CEO da BugHunt detalha cenário e explica quais as medidas para evitar ataques às organizações e instituições financeiras
Se por um lado a automatização de processos financeiros deixou a relação das pessoas com o dinheiro mais simples e assertiva, essa evolução facilitou também a ação de criminosos que visam esse setor.
A medida que mais transações são realizadas online, mais oportunidades os cibercriminosos têm para explorar possíveis vulnerabilidades.
Um estudo da Comparitech ilustra bem esse cenário. Segundo a pesquisa, os ataques de ransomware ao setor financeiro global custaram US$32,3 bilhões, apenas em tempo de inatividade desde 2018.
De acordo com Caio Telles, CEO da BugHunt, primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, a preferência dos criminosos por instituições financeiras não acontece apenas pela alta concentração de dinheiro, mas também devido à vasta quantidade de dados sensíveis que possuem, como informações pessoais de clientes, dados bancários, de cartões de crédito, entre outros.
“No pilar financeiro, os cibercriminosos visam roubar fundos diretamente de contas bancárias ou por meio do uso indevido de cartões de crédito, além de ataques de ransomware para bloquear o acesso a sistemas, exigindo um resgate para a sua liberação. Já no que diz respeito a dados sensíveis, os agentes podem utilizar para uma variedade de atividades criminosas, incluindo roubo de identidade, fraudes e até espionagem corporativa”, explica Telles.
Nesse cenário, os danos são inúmeros. “Além do vazamento de dados e o prejuízo financeiro, esses ataques são capazes de prejudicar a confiança do cliente com a instituição, devido à exposição de informações pessoais, que podem ocasionar processos judiciais, com risco de multas milionárias, e também prejudicar a reputação da marca”, alerta o especialista.
Devido ao grande volume de informações sensíveis que as empresas do setor armazenam, há leis em vigor no mundo todo que visam a proteção desses dados, exigindo que as instituições tomem medidas adequadas para evitar a exposição dos usuários.
No Brasil, a Lei Geral de Proteção de Dados (LGPD) estabelece que as organizações adotem medidas de segurança adequadas para proteger os dados pessoais que coletam.
Em caso de violação, a lei prevê que a empresa deve comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e também notificar todos os titulares dos dados afetados, informando sobre o vazamento e as medidas que estão sendo tomadas para mitigar os danos.
Mais específicas para instituições financeiras, o Banco Central do Brasil (BACEN) também estabelece regras.
A norma 4.893/2021 determina que cabe às empresas em questão criar e implementar uma política de cibersegurança que preserve a confidencialidade, integridade e disponibilidade dos dados que têm acessos.
Essas medidas precisam ainda ser compatíveis com o tamanho da organização, complexidade das operações e sensibilidade dos dados envolvidos nas operações.
A solução é investir em cibersegurança
De acordo com Telles, para assegurar a cibersegurança de uma instituição financeira é necessário um equilíbrio entre medidas tecnológicas, humanas e processuais.
“O primeiro passo é investir em cibersegurança. As empresas precisam priorizar e apostar em políticas de segurança robustas e contínuas e isso inclui implementar tecnologias de detecção e prevenção de intrusões, firewalls, criptografia, entre outras. Isso não só auxilia na prevenção de ataques, como garante uma resposta mais rápida em caso de ameaça, além de assegurar que a instituição esteja em conformidade com todos os regulamentos e normas”, explica.
Nesse cenário, uma solução de cibersegurança que se destaca é o Bug Bounty, modalidade de recompensa por bugs.
A estratégia é uma importante camada de defesa para descobrir e corrigir vulnerabilidades antes que possam ser exploradas por cibercriminosos.
No Brasil, a pioneira em Bug Bounty é a BugHunt, que, por meio de programas públicos e privados, conecta mais de 18 mil especialistas que atendem às necessidades relacionadas à cibersegurança de empresas como Warren do Brasil e OLX.
Além disso, Telles reforça que o treinamento de todos os colaboradores é essencial não apenas para evitar erros, mas também para garantir que seja de acordo com práticas seguras para o ambiente.
“Ter políticas de segurança bem definidas e atualizadas, que ajudam a orientar todo o pessoal em seu papel na proteção da organização, e atualizações constantes, garantindo que o sistema esteja sempre protegido contra novos tipos de ataques, também são medidas que fazem a diferença”, reforça.
Para o CEO da BugHunt, a segurança cibernética é uma tarefa contínua e em constante evolução. “A chave para uma boa defesa é a preparação e o constante desenvolvimento frente ao cenário de ameaças crescente e em transformação. As instituições financeiras devem estar sempre um passo à frente para garantir que sejam capazes de defender-se contra cibercriminosos”, conclui o especialista.
Sobre a BugHunt
A BugHunt é a primeira plataforma brasileira de Bug Bounty, programa de recompensa por identificação de falhas, que une empresas comprometidas com a segurança da informação e privacidade de seus usuários e/ou clientes a pesquisadores do setor.
Com foco em inovação para reconhecimento e resolução de bugs e vulnerabilidades, a startup tem como objetivo democratizar o acesso à segurança de dados.
Por meio de programas públicos e privados, a BugHunt gerencia a definição de escopo e recompensa, a escolha de especialistas, a avaliação e triagem de relatórios.
Quatro tendências do cibercrime que as organizações devem estar atentas