Nuno Cerdeira Baptista, Security Lead, e Diogo Barros Silva, Banking Strategy Lead na Accenture Portugal, analisam a questão da cibersegurança no sector financeiro.

R: Que novos desafios se apresentam às empresas do sector financeiro no pós-pandemia, em matéria de cibersegurança?

NB e DS: O primeiro desafio destaca uma ameaça que tem foco no ecossistema e na segurança de toda a cadeia de valor. Apesar de não estar relacionado directamente com a pandemia, podemos ter a noção da sensibilidade deste tema se tivermos como exemplo a quebra de segurança no software de ITSM, da SolarWinds - um dos maiores ataques do ano passado. Neste momento, sabemos que 40% dos ataques afectam as organizações por via de uma terceira parte e que esta é uma tendência em crescimento, à medida que as organizações do sector financeiro aumentam a sua maturidade ao nível da cibersegurança e os atacantes se concentram nos elos mais fracos da cadeia de valor: fornecedores e parceiros com menos maturidade. Esta é uma ameaça que abrange todos os pilares de gestão de uma organização, nomeadamente, as pessoas, os processos, a tecnologia e os dados. As pessoas que usam as aplicações, infra-estruturas e dados, os processos usados para gerir o relacionamento com esses mesmos parceiros, a tecnologia de terceiros que é usada dentro da organização, e os dados que são acedidos por múltiplos stakeholders. Para endereçar este desafio, a avaliação do risco e da maturidade de cibersegurança de todos os parceiros e fornecedores é crítica, por forma a avaliar a ciber-resiliência de toda a cadeia de valor.

Em segundo lugar, os desafios resultantes das tecnologias emergentes, como o 5G, o uso de Deepfakes, as campanhas de desinformação, denominadas "fake news", e a crescente adopção de fintechs. O 5G introduz uma nova evolução tecnológica, apoiada num número reduzido de fornecedores. Qualquer vulnerabilidade nestas novas infra-estruturas pode ter um impacto enorme. Além disso, vem potenciar a hiperconectividade e a massificação do IoT, aumentando a superfície de ataque e as potenciais vulnerabilidades que daí advêm. O uso de Deepfakes não só vem desafiar mecanismos de autenticação, como potenciar um novo nível de engenharia social em ataques de "spear phishing". As campanhas de desinformação e de "fake news" têm capacidade de causar impacto real no sector financeiro, pois geram comportamentos imediatos no mercado se não forem contidas ou refutadas rapidamente. E para terminar, fintechs, empresas inovadoras e com capacidade de disrupção no sector financeiro começam a ser adoptadas como parceiras dos incumbentes, ameaçando assim a segurança da cadeia de valor, pois, pela sua dimensão e características de startups, não estão muitas vezes sujeitas aos regimes regulatórios rigorosos dos incumbentes.

R: No último ano registou—se um aumento do cibercrime devido a alterações significativas na forma como as empresas funcionam, nomeadamente com um número muito elevado de colaboradores em teletrabalho. As empresas não estavam preparadas em termos de segurança?

NB e DS: Acreditamos que muitas empresas não estavam preparadas em termos de estratégia e modelos de negócio, o que, por sua vez, impacta a segurança. Mas é importante referir que esta preparação varia muito consoante a organização. Existe, sem dúvida, um impacto global, consequência do aumento de determinado tipo de ataques, como, por exemplo, o phishing e seus derivados, suportados pela fragilidade adicional das pessoas devido aos temas directamente relacionados com a pandemia. Para as empresas que tiveram de efectuar uma transição forçada para trabalho remoto, o panorama da cibersegurança, sem dúvida, mudou. O aumento da superfície de ataque, agora estendida a dispositivos e redes domésticas, criou novos e difíceis desafios para as organizações que não estavam preparadas. E neste caso, a grande questão parece-nos ser mesmo a da preparação, pois a forma como as organizações abordam a gestão de identidades e de dispositivos veio condicionar, em grande medida, a sua preparação para poderem fazer, ou não, uma transição efectiva e segura para o trabalho remoto. Mais do que falar de VPN ou simplesmente de tecnologia, é preciso falar de como é que uma identidade é encarada e gerida pela organização, pois com a estratégia adequada é possível abordar trabalho, em escritório ou remoto, exactamente da mesma forma. A Accenture é um exemplo de uma organização que tem neste momento mais de 500 mil colaboradores, a nível global, a trabalhar remotamente e cuja transição foi transparente, devido à forma como a gestão de identidades e de dispositivos estava estruturada e apoiada numa filosofia zero- -trust, assim como numa estratégia cloud sólida e segura.

