Este artigo foi publicado originalmente em inglês no blog do FMI (Fundo Monetário Internacional)
Por Tobias Adrian e Caio Ferreira
Os criminosos cibernéticos continuam a ter como alvo o setor financeiro. O que acontecerá quando um ataque derrubar um banco ou outra plataforma crítica, bloqueando o acesso dos usuários às suas contas?
As estreitas interconexões financeiras e tecnológicas dentro do setor financeiro podem facilitar a rápida disseminação de ataques por todo o sistema, podendo causar interrupções generalizadas e perda de confiança. A segurança cibernética é uma clara ameaça à estabilidade financeira.
Entre mercados emergentes e economias em desenvolvimento, a maioria dos supervisores financeiros não introduziu regulamentos de segurança cibernética ou criou recursos para aplicá-los, de acordo com uma pesquisa recente do FMI (Fundo Monetários Internacional) em 51 países.
Também encontramos:
- 56% dos bancos centrais ou autoridades de supervisão não possuem uma estratégia cibernética nacional para o setor financeiro.
- 42% carecem de uma regulamentação dedicada de segurança cibernética ou gerenciamento de riscos tecnológicos e 68% carecem de uma unidade de risco especializada como parte de seu departamento de supervisão.
- 64% não exigem testes e medidas de segurança cibernética ou fornecem orientações adicionais.
- 54% carecem de um regime dedicado de relatórios de incidentes cibernéticos.
- 48% não têm regulamentos de crimes cibernéticos.
Enquanto isso, uma avaliação do Bank for International Settlements junto a 29 jurisdições identificou deficiências na supervisão das infraestruturas dos mercados financeiros.
Existem, no entanto, defesas contra esses riscos, incluindo preparação e ação regulatória coordenada, conforme discutimos em nosso recente workshop global de segurança cibernética em Washington. Não será fácil, porém, e respostas abrangentes e coletivas são urgentemente necessárias.
Proliferação de ameaças
Assim como os rápidos avanços tecnológicos oferecem aos invasores ferramentas mais baratas e fáceis de usar, as mudanças também dão às instituições financeiras maior capacidade de impedi-los.
Mesmo assim, maiores vulnerabilidades são esperadas em um mundo cada vez mais digitalizado. Os alvos proliferam à medida que mais sistemas e dispositivos são conectados. Fintechs que dependem fortemente de novas tecnologias digitais podem tornar o setor financeiro mais eficiente e inclusivo, mas também mais vulnerável a riscos cibernéticos.
A escalada das tensões geopolíticas também intensificou os ataques cibernéticos. Os perpetradores e suas motivações geralmente são obscuros, e os riscos não se limitam às regiões de conflito. A história mostra que o derramamento de malware disruptivo pode causar danos globais. Por exemplo, o ataque de malware NotPetya que primeiro inundou os sistemas de TI (tecnologia da informação) de organizações ucranianas em 2017 se espalhou rapidamente para vários outros países e causou danos estimados em mais de US$ 10 bilhões.
Por fim, a dependência de provedores de serviços comuns significa que os ataques têm maior probabilidade de ter implicações sistêmicas. A concentração de riscos para serviços comumente usados, incluindo computação em nuvem, serviços gerenciados de segurança e operadoras de rede, pode impactar setores inteiros. As perdas podem ser altas e se tornar macrocríticas.
Enquanto as empresas financeiras e reguladores estão se tornando mais conscientes e preparados para ataques, as lacunas na estrutura prudencial permanecem substanciais.
Neutralizando a ameaça
As instituições financeiras e os reguladores devem se preparar para o aumento das ameaças cibernéticas e possíveis violações bem-sucedidas, priorizando cinco coisas:
- Bancos centrais, reguladores e empresas financeiras devem desenvolver uma estratégia de segurança cibernética. O risco cibernético é uma questão multidimensional que requer segurança sólida nas autoridades; supervisão robusta por meio de regulamentação e supervisão; ação coletiva no mercado; e esforços para desenvolver capacidade e especialização.
- Os reguladores financeiros e as empresas precisam mudar seu foco do planejamento clássico de continuidade de negócios e recuperação de desastres para a prestação de serviços críticos, mesmo quando os ataques interrompem as operações normais. A resiliência requer a adesão dos principais líderes das empresas e reguladores financeiros e seus membros do conselho. As empresas precisam se preparar para incidentes graves, mas plausíveis, que podem ter um impacto sistêmico. Os supervisores devem exigir que a indústria considere esses cenários adversos e teste seus planos de contingência individual e coletivamente.
- Os supervisores financeiros precisam garantir que a regulamentação e supervisão cibernéticas possam efetivamente promover a resiliência. Não existe uma abordagem única para todos, mas muitos elementos são comuns. Uma abordagem de supervisão eficaz equilibra as atividades locais e externas, realizadas por uma mistura de especialistas em segurança e supervisores generalistas, que impõem a regulamentação de maneira proporcional.
- As empresas financeiras devem fortalecer a “higiene” cibernética, os sistemas seguros por design e as estratégias de resposta e recuperação. Embora muitos dos ataques atuais sejam cada vez mais sofisticados e dependam da engenharia social para fazer com que a vítima forneça informações confidenciais, a maioria dos ataques bem-sucedidos resulta de lapsos de rotina, como falha na implantação de atualizações de patch ou na configuração de segurança correta. Nesse contexto, práticas habituais para garantir o manuseio seguro de dados críticos e proteger as redes fazem toda a diferença.
- A comunidade internacional deve harmonizar os relatórios de incidentes cibernéticos e o compartilhamento eficaz de informações para garantir que as autoridades em todo o mundo possam gerenciar os incidentes com eficácia. O modelo de notificação de incidentes e o léxico comum que está sendo desenvolvido pelo Conselho de Estabilidade Financeira são importantes avanços.
Risco entre jurisdições
A força das defesas cibernéticas depende do elo mais fraco. Com as crescentes interconexões em todo o mundo, reduzir o risco requer um esforço internacional. Por seu lado, o FMI continua a ajudar os supervisores financeiros através de iniciativas de desenvolvimento de capacidades destinadas a conceber e implementar padrões e melhores práticas internacionais como uma prioridade urgente.
Leia mais artigos em A Referência
O post Com ameaça cibernética crescente, financeiras devem buscar urgentemente melhor proteção apareceu primeiro em A Referência.
Nenhum comentário:
Postar um comentário
Deixe aqui seu comentário, evite comentários depreciativos e ofensivos