Open Banking: seus dados estarão seguros?
Em breve, o compartilhamento de dados entre instituições bancárias, autorizado pelo titular, será uma realidade usual para quem utiliza serviços financeiros. Especialista em Cibersegurança orienta sobre o que se deve fazer para proteger informações pessoais
Falta pouco para o Open Banking – sistema de compartilhamento entre clientes e bancos que dá aos usuários o poder de administrar seus próprios dados financeiros – estar definitivamente incorporado na vida dos brasileiros. Se por um lado essa inovação proporciona a melhor experiência ao cliente, por outro inspira cuidados em relação à segurança das informações.
Em 11 de outubro, a plataforma passará a funcionar 24 horas por dia, sete dias por semana, e até dezembro deste ano todas as fases do Open Banking estarão concluídas, permitindo que se faça transações com a instituição financeira de interesse do usuário como e quando ele desejar. Para utilizar o sistema, o titular dos dados precisa autorizar o compartilhamento tanto para a empresa que detém as informações quanto para a que vai recebê-las.
Embora a Lei Geral de Proteção de Dados (LGPD) e as regras do Banco Central garantam a proteção de dados pessoais, é preciso atenção para não expor indevidamente as aplicações e informações. Nesse cenário, o cuidado deve existir nas duas pontas: a instituição e o usuário.
Do ponto de vista técnico, há gargalos críticos nas interfaces e aplicativos atrelados aos serviços bancários, chamadas APIs (Interface de Programação de Aplicações). Para facilitar a usabilidade, elas podem armazenar informações que ficariam expostas em eventuais ataques. Segundo o coordenador de Red Team da Cipher, Alexandre Armellini, uma medida de rotina necessária às instituições é a averiguação e limpeza periódica das APIs, com realização de testes de nível elevado.
Ele acrescenta que as instituições precisam estar preparadas e possuírem diversas camadas de controles de segurança, como criptografia e dupla autenticação, entre outros, mas não podem esquecer que o usuário é o elo mais fraco da cadeia cibernética e alvo das estratégias de engenharia social dos cibercriminosos. Com as inovações, inevitavelmente surgem novas modalidades de fraudes que vão desde o aperfeiçoamento dos já conhecidos phishings e vishings (páginas e links maliciosos) até os temidos ransomwares, que podem levar ao sequestro e potencial perda de dados.
O especialista da Cipher também alerta que os dispositivos de entrada, sejam eles telefones, computadores ou outros equipamentos conectados, precisam ser observados com cautela, pois costumam conter dados pessoais acessíveis a aplicações com baixos níveis de segurança.
Nesse sentido, Armellini aconselha as instituições a oferecerem informação aos seus clientes. Ele explica que o trabalho de conscientização precisa ser sistemático para criar uma cultura de prevenção junto ao grande público. “Educar as pessoas é tão importante quanto análises técnicas de vulnerabilidades. Não adianta trancar as portas se o usuário tem as chaves e pode abri-la, sem querer, a cibercriminosos”.
Sobre Alexandre Armellini
Formado em Análise de Sistemas, Alexandre Armellini é coordenador do Red Team LATAM da Cipher. Atuou em empresas como Pirelli, 3M, Coca-Cola Company e IBM, onde colaborou com a área de patenteamento de produtos. Está no segmento de Segurança Cibernética desde 2005, liderando equipes em diferentes projetos ao redor do mundo, exercendo funções de Hacker Ético, CSM (Scrum-Master), CSPO (Proprietário do Produto Scrum) e Consultor de Segurança e Risco em diferentes ambientes. Autor de artigos e com participação em livros especializados, Armellini é especialista em Testes de Penetração, Testes de Segurança Física e Lógica e Análises de Risco, entre outras, acumulando prêmios e certificações ao longo de sua carreira.
Fonte: Portal R7 – via Capital Informação – Assessoria de Imprensa
Por Alexandre Armellini – Coordenador de Red Team Services
0 Comments