Um dos principais temas que aflige a sociedade atualmente é a questão dos riscos cibernéticos. Com os bancos e instituições financeiras, não é diferente. Por isso, no segundo dia do Febraban Tech 2023, o debate sobre o assunto tomou conta dos painéis e palestras.
Na mesa redonda “As inovações tecnológicas e a ciber-resiliência a serviço da sociedade”, foram convidados Adriano Volpini (Itaú Unibanco), Eva Pereira (WOMCY), Julio Gomes (Microsoft), Richard Silva (Santander) e Valdemar Latance (Polícia Federal), com mediação de Carolina Sansão (Febraban).
Volpini, diretor de segurança corporativa do Itaú e da comissão executiva de prevenção a fraudes da Febraban, abriu o painel, falando sobre o risco em si: “Tudo que fazemos implica em riscos. Nossas decisões, escolhas, tecnologias que usamos, serviços que consumimos têm riscos presentes no dia a dia.”
Já Richard Silva, CISO do Santander, destacou o cenário desafiador, mas ressaltou que os bancos não estão parados. “Não poupamos esforços e tecnologias e realizamos investimentos contínuos com objetivo de melhorar a segurança do cliente. O ecossistema financeiro lida com a atribuição de confiança: em quem o cliente irá depositar suas reservas e finanças. Não se negocia confiança. A experiência e o encantamento do cliente seriam deteriorados se não houvesse confiança”, declarou.
Leia também: Crise de identidade e IA: como bancos podem escalar a operação neste cenário?
Cultura de segurança contra os riscos cibernéticos
Segundo a pesquisa da Febraban com a Deloitte, do total de R$ 35,1 bilhões investidos em TI em 2022, cerca de 10% foi destinado à cibersegurança.
Mas, para Eva Pereira, diretora de cultura e conscientização em segurança na Ibliss Digital Security, é preciso ir além. “As empresas estão investindo muito em tecnologia. Mas temos um agravante que é o trabalho da cultura. Falta maturidade no mercado como um todo. É necessário explorar melhor a tecnologia e fazer com que toda essa tecnologia traga segurança”, comentou.
Ao mesmo tempo, Julio Gomes, vice-presidente para serviços financeiros da Microsoft, concordou que as soluções técnicas precisam atuar com maior inteligência na segurança e trouxe um comparativo da evolução dos serviços. “A cibersegurança virou um negócio. Lá atrás, só pensávamos em prevenção. Mas aprendemos que precisamos mudar o viés. Continuamos com ferramentas e tecnologia de prevenção, mas, se tiver um ataque, temos que minimizar o impacto e se recuperar do ataque”, analisou.
Ciber-resiliência e os riscos cibernéticos
Valdemar Latance Neto, delegado da Polícia Federal, abordou a questão dos crimes cibernéticos e a necessidade de resiliência: “Existe a necessidade de reconhecer o risco e a ciber-resiliência exige consciência. Hoje o Ministério da Justiça tem como prioridade o combate ao crime cibernético e criou uma diretoria de crime cibernético na PF com foco em 3 áreas: abuso sexual infantil, crimes de alta tecnologia e fraudes bancárias eletrônicas.”
Para melhorar a segurança, Latance destacou o conhecimento à população como forma de mitigar riscos cibernéticos e evitar os danos enormes dos crimes. “A maturidade da população precisa evoluir muito. A maioria da população ainda ignora o risco do crime cibernético. As pessoas passaram a usar serviços digitais sem ter o conhecimento necessário. Isso se tornou um campo fertil para fraudes e os criminosos perceberam isso. Mas as pessoas minimizam a gravidade do crime cibernético”, explicou.
Desafio das tecnologias e o deepfake
“Os desafios são muitos e estão aumentando por causa do constante avanço da tecnologia, popularização de criptomoedas e uso de ferramentas de IA. O fato é que a IA já está sendo usada por meio de deepfake para acesso a aplicações bancárias”, complementou o delegado.
Cuidado com fornecedores
Eva Pereira salientou também a importância de ter atenção com os fornecedores nos serviços financeiros. “Existem quatro formas de trabalhar a resiliência cibernética. Uma é a cultura, treinando e sensibilizando as pessoas com a tecnologia. O fator humano é um elo importante e a cultura precisa ser vinculada à estratégia do negócio. O segundo ponto são os testes recorrentes, identificando as medidas para conter um ataque. O terceiro é a análise dos fornecedores, porque as empresas se preocupam com ambientes internos, mas esquecem a segurança dos fornecedores. Não adianta só olhar para o ambiente interno. É preciso fazer a avaliação de segurança dos fornecedores, pois muitos crimes acontecem por meio deles. Por fim, é importante levar a mensagem de conscientização ao público final”, discursou.
