Atualmente, a questão da segurança cibernética é uma preocupação crescente em todo o mundo. Os investimentos e cuidados são indispensáveis, uma vez que evita a ocorrência de incidentes variados que resultam no vazamento de dados e informações e, consequentemente, de prejuízos financeiros. A Acrefi, Associação Nacional das Instituições de Crédito, Financiamento e Investimento, realizou, neste mês, um amplo debate sobre “Segurança Cibernética: Como garantir experiências digitais mais seguras”. O evento tratou como as empresas, especialmente do mercado financeiro e de menor porte, podem se preparar, aprimorando o processo de prevenção a vazamento de dados e alinhadas às melhores práticas de atuação neste momento. A live foi mediada pelo consultor de operações da Acrefi Cleber Martins, com participação de Wanderley Vettore, vice-presidente da entidade, que agradeceu os presentes e reforçou a importância do papel da entidade em fomentar conhecimento e debates deste nível.
O Assessor Pleno do Departamento de Regulação do Sistema Financeiro do Banco Central do Brasil, Carlos André de Melo Alves, abordou a nova Resolução CMN 4893/2021, que atualiza a Resolução 4658/2018, principal marco regulatório sob gestão desta autarquia para o tema, que trata sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil. “O BC tem duplo papel, ao mesmo tempo que dita as normas, ele também supervisiona o cumprimento pelas entidades. Nossa missão é assegurar à sociedade a estabilidade do poder de compra da moeda e um sistema financeiro sólido, eficiente e competitivo. Em fevereiro de 2021, o Sistema Financeiro Nacional (SFN) era composto por 1.629 instituições cujos funcionamentos foram autorizados pelo BCB; 883 cooperativas de crédito e 604 instituições (contemplando bancos, outras instituições financeiras e de pagamento). É um amplo universo de segmentos, sendo a norma compatível com o porte, perfil de risco e modelo de negócio de cada instituição”, ponderou.
Melo Alves fez um preâmbulo sobre a abordagem do marco regulatório. “Os principais pontos contemplados na regulamentação são política de segurança cibernética, requisitos (contratação de serviços) e outras disposições. A política de segurança cibernética está baseada em princípios e diretrizes que assegurem a confiabilidade, integridade e a disponibilidade de dados. O conteúdo mínimo deve seguir objetivos de segurança cibernética – com procedimentos e controles que visem reduzir a vulnerabilidade a incidentes”, ressaltou. Segundo ele, na questão de requisitos para contratação de serviços de processamento, armazenamento de dados e computação em nuvem, as instituições devem adotar práticas de governança corporativa proporcionais à relevância do serviço contratado e aos riscos. “Instituições devem possuir recursos e competências adequados de gestão dos serviços a serem contratados. Em outras disposições normativas, quanto a comunicação ao BCB, as instituições devem comunicar, tempestivamente, os incidentes e as interrupções de serviços relevantes que configurem situações de crise.”
Em nível internacional, Melo Alves apresentou inciativas regulatórias promovidas pelo BCB relacionadas à resiliência cibernética. “Participamos de discussões que tangenciam o tema promovidas, por exemplo, pelo Comitê de Basileia e pelo Financial Stability Board (FSB). No contexto da pandemia, o emprego do trabalho remoto e o uso de serviços tecnológicos contratados ressaltam a atualidade do tema ‘segurança cibernética’. A preocupação com o tema é continua e permeia outros direcionamentos regulados do SFN, como o open banking”, alertou Melo, informando ainda a vigência da nova norma a partir de 01 de julho, os ajustes necessários para tratamento e comunicação de incidentes relevantes, bem como o prazo para adequação regulatória dos contratos existentes, até 31 de dezembro.
Já o CEO da Axur, Fábio Ramos, apresentou casos práticos e trouxe os ‘vazamentos de dados’ como ponto de atenção. “Há tempos somos impactados, em notícias globais, por falhas em sistemas e vazamento de dados. Hoje, a proteção de dados e o valor de informação, se tornou um ponto permanente de cuidado. Prevíamos que 2020 seria um ano de grandes vazamentos, que acabaram acontecendo. Já em 2021, mudamos o termo: projetamos os ‘megavazamentos de informação’ – com mais de 100 milhões de credenciais expostas. Vimos um vazamento atribuído a uma grande empresa com mais de 200 milhões de dados de cidadãos. Atualmente, os sistemas armazenam mais dados do que até a própria pessoa tem conhecimento: hoje somos cidadãos digitais. E ninguém quer ter sua intimidade exposta”, diz.
Apesar de todos os problemas, Ramos defendeu o uso da nuvem. “É mais confiável armazenar na Amazon, por exemplo, que dispõe de um sistema forte segurança, do que em locais externos. A maioria dos vazamentos de dados não acontece por ação hacker, mas por um descuido da configuração das ferramentas. A exposição não é proposital e acontece por conta de configuração errada, ou um processo malfeito. Proteger informação não está na nossa cultura e há muito trabalho pela frente. A pandemia piorou ainda mais o cenário”, sustentou. O especialista mencionou que o propósito dos criminosos cibernéticos é monetizar essas informações. “O volume de dados vazados na deep, dark e surface web é de grande relevância – são mais de 3,2 bi arquivos expostos em repositórios da Amazon, Microsoft e Dropbox; mais de 180 mi posts analisados automaticamente através de algoritmos especializados; mais de 15 bilhões (e-mails e senhas) expostos na web; e mais de 500 mil empresas afetadas pelo vazamento de código fonte com chaves de segurança. Ninguém está imune a essas exposições”, completou.
Por fim, Ramos explicou como detectar se a base de dados de fato vazou – usando o Honeytoken (informações falsas, como logins números de cartões de crédito, tabelas de bancos de dados etc). “Trata-se de um e-mail criado para identificar sua propriedade, na base de usuários ou clientes da empresa. Os e-mails usados são discretos e únicos. Caso esse endereço apareça em algum lugar ou receba uma mensagem, é porque a lista de e-mails de clientes ou usuários da empresa vazou. Se a empresa inserir um novo e-mail a cada ‘X’ período de tempo, será possível descobrir quando aproximadamente o vazamento ocorreu. É a antiga passagem do canário na mina de gás: quando os mineradores das minas de carvão usavam canários em gaiolas para checar a existência de gases tóxicos. Basicamente, se o canário morresse, havia vazamentos. Ou seja, todos estão sujeitos e, o mais é importante, é saber lidar e enfrentar essas questões”, ponderou.