As empresas que fazem parte do setor de serviços financeiros não estão imunes ao fato de que são frequentemente alvo de várias formas de crime financeiro e fraude. No entanto, o cenário mudou com o tempo e os cibercriminosos adaptaram suas táticas para se adequar ainda mais ao mundo digital. Os cibercriminosos agora usam diferentes formas de fraude e extorsão, bem como estão enfocando suas atividades às empresas com o intuito de obter algum ganho financeiro.
É possível tomar dimensão da gravidade que o crime cibernético representa para as empresas pode se tivermos em conta o custo de um vazamento de dados nesse setor. De acordo com dados da última edição do relatório anual da IBM intitulado Cost of a Data Breach Report, o custo médio de um vazamento de dados no setor de serviços financeiros foi de US$ 5,85 milhões em 2020, um valor superior a US$ 3,86 milhões informado pelos entrevistados do restante dos setores econômicos.
Além disso, o setor financeiro continua sendo um alvo atrativo para os cibercriminosos, especialmente considerando a quantidade e o tipo de informações que as empresas de serviços financeiros coletam de seus clientes. No caso de um vazamento de dados, as informações podem ser usadas por cibercriminosos para cometer fraude por meio de roubo de identidade ou para serem negociadas em mercados na dark web, o que pode causar grandes prejuízos à reputação da empresa que foi comprometida e também prejuízos financeiros e de reputação a clientes afetados.
De acordo com a edição 2020 do Data Breach Investigation Report produzido pela Verizon, estima-se que 63% dos ataques contra instituições financeiras são realizados por atores externos motivados por ganhos financeiros. Nesses casos, as organizações podem esperar que os cibercriminosos realizem ataques de credential stuffing, ataques de engenharia social, fraude, negação de serviço distribuído (DDoS) e ataques de malware.
A pandemia de Covid-19 intensificou os riscos, especialmente porque muitas empresas foram forçadas ao passar do trabalho presencial para o teletrabalho, um movimento que apresenta sua própria combinação de desafios. Já que essa mudança ocorreu de forma tão repentina, muitas empresas provavelmente não tiveram tempo suficiente para instituir políticas de segurança cibernética que possam resolver os prováveis pontos fracos que os funcionários terão ao trabalhar repentinamente em casa.
Há uma necessidade clara das organizações melhorarem suas medidas de segurança para reduzir as chances de serem vítimas de ataques direcionados a elas. Na verdade, uma pesquisa recente da ESET com 10.000 consumidores e líderes de negócios em várias partes do mundo revelou que 45% das empresas tiveram que lidar com uma brecha de segurança.
O aspecto humano na segurança
Os funcionários são a base das organizações, sem dúvidas. No entanto, como diz o velho ditado, "errar é humano". O relatório da IBM descobriu que o fator humano é uma das três principais causas de vazamentos de dados, sendo um fator determinante em 23% das brechas de segurança.
Os erros cometidos por funcionários podem assumir várias formas: por exemplo, eles podem ser vítimas de phishing ou de ataques de engenharia social mais direcionados, ou podem configurar um sistema incorretamente. Os dois primeiros erros são particularmente ameaçadores quando consideramos a mudança para o trabalho remoto impulsionada pela pandemia. Como as empresas não estavam preparadas para a transição rápida e inesperada, em vez de serem capazes de implementar um plano bem elaborado, muitas foram forçadas a agir de maneira precipitada, fazendo com que os trabalhadores remotos recém-contratados não recebessem nenhum treinamento adicional em segurança cibernética.
Os cibercriminosos podem usar um dos crimes on-line que mais prejudicam financeiramente: o golpe do Business Email Compromise (BEC). Nesse tipo de ataque, o cibercriminoso tem como alvo sua vítima comunicando-se a partir de uma conta de e-mail comprometida pertencente a um membro da empresa (geralmente de hierarquia superior) ou a um membro de uma empresa com a qual tenha uma aliança comercial, pedindo-lhes que realizem um tarefa legítima, como comprar e enviar itens ou transferir pagamentos. No entanto, em vez de fornecer detalhes de um endereço ou conta bancária legítima, o golpista adiciona o seu próprio, roubando o dinheiro da empresa. Como alternativa, as organizações visadas podem receber um e-mail falso contendo um link ou anexo que esconde um malware que, se baixado, infectará o computador e poderá até se espalhar pela rede.