R: Quais os tipos de ataques mais comuns hoje no sector da banca e seguros?

NB e DS: Por um lado, devemos considerar os ataques derivados do factor humano, em que ataques de engenharia social, como o phishing, vão continuar a evoluir e a aproveitar a fragilidade acrescida das pessoas nestes tempos conturbados. Existe uma panóplia crescente de temas que podem ser explorados de forma maliciosa. Por outro lado, as tácticas, técnicas e procedimentos dos atacantes estão a evoluir, ameaçando a continuidade dos negócios, numa altura em que a mesma já foi ameaçada pela disrupção causada pela pandemia. Ataques direccionados e sofisticados, combinados com ransomware, colocam em risco não só a continuidade do negócio, mas também os dados da organização, pois se antes o foco destes ataques estava no resgate propriamente dito, actualmente tem estado na remoção de dados críticos da empresa como forma adicional de chantagem, levando as organizações a pagarem o resgate, não para recuperar os dados, mas para evitar que sejam divulgados. Além do phishing e do ransomware, o aumento da superfície de ataque devido ao trabalho remoto vem potenciar um movimento dos atacantes para a cloud, fazendo com que a adopção de uma estratégia de cloud segura seja de extrema importância, especialmente considerando que as competências necessárias ao nível de segurança da cloud são diferentes quando comparadas com as de gestão de infra-estruturas mais tradicionais.

R: O que mudou nos modelos de segurança para fazer face às novas ameaças?

NB e DS: Os modelos de segurança necessitam de ser constantemente adaptados, tanto numa perspectiva estratégica como táctica. Do ponto de vista estratégico é necessário acompanhar o plano da organização como um todo e as consequentes mudanças dos modelos de negócio, que irão impactar as necessidades de segurança. Por outro lado, é fundamental acompanhar a evolução dos modelos regulatórios, algo especialmente crítico no sector financeiro. Numa perspectiva táctica, há que ter em conta as mudanças constantes ao nível dos vectores de ataque e da superfície de ataque. Ao nível dos vectores de ataque como, por exemplo, o phishing ou o ransomware, que estão em constante evolução, mas também ao nível da cloud, cada vez mais presente e necessária, e em que simples problemas de configuração estão facilmente na génese de ataques. Ao nível da superfície de ataque, o grande exemplo será mesmo a pandemia, pois o alargamento do perímetro das redes corporativas às redes domésticas da grande maioria dos colaboradores veio fazer com que a gestão de identidades, dispositivos e acessos tivesse de ser reequacionada, especialmente, no caso das empresas que não tinham ainda essa capacidade.

R: Além dos riscos materiais, o cibercrime acarreta para as empresas graves riscos reputacionais. Esta é uma questão bem entendida e endereçada?

NB e DS: Acreditamos que esta questão é endereçada, acima de tudo, através de um esforço de mitigação do risco, sendo o ciberataque um dos componentes dessa gestão de risco. A questão poderá passar por sabermos se o risco reputacional de um ciberataque está a ser bem quantificado ou não, e, nesse aspecto, diz-nos a nossa experiência que dificilmente está, pois, caso estivesse, a preocupação com segurança e consequente investimento para a endereçar seria bastante superior. Consideramos que a minimização dos riscos de um ciberataque deveria ter uma maior prioridade. No entanto, tendo em conta que vai existir sempre risco, e que uma quebra de segurança irá certamente acontecer, é necessário colocar o foco na melhoria do processo de paragem desses ciberataques, na melhoria da agilidade em encontrar e resolver falhas de segurança, e na melhoria da redução do impacto de um ciberataque. Todos estes componentes têm de ser avaliados e medidos para os podermos melhorar e essa é, sem dúvida, uma área em que existe muito trabalho por desenvolver e, como tal, deverá ser um dos focos do Chief Information Security Officer.

R: Quais os comportamentos de risco que ainda persistem?

