Quando perguntaram a Willie Sutton, um assaltante de bancos nos anos 20 e 30, por que ele assaltava bancos; ele respondeu, "porque é aí que está o dinheiro". A razão é a mesma para justificar porque os bandidos cibernéticos aumentaram seus ataques em geral e a instituições financeiras em particular uma vez que elas são muito mais interessantes e lucrativas do que outras como alvos de ataques cibernéticos.

O estudo de 2020 do Boston Consulting Group constatou que as instituições bancárias e financeiras correm 300 vezes mais risco de um ataque cibernético do que outras empresas, enquanto um estudo da Accenture constatou que o custo médio anual do crime cibernético para empresas de serviços financeiros em todo o mundo aumentou para US$ 18,5 milhões - o mais alto de todos os setores incluídos no estudo e mais de 40% maior do que o custo médio de US$ 13 milhões por empresa em todos os setores.

Ataques recentes bem sucedidos de segurança cibernética

Enquanto os ataques recentes contra Colonial Pipeline, JBS, Equifax, dentre outros, foram bem sucedidos devido à má gestão e concepção da rede, os ataques de malware e ransomware estão se tornando muito mais comuns devido a outras fraquezas sistêmicas. A empresa de segurança cibernética Bluevoyant, realizou uma pesquisa global de risco cibernético junto a 253 CIOs, CISOs e CPOs da indústria de serviços financeiros, que revelou:

· 85% sofreram uma quebra devido a fraquezas em sua cadeia de fornecimento nos últimos 12 meses;

· 38% utilizam dados e análises de risco de fornecedores em seu programa de gerenciamento de risco cibernético de terceiros;

· 38% auditam e relatam riscos cibernéticos de terceiros a cada seis meses ou com menor frequência;

· 89% têm visto aumentos em seu orçamento de gerenciamento de riscos cibernéticos nos últimos 12 meses.

O que as empresas de serviços financeiros podem fazer para se proteger?

O relatório de avaliação de risco para 2020 do Banco Central Europeu identificou os principais fatores de risco que o sistema bancário da zona do euro deverá enfrentar durante os próximos três anos. São eles:

· A digitalização contínua dos serviços financeiros;

· A obsolescência de certos sistemas de informação bancária;

· A interconexão com sistemas de informação de terceiros e, por extensão, a migração para a nuvem.

Devido à complexidade dos sistemas e redes de computadores nos serviços financeiros, há apenas uma estratégia que proporcionará o nível de defesa em profundidade necessário para a proteção contra malware agora e no futuro que é a implementação do modelo Zero Trust.

O Modelo Zero Trust

O modelo Zero Trust, conforme definição pelo National Institute of Standards and Technology (NIST), é baseado nos seguintes princípios:

· Todas as fontes de dados e serviços de computação são consideradas recursos;

· Toda a comunicação é assegurada independentemente da localização da rede;

· O acesso aos recursos individuais da empresa é concedido por sessão;

· O acesso aos recursos é determinado pela política dinâmica - incluindo o estado observável da identidade do cliente, aplicação/serviço e o ativo solicitante - e pode incluir outros atributos comportamentais e ambientais;

· A empresa monitora e mede a integridade e a postura de segurança de todos os bens de propriedade e associados;

· Toda autenticação e autorização de recursos são dinâmicas e rigorosamente aplicadas antes que o acesso seja permitido;

· A empresa coleta o máximo de informações possíveis sobre o estado atual dos ativos, infraestrutura de rede e comunicações e a utiliza para melhorar sua postura de segurança.

O último princípio é a chave para fazer um modelo de Zero Trust realmente funcionar no mundo real. Ao inspecionar todo o tráfego, incluindo comunicações seguras usando a decriptação e inspeção TLS/SSL (SSLi) (Transport Layer Security/Secure Sockets Layer), as organizações financeiras podem rastrear o que está entrando em suas redes e o que está tentando sair. A implementação correta do protocolo de segurança SSLi pode prevenir de forma eficiente e econômica a entrada de malware e a exfiltração de dados sensíveis tornando o modelo Zero Trust robusto e completo para proteger as redes corporativas dos segmentos de serviços financeiros e mercados de fintechs, que estão em expansão rápida, criando um ecossistema cada vez mais complexo.

*Ivan Marzariolli, é gerente geral da A10 Networks do Brasil.

O executivo está na A10 desde o começo das operações da empresa no país em 2009, quando ocupou o cargo de engenheiro de vendas sênior, por quatro anos e gerente de vendas sênior por mais quatro anos, até assumir o cargo atual em 2018.

Marzariolli tem mais de 20 anos de experiência no setor de TI. Antes da A10, o executivo atuou em empresas como Citrix, Network 1, M13, Mintter Banking, Consoft e Base Tecnologia e Sistemas.