Ameaças à segurança da informação no setor financeiroNo Brasil, as tecnologias usadas no mercado financeiro estão entre as mais avançadas do mundo. Inúmeros serviços digitais, aplicativos, cartões com chips, dispositivos móveis, atendimento online, tudo isso já faz parte da nossa realidade há algum tempo. Em 2014, 52% das transações bancárias no Brasil já eram realizadas pela internet Márcio Kanamaru (*) Infelizmente, a grande disponibilidade de serviços em diferentes plataformas também amplia a superfície de ataques cibernéticos, pois quanto mais complexo o sistema, mais oportunidades são criadas pelos cibercriminosos. De acordo com dados do McAfee Labs, os malwares genéricos ainda são as principais ameaças ao setor financeiro no Brasil, responsáveis por 50% dos ataques; em seguida aparecem os trojans bancários (28%), arquivos maliciosos (12%) e o ransomware (10%). O Brasil é conhecido por ser um dos primeiros países a ser atingido por trojans bancário, muitos destes desenvolvidos no próprio país. Outra modalidade de cibercrime tipicamente brasileira é o malware do boleto. O código malicioso faz com que os números do código de barras sejam alterados sem que a vítima perceba e ao realizar o pagamento digital de uma conta, o valor seja transferido para outra pessoa. O malware do boleto teve seu auge em 2013, mas ainda continua a ser usada pelos cibercriminosos. Estima-se que até hoje, no Brasil, já aconteceram mais de 300 violações deste tipo, resultando em perda de mais de 3 bilhões de dólares. O setor financeiro sempre atraiu a atenção dos criminosos devido ao grande número de dados valiosos que mantém. E sem dúvida é o setor que apresenta maior maturidade no quesito Segurança da Informação, mesmo porque a regulamentação exige que bancos e seguradoras invistam sempre nas mais avançadas tecnologias para combater ataques e fraudes. São muitos os fatores que afetam a segurança no setor financeiro. E até mesmo o cliente tem sua parcela de responsabilidade. Um mau comportamento on-line, como simplesmente clicar em um link recebido por e-mail desconhecido, pode abrir brechas para criminosos infectarem seus dispositivos e comprometerem suas transações bancárias. O uso de redes wi-fi públicas sem proteção adequada também pode permitir a interceptação de dados bancários. Para o futuro, a tendência é que a segurança seja cada vez mais automatizada e dependa cada vez menos do cliente, do colaborador e até mesmo da própria equipe de TI. A tecnologia está avançando rapidamente com a criação de soluções cada vez mais inteligentes e automatizadas, baseadas em análise de comportamento de ameaças e não mais em assinaturas, capazes de analisar e bloquear até mesmo ameaças desconhecidas. Antes planejadas em silos, as infraestruturas de segurança já avançam para serem completamente integradas, com soluções capazes de trocar informação entre si para proteger o dado onde quer que ele esteja, no endpoint, rede, nuvem pública ou privada. Além da integração de produtos de diferentes fornecedores, o mercado também deve se unir para compartilhar informações sobre ameaças e, assim, fortalecer o combate ao cibercrime em todos os setores. O cibercrime avança com rapidez, e assim também avança a segurança da informação. Atualmente não é exagero dizer que a segurança é o habilitador de qualquer negócio, sem a segurança apropriada, não existe negócio que resista. (*) É diretor geral da Intel Security no Brasil. FIEMG Lab adota metodologia de desenvolvimento sustentável da ONU para impulsionar startupsAlém de inovação tecnológica, o FIEMG Lab procura por negócios que trabalhem por um mundo melhor. O programa de aceleração de startups é o primeiro do Brasil a utilizar a metodologia dos 17 objetivos de desenvolvimento sustentável da ONU. O modelo servirá de base para mapear e medir os impactos social e ambiental dos 35 projetos selecionados para a segunda etapa da iniciativa. O modelo de trabalho que será executado pelo FIEMG Lab tem crescido entre empreendedores de vários lugares do mundo, inclusive do Brasil, onde os setores de educação e saúde são os mais propícios para investimentos. Os chamados “negócios de impacto” trabalham com a proposta de gerar benefícios sociais e ambientais. Na mesma medida, esse tipo de empreendimento apresenta soluções positivas e sustentáveis. O formato adotado será dividido em duas fases. Na primeira, um relatório apresentará a medição dos impactos gerados pelo