Entrevista: A segurana dos bancos e a segurana dos bandidos

Entrevista: A segurana dos bancos e a segurana dos bandidos

Depois analisar o contedo de 20 milhes de emails
potencialmente perigosos e realizar mais de 2,5 mil ataques
controlados a 450 redes de bancos, empresas e rgos de
governo, o grupo de inteligncia da norte-americana Trustwave
descobriu alguns dados surpreendentes, que constam do seu
relatrio 2013 Trustwave Global Security Report. O mais
assustador que as empresas levam, em mdia, 210 dias para
descobrir que sua rede est hospedando um invasor. O dado
favorvel que os Bancos esto bem mais seguros, e hoje
respondem por apenas 7% dos ataques do cibercrime, contra 45%
do varejo.
Nesta entrevista, o diretor da Trustwave, Jarrett Benavidez,
fala sobre vulnerabilidades em bancos e indica uma tima fonte
de informaes sobre segurana para as ATM.
Relatrio Bancrio: Onde se encontram as principais
vulnerabilidades dos bancos, sistemas de transao e canais de
atendimento dos bancos no Brasil?
Jarrett Benavidez: As vulnerabilidades podem ser encontradas
em qualquer lugar. Em geral, as empresas pensam em adotar
tecnologias poderosas para a proteo dos dados, mas o
comportamento do usurio uma varivel sempre mais complexa e
nem sempre considerada em seu devido nvel de importncia.
RB: De que modo o funcionrio pode colocar a instituio em
risco?
JB: O funcionrio pode, por exemplo, ser convencido a abrir um
flanco e faz-lo inocentemente. Por exemplo, passando
informaes por chamada telefnica; ou ento executar em seu
computador algum comando que facilite a vida do invasor. Alm
disso, sempre existe o risco dos ataques focados (na empresa
e/ou no funcionrio), que se reveste de grande personalizao.
RB: Que providncias precisam ser tomadas para suprir estas
vulnerabilidades?
JB: Em termos tecnolgicos, os bancos devem pensar no s na
proteo do permetro, mas para todos os pontos de risco da
rede, principalmente a rede interna. Muitas vezes, as empresas
se focam em se proteger de riscos da internet (ou qualquer
ameaa externa), mas se esquecem das ameaas internas. Alm
disso, preciso cuidar no s da segurana lgica, mas tambm
da fsica. Por exemplo, um simples pendrive inserido em algum
ponto da rede pode comprometer dados confidenciais de toda a
organizao.
RB: As ATM esto bem seguras?
JB: Quando falamos de ataques em ATM, a primeira coisa que vem
a mente so modificaes fsicas nos equipamentos, como a
instalao de "chupa cabras", cmeras ou outros aparatos. O
que no deixa de ser uma verdade. Mas muitos se esquecem da
prpria rede dos ATM, que costumam ter muitas brechas, e

poucos se protegem contra malwares direcionados a esses

dispositivos. Ataques com malwares no s infectam um sistema
especfico, mas podem se propagar por toda a rede ATM e
comprometer a base instalada como um todo. Outro fator
interessante, que muitas dessas redes no so segmentadas
como deveriam. Outro ponto a observar que os bancos investem
muito na proteo dos ATMs, mas nem sempre tm uma poltica de
atualizao permanente das defesas, enquanto isto, o crime
ciberntico avana dia a dia em direo a novas tticas.
RB: Existe alguma fonte sobre dados e informaes de segurana
para as ATM?
JB: Nosso relatrio mundial 2013 Trustwave Global Security
Report , que foi lanado h pouco tempo, traz comentrios
sobre esses ataques na Amrica Latina. Indico tambm que os
responsveis pela segurana de ATMs consultem o PCI Council,
que acabou de lanar um suplemento chamado ATM Security
Guidelines que apresenta um conjunto de recomendaes para
proteo fsica e lgica dos ATMs para resguardar os dados
sensveis.
RB: Sendo o varejo a maior vtima dos ataques, presume-se que
a conexo destes estabelecimentos com as redes de pagamento
das operadoras de cartes acabam sendo contaminados pela baixa
proteo do varejo. Como os bancos e as empresas de carto
podem se proteger?
JB: Pensando como um atacante, ou seja, no ignorando nenhuma
possibilidade de entrada para o ataque ou de possvel fuga de
informao. por isto que todos os envolvidos na cadeia de
pagamento com cartes de crdito esto sujeitos s regras do
PCI DSS, de maneira que uma forma de se proteger buscar a
aderncia norma.
RB: O PCI DSS ainda caro. Seria ele economicamente vivel
para o pequeno comrcio?
JB: A certificao prev parmetros diferenciados para cada
ente do processo. H muitos exemplos no mercado de como a
implantao em grande escala pode torn-lo muito vivel para o
pequeno comercial, que a parte mais frgil do elo.
RB: Hoje podemos dizer que a totalidade dos bancos no Brasil
adotam cartes com chip. De que maneira este fator impacta nos
ndices de segurana?
JB: Ela melhor que a de muitos outros lugares do mundo. De
fato, esta caracterstica diminui bastante o nmero de
fraudes, reduzindo o risco de comprometimento, mas no garante
100% de segurana. Alm disso, devemos levar em conta que
algumas transaes no so realizadas com a leitura do chip e
que todo o fluxo de dados de cartes deve estar seguro.
RB: Por que as empresas levam 210 dias, em mdia, para
identificar uma invaso nas suas redes?
JB: Porque se o ataque muito sofisticado, ou feito de uma
maneira "elegante" para que os mecanismos de proteo no o
detectam (muitas vezes por um erro ou falta de configurao).

Hoje, boa parte dos invasores j adota a criptografia para se

esconder do hospedeiro e at para proteger o resultado de suas
fraudes contra o assdio de gangues rivais. o prprio mundo
da bandidagem que comea a se preocupar com segurana.
Fonte: Relatrio Bancrio
Data da informao: 05/04/2013
No existem documentos relacionados
Sumrio
Detalhes Histrico
Vincular Pasta
Desvincular da Pasta
Comentrios + Adicionar comentrio
Informao no tem nenhum comentrio disponvel