*por Rafael Sampaio, country manager da Etek NovaRed
As discussões em torno do open banking começam a ganhar força no Brasil. O conceito define regras sobre o compartilhamento e o uso de dados de terceiros entre instituições financeiras, o que vai ser ótimo para desburocratizar a vida dos brasileiros. Afinal, na prática, por meio do banco no qual são correntistas as pessoas poderiam utilizar o serviço de outra instituição financeira.
Existe um grande movimento para que as instituições possam se conectar por meio de protocolos e sistemas muito bem pensados. Mas para nós da área de segurança da informação toda nova superfície representa um novo risco. Apesar da grande e positiva revolução que temos pela frente, também não posso deixar de lado minha preocupação com o tema.
Três pontos de atenção desse novo cenário
Particularmente, vejo três implicações nesse novo cenário de massiva transação de dados:
1. Privacidade e proteção de dados
Hoje, eu tenho um banco que guarda os meus dados e tem acesso as minhas informações e para o qual eu concedi algumas permissões para uso desses dados. No entanto, essas informações poderão ser transacionadas em uma outra instituição filiada ao banco no qual sou correntista. Como garantir que esses dados em transação não sejam utilizados por terceiros para me abordar com ofertas que não quero, não solicitei e não autorizei?
2. Interconexão
No novo conceito do open banking, os bancos abrirão o sistema por meio das APIs para que outras instituições financeiras possam coletar informações de seus correntistas ou habilitar serviços para essas pessoas. Como criar uma barreira para que essa interconexão não se concretize como uma nova porta de invasão ao sistema financeiro?
3. Desenvolvimento das aplicações
Quando falamos de um aumento gigantesco de tráfego via APIs, não podemos esquecer que, hoje, nenhuma aplicação é desenvolvida do zero. Apesar de todas terem um core que é desenvolvido, no final elas se conectam a várias outras aplicações desenvolvidas por terceiros. Como checar se todos os desenvolvedores pautaram as suas tecnologias pela segurança?
Três iniciativas em tecnologia e segurança
Com base em todas essas implicações desse novo momento, quando penso no conceito do open banking, três grandes iniciativas de tecnologia e segurança me vêm à mente e eu gostaria de compartilhar com vocês:
- Instalação de firewalls de aplicação – para garantir a proteção das APIs e bloquear os acessos indevidos;
- Adoção de mecanismos de monitoração comportamental – para identificar possíveis desvios, tráfegos maliciosos e atividades suspeitas por meio do mapeamento do consumo das APIs, dos dados que são requeridos e das especificidades do acesso – quem, por que e com que frequência;
- Cuidado no desenvolvimento das aplicações – iniciativa também chamada de DevSecOps, que consiste em aplicar na esteira de desenvolvimento atividades automáticas de análise do código gerado.
No universo do cibercrime, hoje, o sistema financeiro representa a jóia da coroa. Todo hacker, no fundo, tem o interesse de – quem sabe um dia – fazer uma grande invasão dentro de um poderoso player desse mercado. Para um cibercriminoso, o céu é o limite. Eles tentam de tudo. O que poderia acontecer depois de um ataque bem sucedido a uma empresa que não esteja devidamente protegida e monitorada?
Esse é um questionamento que deve guiar os pensamentos de líderes de organizações de todos os portes e segmentos – não apenas do sistema financeiro – na hora de decidir se a segurança da informação é um custo ou um investimento estratégico. Vale a reflexão.