programa como um todo, incluindo todas as 100 empresas inscritas na etapa inicial. O documento trará os principais pontos e objetivos dos projetos em relação aos parâmetros globais de sustentabilidade. Já a segunda parte da metodologia será direcionada as 35 empresas escolhidas para a fase secundária da iniciativa. Neste momento, os impactos produzidos pelos projetos selecionados serão analisados conceitualmente de acordo com as metas de desenvolvimento traçados pela ONU. Além de combater os problemas ambientais, os tópicos da agenda global trazem uma série de ações que atacam questões ligadas à pobreza e as desigualdades. Para medir o impacto das startups durante a trajetória no FIEMG Lab, o programa terá indicadores quantitativos e qualitativos. Além disso, os resultados das avaliações irão ajudar na forma de atuação das empresas e na tomada de decisão sobre quais caminhos devem ser mantidos. | Engenharia social: usuários precisam estar vigilantesOs filtros de spam já melhoraram muito ao longo dos anos, impedindo que os uma série de e-mails falsos contendo promessas milagrosas não chegassem às caixas de entrada dos usuários. A evolução, no entanto, não é o suficiente para acompanhar a sofisticação dos ataques de engenharia social. Para Cleber Marques, diretor comercial da KSecurity, uma empresa brasileira de cibersegurança, basta uma olhada rápida em sua caixa de spam para encontrar intermináveis e-mails prometendo perdas de peso milagrosas ou ganhos incríveis de dinheiro sem sair de casa. Os ataques de engenharia social, no entanto, vão mais além para tirar vantagem da principal causa das violações de dados: o usuário. “Infelizmente, mesmo os indivíduos mais atentos às ameaças cibernéticas podem facilmente cair em um ataque de engenharia social e passar informações. Não existe uma solução tecnológica para isso, a única solução é realmente prestar mais atenção ao que fazemos na web”, afirma Marques. Identifique um ataque de engenharia social Este ano, vimos os tradicionais e-mails de phishing se tornarem mais perigosos com os ataques de Comprometimento de E-mails Corporativos (em inglês, Business Email Compromise – BEC), um tipo de golpe de e-mail mais sofisticado no qual os criminosos se apresentam como executivos e solicitam a subordinados que eles efetuem transações bancárias ou algo similar – dados do FBI divulgados em junho deste ano estimam que grupos de hackers já tentaram roubar US$ 3,1 bilhões dessa maneira. Agora, os hackers evoluíram para tentar usar as informações postadas pelos usuários nas redes sociais em suas mensagens, de forma a torná-las mais parecidas com mensagens autênticas de amigos e colegas de trabalho. Para o diretor comercial da KSecurity, uma maneira de evitar ser vítima desse tipo de ataque é estar atento aos seus estágios mais comuns. Conheça alguns deles: Gatilho: O ataque geralmente tem início com um e-mail, mas os cibercriminosos também podem usar SMS e mensageiros mobile. Para que o ataque siga adiante, o usuário deve confiar ou, ao menos, não desconfiar dos propósitos da comunicação; Sinergia: O hacker deve conhecer minimamente sua vítima para pedir apenas os dados aos quais ela tenha acesso. “Não adianta ele pedir as credenciais do Banco do Brasil de uma vítima que só tem conta na Caixa Econômica Federal”, exemplifica Marques. Descoberta: O cibercriminoso precisa iludir a vítima para obter as informações desejadas. Isso inclui, por exemplo, não pedir informações demais para não levantar suspeitas. O estudo The Cost of Phishing & Value of Employee Training, divulgado pelo Instituto Ponemon no último ano, concluiu que as empresas que tem, em média, 10 mil funcionários gastam cerca de US$ 3,7 milhões lidando com ataques de phishing. Tanto no caso dos ataques tradicionais de phishing quanto nos casos de engenharia social, os programas de conscientização do usuário podem fazer a diferença para gerar funcionários mais atentos a ações suspeitas. De acordo com o relatório do Instituto Ponemon, empresas que investiram em programas de conscientização reduziram a taxa de cliques em e-mails de phishing em 64%, em média. “Quando estão apressadas para terminar tarefas, as pessoas frequentemente clicam em links ou baixam anexos sem pensar. É fácil acabar instalando um spyware ou vírus sem nem perceber. Por isso, é preciso investir em programas de treinamento para tornar os usuários mais conscientes de suas ações na web”, afirma diretor