Atualmente, a segurança cibernética é quase exclusivamente focada na defesa contra roubos, perdas, exposição de contas e na prevenção de ataques de negação de serviço, embora elas sejam prioridades importantes, elas não representam as ameaças cibernéticas mais significativas contra um banco. Vamos começar olhando a recente crise econômica. A causa principal da crise econômica de 2008 não foi o calote hipotecário, em poucas palavras, foi uma crise de
liquidez. O que é uma crise de liquidez? Os bancos operam emprestando dinheiro de depositantes e outros bancos a curto prazo, os seus credores recebem a longo prazo. Em tempos normais, isso funciona muito bem. Porém, se a confiança na habilidade particular de um banco de devolver esses fundos torna-se questionável, é quase impossível para aquele banco continuar em funcionamento. Então, a "
corrida aos bancos" começa naquela instituição. Quando toda a liquidez acaba, os depositantes retiram seus fundos e aí os bancos param de emprestar àquela empresa. Isso, por sua vez, obriga o banco a liquidar os ativos a preços de queima de estoque, o que obriga outros bancos, até aqueles que não estão em perigo, a terem que desvalorizar os seus ativos devido as regras de contabilidade conhecidas como
Marcação a Mercado. Isso obriga as empresas menores a terem de vender os ativos a esses preços de queima de estoque afim de financiarem os seus negócios no início da queda, o que causa mais liquidez a ser obtida desse sistema enquanto o ciclo continua. Bancos param de emprestar uns aos outros, depositantes param de depositar dinheiro e o ciclo acelera até você ter uma completa crise em suas mãos, isso é exatamente o que aconteceu em 2008.
O que isso tem a ver com a segurança cibernética? Até onde sei, nenhum banco nos tempos modernos foi à falência alguma vez por ter seus fundos roubados, múltiplas contas expostas ou por ataques prolongados de negação de serviço. Se um dos 100 melhores bancos perdesse 100 milhões de dólares de um roubo cibernético, esse banco pode sofrer um abalo no preço de suas ações e nos seus ganhos trimestrais mas isso é sobre a sua extensão. É provável que ele faria facilmente um hall de clientes e amorteceria as perdas em sua folha de balanço. A confiança de alguns consumidores seria prejudicada e os reguladores ficariam super orgulhosos, porém, contanto que os clientes fossem ressarcidos, seria um impacto temporário. Porém, há ameaças cibernéticas que poderiam ser fatais para qualquer instituição, independente do tamanho. Bancos estão negociando, geralmente, com profits seekers. Não é preciso muita imaginação para perceber que há mais agentes nocivos por aí afora que estão menos interessados em lucros a curto prazo e que, ao invés disso, buscam trazer danos consideráveis para a nossa sociedade. Então, como um malware poderia provocar uma crise de liquidez em uma instituição?
Duas formas diferentes: aproveitando-se das mesmas vulnerabilidades e falhas de processo. 1º) Um
Trojan que contém um
ransomware, como o
Cryptolocker, Dire,
NeverQuest ou
Zeus, há uma série de outros Trojans por aí que podem ter uma carga útil encriptografada e uma vez que ele entra em ação, passa pelas defesas do perímetro e ataca os serviços críticos e a base de dados, se eles atingirem os sistemas corretos, precisariam apenas de alguns casos bem sucedidos para ocasionar uma parada total naquela instituição. Se eles conseguirem chegar ao sistema DDA, ou seja, onde as contas-correntes são mantidas e conseguirem criptografá-la, a tentativa pode torna-se um fracasso, deixe-me explicar: Um dos 10 melhores bancos talvez tenha mais de 100 mil servidores em seus centros de dados e por eles se multiplicarem a cada dia, a atualização das correções de segurança é um pesadelo e tanto. Os bancos, a todo momento, possuem centenas senão milhares de servidores e bases de dados com vulnerabilidades descobertas. Se você realmente tivesse um time de segurança de informação a nível mundial e eles conseguissem mesmo manter 97% dos servidores atualizados a qualquer momento, eles ainda deixariam 3 mil servidores com vulnerabilidades descobertas. Aparentemente, toda semana uma outra vulnerabilidade é descoberta, essas são vulnerabilidades desconhecidas para as quais não há correções disponíveis ainda. Você pode estar dizendo para si mesmo: "
Mesmo que eles entrem e bloqueiem nossos sistemas, podemos facilmente recuperá-los fazendo backups em fitas". Uma recuperação por backup de fitas tem cerca de 50% de chance de funcionar, especialmente se você leva em conta os problemas da falta de sincronização, onde sistemas diferentes usam dados de dias diferentes. Além disso, a oportunidade de uma restauração seria perigosa, pois a cada dia que passa alguns sistemas centrais que realizam o trabalho teriam um spillover em sistemas que não podem. Se alguém já tentou fazer uma restauração parcial do sistema, sabe exatamente do que estou falando e do quão difícil é efetivamente executá-la em um teste. Experimente fazer isso em tempo real e o seu armazenamento de dados? Teoricamente, você teria todos os dados atuais. Talvez, mas mesmo que ele faça isso, eles são programados para receberem dados de transação e não produzi-los. De fato, é realmente uma via de mão única e se essa interrupção for prolongada, a recuperação torna-se ainda mais difícil a cada dia que passa. Mas esse nem seria o mais malicioso dos ataques de malware. Esse teria que ser um invasor ou um funcionário descontente, que introduza um código que muda os valores de dados aleatoriamente em uma base de dados. Bastaria menos de quatro linhas de código para lançar várias mudanças no armazenamento de dados. Essas mudanças acelerariam ao longo do tempo até que toda a base de dados não fosse mais confiável. Nesse caso, todas as vulnerabilidades anteriores e as falhas do processo ainda se aplicariam, exceto por uma chave de recurso adicional. Pelo fato de um malware em média permanecer no sistema de uma empresa por volta de 200 dias antes de ser detectado, ao menos, segundo a Microsoft, qualquer corrupção extensa estabelecida seria possivelmente detectada antes que fosse tarde demais e recriar a base de dados com um reprocessamento de todas as transações não seria sequer viável a essa altura.
Esses dois cenários podem resultar no clássico evento de um
Cisne Negro, um que resultaria em uma crise de liquidez. Não consigo imaginar muitos clientes dispostos a deixarem dinheiro depositado, se eles duvidarem do saldo de seus depósitos. Assim como os desafios que existem na medicina hoje em dia, causados pela proliferação de especialistas, onde nenhum especialista entende realmente o impacto no paciente como um todo, a TI também tem visto sua própria proliferação de especialistas e grupos especilizados, onde temos grupos de dados, grupos de segurança de informação, grupos de arquitetura, grupos de desenvolvimento, grupos de produção e para ser sincero, neste caso, seriam necessárias pessoas de todas essas disciplinas para trabalhar em uma solução preventiva ou inovadora.