NB e DS: Arriscamos dizer que a cibersegurança começa e acaba nas pessoas, pois sabemos que 60% dos ataques bem-sucedidos exploram a vulnerabilidade ou erro humano, como o phishing ou o ransomware. As empresas devem desenvolver e implementar programas de consciencialização e educação, cujo foco seja o de transformar a cultura da organização, convertendo todos os colaboradores em verdadeiros embaixadores de segurança e que praticam comportamentos seguros. Com uma cultura de segurança enraizada, os comportamentos seguros passarão a ser a norma e não a excepção, o que permitirá reduzir o número de ataques bem-sucedidos por esta via. Na Accenture temos trabalhado com organizações do sector financeiro para melhorar a consciencialização e conhecimento dos seus colaboradores e parceiros nos temas da cibersegurança, e recentemente desenvolvemos um programa de consciencialização/formação com uma organização do sector financeiro em mais de 20 países, com 60 mil colaboradores, mostrando que uma iniciativa desta natureza pode ser feita em escala e em velocidade, assim como o fazemos internamente para mais de 500 mil dos nossos colaboradores.

R: Há já algum tempo que se fala da transição da cibersegurança como um tema de estratégia e não apenas de TI. Faz agora mais sentido do que há um ano?

NB e DS: Sim, sem dúvida. Devido ao cenário de pandemia mas, sobretudo, porque a gestão de risco e regulação cada vez mais o exigem. Já existe um consenso de que o tema da cibersegurança não se limita à tecnologia, abrangendo todos os pilares de gestão da organização: pessoas, processos, tecnologia e dados. Contudo, nem sempre este entendimento se manifesta numa abordagem estratégica e sistemática para gerir os risco de cibersegurança.

R: Qual o estado actual do sector de banca e seguros em Portugal no que diz respeito a ciberataques e capacidade de resposta?

NB e DS: No que diz respeito à incidência de ata ques a clientes, nomeadamente phishing e engenharia social, as boas notícias são que os dados mais recentes indicam que Portugal está abaixo da média europeia, com algumas flutuações de ano para ano. Isto em parte também reflecte a realidade nacional de estarmos um pouco atrás de outros países em temas como adopção de banca digital ou e-Commerce e, infelizmente, também se traduz em menor awareness dos consumidores em Portugal vs. UE para comportamentos seguros. As más notícias nesta área são que, em termos de incidência de malware, estamos acima da média europeia, resultado uma vez mais da menor adopção de comportamentos seguros. Já em relação à preparação das empresas, é difícil encontrar dados específicos para o sector financeiro, embora claramente ele represente uma proporção significativa dos incidentes de cibersegurança. Quando olhamos para o panorama das grandes empresas em Portugal (onde a banca maioritariamente se enquadra), a vulnerabilidade a ataques aparenta ser superior à média europeia. Em particular, embora as instituições tenham investido em soluções de cibersegurança, a proporção de grandes empresas com uma política de segurança bem definida e documentada para toda a organização ainda está atrás da média europeia.

R: Como estão as empresas do sector financeiro a preparar-se para o futuro em matéria de segurança, tendo em conta o avanço transformacional "forçado" que a pandemia implicou?

NB e DS: Do nosso ponto de vista, a pandemia veio acelerar tendências que já se evidenciavam em várias áreas: em primeiro lugar, a digitalização da venda e contratação de produtos financeiros, assim como da prestação de serviços associados (por exemplo, aconselhamento); em segundo lugar, uma rápida migração para meios electrónicos de pagamento e transaccionalidade; e, em terceiro lugar, a adopção de modelos mais flexíveis de trabalho remoto; e, finalmente, a adopção de plataformas tecnológicas que tragam maior eficiência operacional aos processos de backoffice, o que é uma necessidade absoluta num cenário económico mais adverso. Estas tendências têm impactos significativos ao nível da segurança e, conforme partilhado anteriormente, levou a uma maior intensidade de ataques de phishing, bem como ao aumento da superfície de ataque devido ao trabalho remoto, movendo-se os atacantes para a cloud. Este cenário conduziu a uma necessidade de ajuste nos dois grandes vectores que regem o sistema financeiro: gestão do risco e regulação, e são esses que pensamos justificar o conceito de um "reboot global" no tema da cibersegurança, porque são mais estruturantes e irão perdurar no tempo. A gestão de risco é algo absolutamente central numa instituição financeira, e começa a existir um entendimento ao nível do Executive Board de que o risco de cibersegurança deve ser gerido com a mesma sofisticação do que, por exemplo, o risco de crédito ou risco de mercado. A pouco e pouco os Chief Risk Officers conseguem demonstrar que o risco de perdas (sejam perdas financeiras directas, ou perdas de confiança por parte de clientes ou investidores) são reais e têm um nível de materialidade elevado para a instituição. De forma análoga, os reguladores têm "acordado" para este tema nos últimos dois ou três anos, e começamos a ser chamados a clientes porque a entidade reguladora requereu determinadas acções para melhor prevenir e gerir o risco de cibersegurança e o risco tecnológico. Com elevada probabilidade, esta atenção irá aumentar e as instituições financeiras serão reguladas de forma mais sistemática nesta matéria durante os próximos anos.

