As instituições financeiras estão sendo pressionadas a reforçar a segurança, pois tendências como a maior adoção dos bancos on-line aumentam o risco de ataques virtuais sobre a infraestrutura de TI dos bancos. Os clientes assumem um papel cada vez mais importante ao ressaltar incidentes de segurança: um quarto (24%) das instituições financeiras informa que algumas das ameaças que enfrentaram em 2016 foram identificadas e relatadas por clientes.
De acordo com a Pesquisa de Riscos à Segurança de Instituições Financeiras realizada pela Kaspersky Lab e a B2B International, o investimento em segurança é prioridade para os bancos e instituições financeiras. Ao sofrer ataques em sua própria infraestrutura e na de clientes, os bancos de varejo gastam três vezes mais em segurança de TI que instituições de outras áreas com porte semelhante. Além disso, 64% dos bancos admitem que investirão para melhorar sua segurança de TI, independente do retorno do investimento de modo a atender às demandas crescentes das agências regulatórias do governo, da alta direção e até mesmo de seus clientes.
Embora os bancos se empenhem e invistam na proteção de seus perímetros contra ameaças virtuais conhecidas e desconhecidas, é difícil proteger toda a amplitude da infraestrutura de TI existente, da tradicional à especializada, caixas eletrônicos e terminais de ponto de venda. O vasto e sempre dinâmico cenário de ameaças, associado ao desafio de melhorar os hábitos de segurança dos clientes, proporciona aos fraudadores ainda mais pontos de vulnerabilidade para explorar.
Riscos emergentes: ataques de engenharia social sobre contas bancárias
Os riscos emergentes relacionados aos bancos on-line são destacados no relatório como uma tendência capaz de expor os bancos a novas ameaças virtuais. 42% dos bancos preveem que uma maioria esmagadora de seus clientes usará os bancos on-line em até três anos, mas admitem que os usuários são muito negligentes em seu comportamento na Internet. A maior parte dos bancos pesquisados (46%) reconheceu que seus clientes sofrem ataques de phishing com frequência, sendo que 70% dos bancos também registraram incidentes de fraude financeira resultantes, causando prejuízos financeiros.
O aumento dos ataques de phishing e engenharia social sobre os clientes levaram os bancos a reavaliar suas iniciativas de segurança nessa área. 61% dos participantes da pesquisa consideram o aprimoramento da segurança de aplicativos e sites usados por seus clientes como uma de suas maiores prioridades de segurança, seguida de perto pela implementação da autenticação e verificação mais complexa de dados de login (uma prioridade principal para 52%).
Embora estejam vulneráveis às ferramentas e truques de phishing que visam seus clientes, os bancos estão ainda mais preocupados com outro ‘velho inimigo’: os ataques direcionados. E têm bons motivos isso; os métodos de ataque direcionado estão se tornando mais corriqueiros, e as plataformas de malware como serviço são até usadas para prejudicar organizações financeiras.
Ataques direcionados: ameaças persistentes
Pela experiência com incidentes reais, sabemos que, na maioria dos casos, o investimento em segurança no setor financeiro vale muito a pena; as instituições financeiras apresentam um número significativamente menor de eventos de segurança que empresas do mesmo porte de outros setores, com exceção apenas dos ataques direcionados e do malware. A detecção de atividade anormal possivelmente maliciosa, associando ferramentas legítimas com malware sem arquivos, requer uma combinação de soluções avançadas contra ataques direcionados e uma inteligência de segurança abrangente. Porém, 59% das empresas financeiras ainda não adotam uma inteligência de ameaças de terceiros.
Tipos de eventos gerais de segurança ocorridos: O malware e os ataques direcionados são os únicos incidentes que afetam as organizações bancárias mais que suas equivalentes de outros setores.
O compartilhamento da inteligência de ameaças ajudaria os bancos a identificar rapidamente ameaças novas e emergentes, uma questão importante a ser observada, considerando o baixo nível de preocupação que os bancos têm com alguns de seus dispositivos mais vulneráveis, como os caixas eletrônicos. Nesse aspecto, ao compartilhar mais informações de terceiros, os bancos poderiam se preparar melhor para as ameaças que, de outra forma, não teriam como esperar.
Proteção de caixas eletrônicos: pouca preocupação, grande vulnerabilidade
Os bancos se preocupam relativamente pouco com o risco de prejuízos financeiros decorrentes de ataques a caixas eletrônicos, embora eles sejam altamente vulneráveis a ataques dessa natureza. Apenas 19% dos bancos se preocupam com os ataques em caixas eletrônicos e máquinas de saque, apesar da taxa crescente de malware voltado a essa parte da infraestrutura bancária (na análise de ameaças de 2016, relatamos um crescimento de 20% dos malwares em caixas eletrônicos em relação a 2015).
Veniamin Levtsov, vice-presidente de negócios corporativos da Kaspersky Lab, observa: “O combate às ameaças em constante mudança que visam sua própria infraestrutura de TI e as contas de clientes é um desafio diário para as instituições financeiras. Para ter uma resposta efetiva em vigor, que proteja todos os pontos de vulnerabilidade, o setor de serviços financeiros precisa de vários componentes fundamentais: criar uma proteção contra ataques direcionados altamente integrada, adotar a segurança antifraude multicanal e obter inteligência prática referente a ameaças em evolução”.