em ataques devastadores, incluindo ransomware, phishing e malware.

    Para melhorar o gerenciamento de identidade e acesso, é necessário que as instituições financeiras adotem práticas como:

    • Implementação de Autenticação Multifator (MFA): Adotar a autenticação multifator é uma medida fundamental para aumentar a segurança do acesso. Combinando algo que o usuário sabe (senha), algo que o usuário tem (token ou dispositivo móvel) e algo que o usuário é (biometria), as instituições financeiras podem dificultar o acesso não autorizado;
    • Gerenciamento de Acesso com Base em Funções (RBAC): Implementar RBAC pode ajudar a garantir que os usuários tenham apenas o acesso necessário para desempenhar suas funções. Dessa forma, a superfície de ataque é reduzida e o potencial de danos é limitado caso uma credencial seja comprometida;
    • Segregação de Funções (SoD): Garantir que as funções críticas e de alto risco estejam separadas de modo que nenhuma única pessoa tenha controle completo sobre processos financeiros críticos pode prevenir fraudes e outros abusos;
    • ABAC (Attribute Based Access Control): Controle de acesso baseado em atributos, onde mesmo que um papel (permissão) seja atribuído, o acesso é controlado pela verificação de rede, ativos e segurança definidos pela empresa.

    A ciber-resiliência e a eficiência operacional são objetivos alcançáveis com um foco contínuo na melhoria e modernização das práticas de IAM.

    Práticas de Proteção

    Para o setor financeiro, é necessária uma proteção de ponta a ponta mais robusta do que em qualquer outro setor do mercado. 

    Além das recomendações apresentadas no tópico anterior, selecionamos algumas proteções essenciais para seguir:

    • Regulamentações Rígidas: O setor financeiro é fortemente regulamentado, e a conformidade com normas como o GDPR/LGPD e PCI-DSS impõe requisitos rigorosos de controle de acesso. Seguir essas regulamentações mínimas é uma obrigação e o básico da segurança para qualquer ambiente;
    • Políticas Rigorosas para o Uso de SaaS: É essencial estabelecer e implementar medidas de segurança rigorosas para o uso de SaaS. Isso ajuda a evitar invasões e vazamentos de dados causados por erros de configuração do SaaS ou vulnerabilidades em aplicativos de terceiros integrados ao sistema. Além disso, é necessário realizar treinamentos de segurança periódicos para os funcionários internos que utilizam o SaaS;
    • Cultura Bottom-Up: Para estabelecer uma cultura de segurança proativa no setor financeiro, está sendo promovida uma transição de abordagens rígidas para um método Bottom-Up. Esta abordagem de segurança "de baixo para cima" visa possibilitar a participação ativa de todos os funcionários. Isso inclui a realização de competições de hacking simulado e programas de recompensas por identificação de bugs (bug bounty) para proteção contra vulnerabilidades Zero Day;
    • Higiene Cibernética: Assim como a higiene é essencial para a saúde, os consumidores financeiros devem reconhecer a cibersegurança como um hábito indispensável à vida digital. É necessário que percebam isso como um valor essencial a ser praticado cotidianamente. O Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA recomenda a importância da "higiene cibernética";
    • Security by Design: Conforme a Internet das Coisas (IoT) populariza-se no setor financeiro, novas ciberameaças tendem a emergir e ameaças já existentes a adaptar-se às novas tecnologias. Portanto, é crucial considerar a segurança desde a fase de design dos serviços.

    Conclusão

    Devido à complexidade do setor financeiro, muitas instituições tendem a adotar medidas de segurança baseadas na compreensão de que é impossível prevenir 100% dos incidentes apenas com controles prévios.

    Dessa forma, a política de cibersegurança está reconhecendo a necessidade de uma abordagem que tolere falhas e evoluindo para um sistema de segurança autônomo baseado em risco. 

    Isso não significa que a proteção será negligenciada, mas sim que haverá um foco maior na resiliência cibernética – a capacidade de manter a infraestrutura de TI operante mesmo diante de ameaças ou ataques. 

    Fontes

    • 「Critical Cybersecurity Hygiene: Patching enterprise」(NIST, 2020 Março)
    • 「Framework_for_Developing_SaaS_Security_Policy」(Gartner, 2022 Maio)
    • 「Considerations for Managing IoT Cybersecurity and Privacy Risks」(EUA, NIST, 2019 Junho)
    • 「Artificial Intelligence of Things(AIoT) & the role it plays in banking」(Global Banking & Finance Review, 2021 Maio)
    Ir para a lista

    Download disponível

    CONTEÚDOS RELACIONADOS

    Acessar
    27 de Março 2025

    [DZ Insight 2025] Como proteger o setor público contra ciberataques

    Explore os desafios de segurança digital enfrentados pelo setor público e descubra estratégias para fortalecer a resiliência cibernética nessa área.

    Acessar
    25 de Fevereiro 2025

    [DZ Insight 2025] Como proteger o setor de logística contra ciberataques

    Entenda os desafios de cibersegurança enfrentados pelo setor de logística e explore estratégias para fortalecer a resiliência nesse campo.

    Acessar
    27 de Janeiro 2025

    [DZ Insight 2025] Como proteger o setor de manufatura contra ciberataques

    Entenda os desafios de segurança enfrentados pelo setor de manufatura e descubra estratégias para aprimorar a ciber-resiliência nesse segmento.