Para reduzir as chances de ocorrência de qualquer um desses cenários, as empresas devem proporcionar treinamento adequado em segurança cibernética a seus funcionários. Os programas de treinamento para ensinar os funcionários a detectar e-mails de phishing ou outros ataques que usam engenharia social devem ser executados rotineiramente. Além disso, uma boa medida seria fornecer periodicamente aos funcionários dicas para um trabalho remoto seguro e protegido, bem como orientação sobre como se comunicar usando ferramentas de videoconferência com a segurança em mente ou como proteger o acesso remoto aos sistemas da empresa de forma segura.
Ao tomar as medidas necessárias, a empresa será capaz de se proteger de futuros prejuízos financeiros ou de reputação. Um benefício adicional é que essas práticas de segurança cibernética também serão úteis após a pandemia, pois nem todas as empresas estão com pressa para voltar a trabalhar no escritório.
O fator técnico
Embora conscientizar os funcionários seja um aspecto importante na condução das práticas de segurança cibernética, é apenas uma peça de um grande quebra-cabeça. A maior parte da defesa contra ameaças cibernéticas deve recair sobre as soluções técnicas implementadas em toda a infraestrutura de negócios. Embora alguns possam questionar a necessidade de investir grandes valores, é sempre preferível esperar o melhor, mas planejar o pior. De acordo com a pesquisa da ESET, 28% das empresas não estão investindo em novas tecnologias para ajudar a proteger as finanças ou pelo menos não sabem se estão.
Cada empresa, não importa seu tamanho, deve ter um plano de continuidade de negócios no caso de um ataque cibernético. Um plano adequado deve sempre incluir backups de dados e, se o orçamento permitir, um backup de toda a infraestrutura. Esses backups podem ser úteis, especialmente se ocorrer um ataque de ransomware. No entanto, para que os backups sejam eficazes, eles devem ser atualizados regularmente e avaliados com frequência para garantir que estejam funcionando corretamente.
Veja mais: Confira 3 tipos de backup e saiba quais são os erros mais comuns na hora de utilizá‑los
Todos os sistemas operacionais e software devem ser atualizados e corrigidos periodicamente. Se você contratar um profissional ou tiver um departamento dedicado à segurança da informação, ele provavelmente gerenciará essas atualizações por conta própria ou configurará seus sistemas para atualizar automaticamente para a versão mais recente disponível. O mesmo deve ser feito se seus sistemas forem gerenciados por terceiros. A importância dessa etapa não deve ser subestimada, principalmente se nos lembrarmos do que aconteceu em 2017, no caso do ransomware WannaCry, que se propagou por computadores desatualizados.
Os ataques DDoS que visam interromper a capacidade das vítimas de fornecer serviços são outra ameaça que as empresas podem enfrentar. Se uma empresa for vítima de um ataque DDoS, seus sistemas serão inundados com solicitações que sobrecarregam a capacidade de responder a sites e os colocam off-line. Isso pode se traduzir facilmente em centenas de milhares de dólares em perda de receita para a empresa visada pelos cibercriminosos. Para reduzir as chances de isso acontecer, as empresas devem adquirir serviços de mitigação de DDoS, bem como usar um provedor de Internet que tenha banda larga, equipamentos e habilidades suficientes para lidar com esses ataques e reduzir o influxo de tráfego malicioso.
Resumindo
Enquanto as empresas de serviços financeiros continuarem sendo alvos lucrativos para a maioria dos cibercriminosos, elas devem continuar trabalhando para melhorar suas defesas com o intuito de reduzir a possibilidade de serem vítimas da maioria das ameaças. No entanto, para construir mecanismos de defesa fortes o suficiente, as empresas precisam ter uma abordagem holística e equilibrada, que consiste em investir no treinamento de funcionários e em soluções de tecnologia e planos de continuidade de negócios adequados.