Todos os setores enfrentam riscos variados de ataques cibernéticos e precisam aprimorar o foco na mitigação de vulnerabilidades. Com essa verdade pacificada, as ameaças cibernéticas aos serviços financeiros podem ser elencadas como as mais prejudiciais para todas as partes envolvidas. Sem uma ação dedicada, o sistema financeiro global só se tornará mais e mais vulnerável, com o setor enfrentando riscos eminentes de ameaças cibernéticas.
Com um fator de risco cibernético crescente relacionado aos provedores de serviços financeiros, os líderes do setor precisam adotar uma postura proativa em relação às ameaças cibernéticas que enfrentam, juntamente com o envolvimento de suas equipes, a fim de tomar as medidas corretas para mitigação. Neste artigo, exploramos os 8 pontos mais críticos para a segurança da informação no mercado financeiro:
O fator humano
Estatisticamente, o erro humano é o elo mais fraco da segurança cibernética, com cerca de 95% das violações de segurança cibernética causadas por erro humano.
O custo do erro humano na segurança cibernética, no setor de serviços financeiros, pode ser extremamente prejudicial, com muitas violações facilmente evitáveis. Mesmo o menor dos erros humanos, relacionado a segurança, pode levar a consequências devastadoras quando se fala em um vazamento ou ataque, com danos significativos à reputação e perdas financeiras.
É claro que construir uma cultura cibernética é a maneira mais eficaz de eliminar o erro humano. As repercussões dos ataques cibernéticos a serviços financeiros podem ser exponencialmente caras para se corrigir. Por esse motivo, treinar e equipar a força de trabalho e criar uma equipe focada na resiliência cibernética nunca foi tão crucial.
Fornecedores Terceirizados
As fintechs são alvos lucrativos para criminosos cibernéticos, tornando-as “presas favoritas” quando o assunto é roubo de dados e desvio de dinheiro dos clientes. Além disso, o setor de fintechs depende muito de fornecedores terceirizados, o que também os torna um alvo atraente e estratégico para ataques.
81% do setor financeiro terceiriza seus serviços de tecnologia financeira por meio de fintechs, o que também resulta em altos custos de vazamento de dados para as instituições financeiras. Além disso, 71% dos bancos expressaram preocupação com os riscos de segurança cibernética enfrentados por fintechs parceiras de negócio.
Problemas de Autenticação
Outro excelente exemplo de ameaça cibernética é a falta de autenticação de dois fatores (2FA), sendo as contas financeiras classificadas em primeiro lugar dentre as contas mais importantes para se proteger via 2FA.
Embora seja amplamente utilizado no setor, muitos bancos e empresas financeiras ainda relutam em implementar o 2FA devido ao fardo e à inconveniência que ele traz aos clientes. Outras razões incluem a falta de recursos de financiamentos, planejamento, desenvolvimento e teste, tornando a implementação do 2FA mais difícil (e às vezes até relegada à uma “implementação acessória”) para uma parcela das empresas financeiras. Em contrapartida, apenas 26% das empresas financeiras usam autenticação multifator.
Falta de Profissionais de Segurança
Sendo o alvo principal do crime cibernético, as empresas de serviços financeiros devem aprender e se adaptar continuamente a novos tipos de ameaças. Com isso dito, atualmente estamos enfrentando uma grande escassez de profissionais de segurança cibernética no mercado, tornando os bancos, empresas de investimento e cooperativas de crédito um alvo cada vez mais atraente ao crime.
Ao explorar a natureza e a extensão da lacuna de habilidades de segurança cibernética, é revelado que:
- 51% de todas as empresas do setor privado identificam uma lacuna fundamental nas habilidades técnicas de segurança cibernética;
- 49% de todas as empresas do setor cibernético enfrentaram problemas com lacunas nas habilidades técnicas de segurança cibernética nos últimos 12 meses, seja entre funcionários existentes ou candidatos a emprego;
- Mais de um terço (33%) das empresas têm uma lacuna de habilidades técnicas mais avançadas em áreas como testes de penetração, análise forense, arquitetura ou engenharia de segurança, inteligência de ameaças, análise de código malicioso e monitoramento de usuários.