“Segurança precisa estar presente nas tomadas de decisões”
Adriano Volpini, do Itaú, destacou também que os hackers miram não só grandes empresas e sim qualquer organização. Além disso, o executivo analisou a relevância hoje em dia da segurança dentro do banco. “A segurança precisa estar presente nas tomadas de decisões. Inovação é um processo em tudo na vida e inovação considerando segurança é importante para o desenvolvimento conjunto e para o cliente”, afirmou.
Para completar, Julio Gomes, da Microsoft, corroborou o discurso e falou que os riscos cibernéticos devem ser considerados como parte da estratégia. “Risco cibernético precisa de estratégia, precisa de visibilidade. A estratégia de segurança deve olhar onde estão os pontos vulneráveis, como quero tratar isso, quais riscos quero aceitar. A estratégia de segurança tem que ter pessoas, processos e tecnologias”, avaliou.
Gomes ainda lembrou as novas tecnologias e serviços bancários: “Os bancos que fazem bem essa análise têm uma matriz de riscos definida. Mas também temos riscos novos chegando. O real digital está vindo e estamos avaliando os riscos.”
Riscos cibernéticos, compliance e legislação
O tema de riscos cibernéticos se prolongou no painel “Privacidade, compliance e a relações de confiança e segurança cibernética”. Neste ponto, Alessandra Martins, vice-presidente do IBRASPD (Instituto Brasileiro de Segurança, Proteção e Privacidade de Dados, comentou que a própria legislação é um risco.
“A legislação é um risco também. Afinal, vou parar a empresa para adequar? Como adequar com o negócio andando? A regulação ajuda, mas também pode atrapalhar”, declarou.
Para Maria Teresa Tolu Brasil, gerente-executiva de segurança cibernética do Bradesco, a regulação brasileira ajuda a ter um patamar mínimo dentro do ecossistema financeiro de segurança, proteção de dados e ciber-resiliência e fez uma análise sobre o emprego da segurança: “Segurança é a disciplina que se aplica a todos os vieses, por exemplo, na inovação, em como cuidar da jornada do parceiro e fornecedor, como garantir integridade e confidencialidade. Posso vender segurança como diferencial para o meu cliente.”
Já Ricardo Nilsen, superintendente de segurança cibernética do Banco Safra, colocou um alerta sobre o cumprimento de normas e garantia de compliance dentro das instituições. “Temos que tomar cuidado para que um relatório de compliance ou certificação não passe a sensação de que você está totalmente seguro. Muitas vezes, vamos justificar um investimento em segurança e ouvimos que não precisa, porque o Banco Central disse que está tudo ok. Mas precisamos pensar que muitas regulações não se aplicam hoje mais ao ambiente multicloud e com inteligência artificial. É um ambiente complicado”, ponderou.
Nilsen opinou ainda que a área de segurança deve se adaptar a mecanismos de automação. “Precisamos dar respostas automatizadas para conter o mais rapido uma possível ameaça. Existe sim um risco de ser falso positivo, mas o risco de ser um ataque é muito maior”, declarou.
Venda de dados
Em relação a novos riscos cibernéticos, Maria Teresa fez outro alerta sobre o cibercrime que, antes vendia dados na deep web, mas agora está saindo do lado obscuro da internet e tornando esse tipo de situação cada vez mais comum. “Existe a venda de golpes, dados, contas laranjas, inclusive com oferta de emprego”, declarou.
De olho neste cenário, a executiva do Bradesco destacou o risco de aceitar credenciais roubadas no próprio banco: “Além de toda a gama de ataques, a maioria dos cibercrimes vêm com credenciais roubadas ou credenciais que o próprio cliente ofereceu. Tem que entender quem é o cliente, será que o cliente é ele mesmo da credencial. O atacante na realidade está usando credenciais válidas, mas que não são válidas, Então, precisamos de várias camadas de proteção, como segurança de equipamento, segurança em nuvem, duplo fator de autenticação e outras. Tudo isso tem que ser traduzido para o cliente que estamos pensando nele. É o clientecentrismo.”
Voltando ao tema do deepfake, a especialista do IBRASPD comentou sobre esses riscos cibernéticos atuais: “O desafio da fraude é deepfake, com uso da inteligência artificial. Os golpes vão ficar mais sofisticados. Precisamos melhorar e muito a jornada de detecção de fraude e de prevenção de fraude. A tecnologia evoluiu muito, mas também possibilitou o crime do outro lado. O deepfake está avançando para quebrar a segurança de biometria e sucessivamente.”
Saiba mais sobre o evento:
IA, experiência do usuário e hiperpersonalização: confira o que rolou no 1º dia de Febraban Tech
Tokenização no setor financeiro: eficiência e inclusão são pilares da transformação
Tecnologia e sustentabilidade abrem Febraban Tech 2023; segurança e Open Finance são destaques
Febraban Tech 2023: é fundamental aproximar tecnologia e negócios, segundo CIOs
______________________________________________________________________________________________________________________
Continue acompanhando o blog da idwall para mais detalhes sobre o Febraban Tech 2023 com nossa cobertura completa!