R: Tecnologias como o 5G e a inteligência artificial aplicados ao sector financeiro levantam grandes questões de cibersegurança. Como pode este sector garantir a segurança de dados e de fundos?

NB e DS: O 5G trará, sem dúvida, desafios de cibersegurança a vários níveis. Como ferramenta, a inteligência artificial já está presente em muito do que se faz em cibersegurança defensiva, abrangendo pessoas, processos, tecnologia e dados. Ao nível das pessoas e dos processos, a análise comportamental relativamente à forma como utilizamos dispositivos, serviços e dados das organizações gera informação que pode ser trabalhada em inteligência artificial (IA) e "machine learning" (ML) para prever comportamentos potencialmente perigosos e actuar em conformidade. Ao nível da tecnologia e dos dados, temos produtos assentes em IA/ML que processam informação de eventos de segurança, de forma a prever ataques, ou, por exemplo, soluções antifraude baseadas em análise de transacções existentes nos dados corporativos. Exemplo: é a ferramenta de ajuda ao processo de desenvolvimento de aplicações de forma segura e onde a Accenture tem desenvolvido tecnologia própria com a ajuda de IA/ML, não só para eliminar falsos-positivos em potenciais vulnerabilidades de forma mais eficaz, mas também para agrupar vulnerabilidades encontradas em termos de criticidade e complexidade de remediação, ajudando as equipas de desenvolvimento a integrar segurança "by design" e "by default'.

R: Qual o papel da Accenture, enquanto consultora, na implementação de planos de cibersegurança?

NB e DS: O papel da Accenture consiste no apoio aos nossos clientes em todo o ciclo do que chamamos ciber-resiliência, ou seja, desde a identificação de vulnerabilidades, prevenção de ataques, detecção de possíveis ataques, assim como resposta a incidentes e potencial recuperação, através de soluções tecnológicas próprias, ou third-party, e assentes nos nossos serviços especializados. Estamos a falar de muito mais que tecnologia, o que conseguimos pôr em cima da mesa quando falamos com clientes é uma solução end-to- -end, desde a estratégia e modelo operativo de cibersegurança, culminando com soluções tecnológicas de Security-as-a-Service ou serviços geridos. Em paralelo, temos trabalhado com Chief Risk Officers em abordagens sistemáticas de risco de cibersegurança, em particular na definição de frameworks integradas de gestão de risco e definição de controlos. Muitas vezes a necessidade vem em primeira instância de um requisito do regulador, quando na nossa visão deveria ser uma estratégia proactiva.

R: Quais as grandes tendências mundiais a nível de cibersegurança na área da Banca?

NB e DS: A primeira tendência que identificaríamos é uma muito maior sofisticação na gestão do risco de cibersegurança dentro do risco operacional, também derivada de uma abordagem mais sistemática por parte dos reguladores. A segunda tendência que identificamos é a procura de soluções de cibersegurança eficientes. O negócio de um banco não é prevenir nem gerir ataques, é providenciar produtos e serviços financeiros aos seus clientes. A área de cibersegurança requer uma actualização constante e é fundamental recorrer a parceiros que tragam as capacidades necessárias de uma forma mais eficiente.

Risco | 31/03/2021 | Nuno Cerdeira Baptista e Diogo Barros Silva

Nuno Cerdeira Baptista

Associate Director – Security Lead


Diogo Silva

Banking Strategy Lead – Accenture Portugal

MAIS SOBRE ESTE TEMA

Procurar ser melhor
GDPR: A data opportunity in disguise

SUBSCRIÇÃO
Mantenha-se informado com a nossa newsletter Mantenha-se informado com a nossa newsletter