Além disso, as ameaças cibernéticas estão em constante evolução, com os criminosos cibernéticos desenvolvendo um mercado cada vez mais sofisticado de ferramentas e serviços para atingir o setor financeiro.
Phishing
Nos últimos anos, houve um aumento significativo nos ataques de phishing. Não é de se surpreender que isso só tenha aumentado com o número crescente de trabalhadores remotos ao redor do mundo.
Mais comumente, os phishers visam instituições financeiras usando engenharia social, como se passar por uma organização legítima para induzir funcionários e clientes a compartilhar dados confidenciais.
Embora o setor tenha continuado a adotar tecnologias transformadoras, isso também expôs o setor financeiro a um fluxo constante de golpes de phishing para comprometer a segurança dos dados dos serviços financeiros.
Cerca de metade dos ataques cibernéticos no Brasil envolvem o phishing (um terço nos EUA), com tentativas de phishing encontradas em um em cada 3.722 e-mails . Além disso, até 42% dos funcionários não conseguem identificar e-mails de phishing.
Ataques DDoS
Os ataques DDoS (Distributed Denial of Service ou negação de serviço distribuído) são projetados para exceder a capacidade de um site de lidar com várias solicitações, impedindo que o site funcione como deveria.
Como é de se imaginar, nenhum outro setor sofre tantos ataques DDoS quanto o setor de serviços financeiros, com 50% das organizações sendo alvo de ataques DDoS.
Uma vítima notável de um ataque DDoS é um banco europeu global que foi recentemente alvo de um ataque multi-vendor, com três rajadas significativas de tráfego atingindo mais de 200 gigabytes de volume no total. Como resultado do ataque DDoS, os usuários do site tiveram uma resposta muito mais lenta às solicitações, com algumas solicitações totalmente ignoradas.
Sete dos maiores bancos do Reino Unido também foram vítimas de ataques DDoS recentemente, incluindo Santander, Tesco Bank, RBS, Lloyds, HSBC, Clydesdale and Yorkshire Banking Group e Barclays.
Inteligência Artificial
Como acontece com qualquer tecnologia, o uso de IA em serviços financeiros pode representar riscos para consumidores, empresas, sistema financeiro e economia em geral.
Em alguns casos, o uso de inteligência artificial (IA) ajudou criminosos cibernéticos que tentam atacar empresas e instituições de serviços financeiros por meio da identificação de novas vulnerabilidades em redes, dispositivos e aplicativos.
Estudos mostram que 88% dos tomadores de decisão no setor de segurança acreditam que ofensivas contra IA são inevitáveis. Ao mesmo tempo, mais da metade dos entrevistados espera um aumento nos ataques.
Para o setor financeiro, isso levou os criminosos cibernéticos a aumentar a complexidade e a gravidade dos ataques. Embora seja desnecessário dizer, o gerenciamento e o armazenamento de dados seguros em serviços financeiros nunca foram tão críticos. Felizmente, as instituições financeiras também podem usar a IA para combater esses mesmos crimes cibernéticos.
Ameaças Persistentes Avançadas (APT)
Advanced Persistent Threats ou Ameaças Persistentes Avançadas (APTs) é um termo usado para descrever uma campanha de ataque contínuo, usando técnicas de hacking para obter acesso a um sistema e permanecer dentro dele por um período prolongado de tempo. Esse acesso não autorizado geralmente não é detectado.
Estima-se que 95% das ameaças direcionadas e APTs usem spear phishing como ponto de partida do ataque. Devido à natureza sensível dos dados das empresas financeiras e ao objetivo de ganho financeiro, o setor é mais vulnerável às APTs.
Como a EximiaCo pode ajudar ?
As divisões de Consultoria, Assessoria e Capacitação da EximiaCo fornecem know-how especializado em segurança cibernética, arquitetura e inteligência artificial. Chame a gente para uma conversa e conheça mais sobre o leque de expertise que nossos profissionais podem agregar ao seu negócio, tornando sua plataforma muito mais segura e eficiente.