Como o básico bem-feito pode evitar novos incidentes similares à C&M?

Meses após os incidentes cibernéticos que afetaram as provedoras de tecnologia C&M Software e Sinqia, e geraram os maiores prejuízos por crimes cibernéticos da história do país, cumpre ao sistema financeiro indagar a si: como evitar que situações similares se repitam? Apenas ampliar as arquiteturas de Segurança não é suficiente, mas é necessário olhar para gestão de pessoas, controle de atividades financeiras e restrição de contas fraudulentas.

Essa visão foi trazida ao palco do 15º Congresso Internacional de Gestão de Riscos da Febraban pelo Sócio da Deloitte, Allan Leitão, ao fazer uma análise abrangente de todos os passos que levaram ao desvio de mais de R$ 813 milhões de reais de contas reservas do Pix mantidas no Banco Central. Segundo ele, a maior causa desse incidente não foram falhas de Cibersegurança, mas uma sucessão de falhas evitáveis com o básico bem-feito.

“As grandes fraudes estão sempre atreladas a um encadeamento de fatores que falharam. Nesse caso, não foram os controles de tecnologia que deixaram esse grave vazamento, mas as inconsistências de processo, carência de tesouraria adequada, falta de gestão de pessoas, baixos controles de entradas e saídas de ativos. São todas questões básicas e cotidianas do sistema financeiro”, alerta Leitão.

Durante a palestra, o executivo da Deloitte reforçou alguns tópicos determinantes nos desdobramentos do caso da C&M, sendo o primeiro deles o desafio de gerenciamento de pessoas. Para Leitão, uma mistura de falta de monitoramento sobre os usuários terceiros e uma credencial demasiadamente privilegiada abriram espaço para o recrutamento do Insider pelos cibercriminosos.

O segundo aspecto envolvia justamente os controles de acesso ao ambiente e a estrutura de segregação de cada espaço: “Por mais básico que seja, essas são demandas cruciais dentro do ambiente digital: Quais credenciais tem acesso? Elas são terceirizadas? De onde elas podem acessar? Seu comportamento está sendo monitorado em tempo real? Não ter essas visões bem alinhadas gerará brechas que a tecnologia pode não conseguir gerenciar”, alerta.

Finalmente, há também necessidade de desenvolver critérios mais robustos de controles de movimentação financeira. Esse desafio vai além apenas dos controles de Cyber, exigindo que o mercado financeiro se posicione sobre o controle de pulverização de valores fraudulentos, o controle de contas laranjas e monitoramento constante sobre entradas e saídas de recursos em contas reservas do Banco Central, uma tarefa feita em alinhamento com os terceiros de TI.

“Evidentemente se viu essa ocorrência como um ataque hacker, dado como o tema avançou. Porém, parte importante dos controles necessários para coibir situações similares miram os processos dos bancos. Por isso, não podemos depender apenas de uma visão individualizada na coerção desse risco, mas sim contar com a multidisciplinaridade de cada um desses tópicos”, conclui o executivo.