Política de Segurança Cibernética e as instituições de pagamento

Política de Segurança Cibernética e as instituições de pagamento

No dia 16 de agosto de 2018, o Banco Central do Brasil divulgou a Circular nº 3.909/2018 definindo normas as quais as instituições de pagamento deverão seguir, a fim de evitar incidentes de segurança, com a criação de um plano de ação e de resposta para coibir ataques cibernéticos.

A circular ainda estipula que os procedimentos e controles criados pela instituição de pagamento poderão (e devem) incluir, inclusive, a adoção de novas tecnologias para agregar as atividades da instituição, visto que deve abranger, entre outros fatores, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização de testes periódicos e varreduras para detectar vulnerabilidades e a proteção contra softwares maliciosos.

Isso porque, não é nenhuma novidade que todos os dias um vírus novo é criado pelos criminosos virtuais a fim de obter dados e/ou quantias de forma ardilosa, sendo que esta vem sendo a forma mais “fácil” de fazer com que um usuário caia em um golpe virtual.

Um exemplo se dá com o malware chamado Dark Tequila, que vem ganhando espaço no que tange ao mundo dos crimes eletrônicos financeiros, visto que este foi criado para coletar credenciais bancárias ou dados pessoais corporativos.

Pode se dar através da prática do phishing, que é uma maneira a qual os cibercriminosos utilizam para enganar o usuário a entregar informações pessoais como dados de cartão de crédito, CPF e senhas, fazendo isto através de um e-mail falso, ou também direcionando a um website falso, bem como pela forma mais comum, que se dá através de um pendrive infectado.

Neste último, o criminoso “deixa cair” este pen drive próximo ao local que é alvo do ataque, aguardando somente que alguém pegue o objeto e plugue no computador. E sim: infelizmente existem pessoas que por pura curiosidade fazem isto.

O objetivo do Dark Tequila é atacar o disco rígido do usuário diretamente, e se espalhar através de redes conectadas, utilizando a ferramenta de um keylogger para tal. O keylogger é um software criado para registrar tudo o que é digitado, portanto, captura todas as senhas informadas pelo usuário.

Diante disso, como o cenário dos ataques cibernéticos é um problema para todas as instituições, necessário possuir uma diretriz que estipule os procedimentos que são necessários para se obter um plano efetivo de segurança cibernética.

A referida circular também estabelece que as instituições precisam se comunicar e compartilhar todos os incidentes que são relevantes, a fim de que todas estejam preparadas para eventuais ataques parecidos. Vejamos um trecho da circular:

Art. 3º A política de segurança cibernética deve contemplar, no mínimo: (…)

VI (…) c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e

VII – as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com instituições de pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

No que tange ao plano de ação e resposta, o Banco Central exige que exista um diretor responsável pela política de segurança cibernética, bem como que se faça um relatório anual sobre a implementação do plano, que deverá conter o resumo dos resultados obtidos, dos procedimentos criados e das tecnologias utilizadas na prevenção dos incidentes.

Este plano de ação, ao final, deverá ser aprovado pelo conselho de administração da empresa, ou em sua inexistência, pela diretoria da instituição de pagamento, com revisão periódica de um ano, prazo devidamente plausível para a verificação da eficácia do plano.

Ora, é evidente que cabe as organizações a criação de mecanismos de segurança. Pagamos taxas (e não são baixas) para que estas armazenem nossos bens mais preciosos: nossos dados e nossos rendimentos. Não podemos ficar inseguros atualmente sabendo que a qualquer momento um ataque hacker poderá afundar uma organização, que juntamente com ela, afundará todos os clientes.

É inacreditável que os criminosos conseguem criar mecanismos tão facilmente e as organizações não conseguem se opor aos ocorridos. Há algumas semanas atrás, um novo ataque hacker chegou aos Estados Unidos, mais conhecido como “Jackpotting”, que faz com que o caixa eletrônico fique apto a expelir o dinheiro ali existente.

Estamos diante da era do crime virtual. Novos modelos de crimes, muitas organizações despreparadas, e, infelizmente, uma legislação que ainda peca ao não penalizar de forma concreta alguns delitos.

A criação de um procedimento de segurança cibernética de forma obrigatória pela circular, de certa forma, deveria ser uma iniciativa facultativa de todas as instituições de pagamento, inclusive, de todas as empresas que de certa forma trabalham com dados, e ainda, aqueles que são sensíveis.

Por outro lado, se torna necessário tanto para as que já estão firmadas no mercado, bem como para as que estão surgindo, já que estamos no ápice as Fintechs.