Até há bem pouco tempo as transacções financeiras eram realizadas pessoalmente e os casos de falsa identidade, bem como as fraudes, eram pouco frequentes. Hoje, o volume das transacções electrónicas é cada vez mais significativo e a desmaterialização colocou um véu que enfraquece a idoneidade dos intervenientes em grande parte das transacções realizadas nos ambientes virtuais. Muitas delas entidades que se escondem nos meandros da internet.
Neste contexto ganham protagonismo entidades certificadoras que têm o papel de certificar aquelas que são seguras. Por exemplo, a Comissão Europeia e os Estados-membros da União Europeia utilizam a assinatura digital qualificada que tem força probatória.
Quer seja considerado o mercado único digital europeu ou o mercado global, é imprescindível verificar a idoneidade das pessoas. Garantir a identidade digital. Os utilizadores de internet portugueses (26%) são, dentro da União Europeia, aqueles que mais têm medo dos riscos de segurança ao usar serviços de banca online, sendo apenas superados pelos alemães (27%), segundo dados do Eurostat.
Esta insegurança dos utilizadores é também sentida pelas instituições, que nesta realidade virtual enfrentam os temerosos cibercriminosos, sempre dispostos a descobrir vulnerabilidades, ou a roubar os utilizadores mais incautos. A prioridade dos gestores é montar esquemas de cibersegurança que lhes dêem garantias de protecção interna e externa das suas redes.
Ataques internos com muito impacto
O relatório da Accenture, "Building Confidence: Solving Banking’s Cybersecurity Conundrum", revela que 78% dos executivos inquiridos mostraram confiança nas suas estratégias de cibersegurança, com mais de metade a realçar grandes níveis de conforto na sua capacidade de identificar as causas de uma falha de segurança, de medir o impacto de cada uma dessas quebras e de gerir o risco financeiro decorrente das situações de cibersegurança (referido por 55%, 51% e 50%, respectivamente).
Os cerca de 275 responsáveis de segurança nos sectores da banca e de mercado de capitais inquiridos identificaram alguns dos maiores desafios à segurança para os bancos.
Por exemplo, além dos muitos ataques de "phishing", "malware" e infracções diversas que recebem diariamente por todo o mundo, os especialistas referiram que, em média, os seus bancos sofreram 85 tentativas sérias de ataques de cibersegurança por ano. Destes, cerca de um terço (36%) foram bem-sucedidos, isto é, pelo menos alguma informação foi acedida através desta falha. Nestes casos, 59% dos bancos levaram vários meses a conseguir detectar os ataques ocorridos.
Adicionalmente, quase metade dos executivos inquiridos (48%) destacaram os ataques internos como sendo os de maior impacto na cibersegurança e 52% indicaram falta de confiança na capacidade das suas equipas em detectar uma falha de segurança através de monitorização interna.
Apesar de as equipas de segurança dos bancos terem detectado um número elevado de falhas de segurança nas suas organizações, praticamente todos os executivos entrevistados (99%) disseram que são os próprios colaboradores a identificar as restantes falhas, salientando assim a importância crítica de estabelecer uma forte consciencialização através de programas internos de formação e de processos de escala eficazes.
Colaboradores são ao mesmo tempo um perigo e uma defesa
De acordo com o estudo da Accenture, desenvolver e implementar o modelo correcto de "governance" para impulsionar uma abordagem holística à cibersegurança é extremamente importante no fortalecimento das capacidades de defesa externa e interna de uma organização. O desenvolvimento de capacidades efectivas deve ser orientado por uma estratégia com dois vectores: avaliações específicas de cibersegurança e testes abrangentes.
Chris Thompson, senior managing director e responsável por cybersecurity and resilience na área de serviços financeiros da Accenture Security, considera que a maioria dos programas de avaliação de cibersegurança, apesar de bem-intencionados, são "altamente teóricos e baseados em práticas de ciberataque já conhecidas".
Segundo ele, a realidade é bem diferente, uma vez que as ameaças, cada vez mais dinâmicas e de rápida transformação, estão a criar novos desafios todos os dias. "Os bancos devem concentrar-se na implementação de cenários de teste práticos focados no interior da sua organização para tornar o trabalho dos ‘hackers’ o mais difícil possível", recomenda este especialista.
O responsável da Accenture acrescenta ainda que os bancos têm tipicamente dado prioridade à construção de defesas maiores e mais seguras nos seus investimentos em cibersegurança, mas que essa opção é tomada muitas vezes em detrimento das suas capacidades internas. "Embora a defesa do perímetro seja crucial, muitas vezes são os colaboradores que apresentam o maior risco, mas podem ser também a maior arma na luta pela resiliência", alerta Thompson.
O estudo da Accenture aponta as várias áreas nas quais os executivos inquiridos prevêem uma grande escassez de capacidades de monitorização e resposta, incluindo segurança de rede, resposta a incidentes e gestão de vulnerabilidades (respectivamente referidas por 61%, 53% e 53% dos executivos).
85
tentativas de ataques de cibersegurança por ano.
36%
dos ataques foram bem-sucedidos.
59%
dos bancos levaram vários meses a identificar o ataque.