da KSecurity. Big Data Analytics define o futuro do combate ao terrorismoRodrigo Africani (*) Desde 1970, o terrorismo tem ficado cada vez mais frequente e já contabiliza mais de 140 mil vítimas ao redor do mundo, em sua maioria, cidadãos Além dos notórios ataques coordenados ao World Trade Center, nos EUA, outras dezenas de países foram palco de uma escalada assustadora de atentados, como os que ocorreram na França e na Bélgica, com 270 mortos somente nos últimos dois anos. Por conta disso, as agências de inteligência dos EUA e das potências europeias estão investindo fortemente em novas formas de combater o terrorismo. Essa é uma tarefa exponencialmente mais árdua, considerando que as novas organizações terroristas, como o Estado Islâmico, estão distribuídas em milhares de células isoladas, agindo de forma independente e dificultando a trilha de investigação para encontrá-las. Isso significa que as antigas táticas de investigação, centradas em dispositivos de vigilância, grampos, interrogações e informantes para expor as “teias” de relacionamento, perderam rapidamente a eficiência diante do novo modus operandi das organizações terroristas. Ao invés disso, os investigadores estão trocando escutas e armas de fogo por ferramentas analíticas cada vez mais avançadas e escaláveis, apostando no Big Data para identificar e apreender suspeitos antes mesmo de eles agirem. Somente em 2016, a inteligência norte-americana deverá gastar US$ 1.7 bilhão em projetos e pesquisas de Big Data. Com o uso de Analytics, os investigadores estão lidando com milhares de petabytes de dados capturados de pessoas e eventos, que são processados, combinados e analisados para detectar padrões, comportamentos suspeitos e até para trabalhar de forma preditiva na identificação de possíveis ataques. Isoladamente, esses dados são meramente dados. Mas, interligados com poderosas ferramentas de mineração e visualização de dados, podem ser capazes de gerar valiosas pistas e insights. Como encontrar esses dados? A realidade é que todos nós deixamos pistas por onde passamos e do que estamos fazendo. São atualizações em perfis de redes sociais, registros telefônicos, movimentações bancárias e com cartão de crédito, reservas de passagens, conversas via aplicativos de mensagem e praticamente qualquer outra atividade pela internet, a partir de qualquer dispositivo conectado. E os governos estão monitorando tudo isso para ir além das buscas pelo que eles já esperam encontrar – eles querem encontrar até o que não esperam. E uma das principais vantagens da inteligência analítica é justamente essa. Não é necessário saber exatamente o que se procura, pois a tecnologia pode fazer isso por você. O ex-diretor da NSA (Agência de Segurança Nacional dos EUA), Mike Rogers, já afirmou diversas vezes que esse trabalho de monitoramento e de Analytics é essencial para evitar outros grandes ataques terroristas, e que ferramentas como o Facebook e o Twitter podem ser valiosos aliados nesse combate. Em 2015, o estudo The Isis Twitter Census mostrou que 46 mil contas do Twitter estavam sendo operadas pelo Estado Islâmico. Em fevereiro deste ano, outras 125 mil delas foram suspensas por promover mensagens terroristas. Nesse sentido, um dos grandes desafios ainda é o de utilizar recursos analíticos para distinguir os “lobos solitários” das organizações terroristas de pessoas que apenas estão falando de extremismo. Muitas agências ainda possuem dificuldade para tirar o máximo proveito dos dados que possuem para esse objetivo, mas já existem iniciativas para compartilhamento efetivo de inteligência entre agências e governos com grandes volumes de dados. Isso deverá auxiliar uma série de investigações, como o projeto Minerva, lançado em 2008 e com a finalidade de levantar perfis de incitadores de revoltas e ataques terroristas nas redes sociais. Portanto, já estamos vivenciando uma realidade tecnológica que permite o uso do Big Data e das tecnologias analíticas mais avançadas para combater efetivamente o terrorismo. E não estamos tão longe assim do filme de ficção Minority Report (2002), pois teremos cada vez mais recursos para identificar e capturar terroristas muito antes de ocorrer um ataque. Cada vez mais, o desafio de conscientização de governos e empresas a respeito dos benefícios de Big Data se torna menor e nos coloca um passo à frente do futuro. (*) É gerente de Negócios de Data Management do SAS América Latina. |