“Lidar com engenharia social envolve ter várias camadas de segurança”

Numa mesa redonda com responsáveis da SIA e da Entrust discutiram-se as várias tendências da fraude bancária. Segundo o CEO da última empresa, a segurança não lidera o crescimento do investimento em TI mas mantém a sua importância.

PHO_9059William Conner, presidente e CEO da Entrust, Enrique del Amo, CEO da SIA, e Paulo Pinto, director da Cesce, falaram em mesa redonda dos principais desafios de segurança para o sector da banca. Para o executivo da Entrust, a melhor forma de defesa é proteger os activos internamente. Steve Neville (Director de produtos e soluções de identidade da Entrust) e Neill Duff (Director Geral da entrust para a EMEA) também deram o seu contributo na discussão. A Entrust é uma empresa dedicada a soluções de protecção de identidades digitais através da autenticação; da encriptação de informação, especialista na criação de ambientes de segurança em camadas.

CW – Quais são as principais tendências no campo da fraude bancária?

William Conner
– Hoje curiosamente a segurança não é um dos principais factores de crescimento do investimento em TIC, mas representa perto de 5% do investimento em TIC. E isso quer dizer duas coisas: à medida que a segurança no perímetro se torna cada vez mais vulgar, a área onde nós competimos tem a ver com a forma como não deixamos algumas pessoas entrarem no sistema, e ao mesmo tempo protegemos os activos. E que nós crescemos porque a melhor forma de defesa é proteger os activos internamente.

CW – O que é novo na abordagem da Entrust?

william_connerWilliam Conner – Primeiro somos especialistas em segurança. Se olharmos para a tecnologia usada na próxima geração de passaportes na Europa, ela é a primeira a assumir um padrão de acesso e controlo de passaportes, baseados em certificados de segurança que nós disponibilizamos para serem integrados nos documentos e nos leitores. É um circuito de segurança fechado e somos líderes nisso. Beneficia de tecnologia PKI, mas tem uma arquitectura complemente diferente. O segundo aspecto diferenciador é que apesar de se basear em autenticação básica, conjuga a autenticação com a monitorização de fraude. Hoje as organizações olham para a autenticação como uma solução para todas situações. A nossa visão é que temos muitas credenciais no passaporte, no BI, nos cartões de crédito, e todas são apropriadas dependendo do que se pretende fazer. E em Portugal queremos ajudar as instituições financeiras a suportar a transição dos clientes do ponto de vista da segurança, para o mundo digital, com as soluções de autenticação e monitorização de fraude, para oferecer a capacidade de parar fenómenos como o phishing e outras manifestações, protegendo as transacções.

CW – E que comentário lhe merece a autenticação através de um modelo de cloud?

William Conner – As “ nuvens” já existem em várias formas em diversos modelos, há alguns anos, mas acho que a questão principal é saber como proteger essa informação dentro e como nos autenticamos, e acho que ainda ninguém expandiu isso por questões de segurança.


CW – Para a Entrust, qual é a importância da integração da vossa plataforma com as de BI?

William Conner – O nosso produto Transaction Guard, um produto antifraude, é tão forte precisamente devido à integração de capacidades de BI na sua base.

steve_nevilleSteve Neville – A componente de BI tem a ver com uma parte do Data Warehouse onde é possível armazenar e estudar informação sobre grupos de indivíduos. Essa parte permite identificar padrões, e a forma como estão a evoluir, além de se poder voltar analisar padrões antigos. E tanto se pode configurar o sistema para precaver uma fraude como impedi-la em tempo real, e avisar os clientes. Nós assumimos, o nosso sistema como Business Analitycs, mesmo em termos forenses.

William Conner
– Há um ambiente único nos canais online. Muitas das pessoas já trabalham centradas na Web, a verificação de cartões de crédito é estatística, por que é assim que funcionam. Quando se trabalha online precisamos de ter uma amostra de 100% sobre o que está a acontecer. A análise estatística com amostras cria uma oportunidade para fazer uma fraude porque se está apenas a fazer uma amostra, nunca se vai apanhar os criminosos. Portanto uma das vantagens que temos face a muitos concorrentes é fazer amostras de 100%, do que se faz na Internet. O que dá uma primeira oportunidade para detectar a fraude. Mas nem sempre vamos apanhar a fraude assim.


CW – Saber como foi realizada a fraude também é importante…

William Conner – Se tivermos os dados todos, fazemos análises forenses e descobrir como foi perpetrada, porque uma das formas mais frequentes de fraude é baseada no uso  de vários canais. A forma como muitos bancos implementam fraude é por aplicação. E devido à nossa abordagem podemos fazer uma monitorização sobre todas as aplicações on-line antes da actividade ser lesada. Podemos descobrir brechas no software e resolver… Um dos nossos clientes cá em Portugal teve um problema de segurança e nós usamos as capacidades analíticas do nosso produto para descobrir como foi perpetrada a intrusão. Descobrimos que havia pelos menos mais 200 clientes com o mesmo tipo de software nocivo responsável pela brecha. Portanto, é um modelo completamente diferente quando se tem o sistema completo.

CW – Como acham que a segurança deverá suportar as mudanças de negócio?

William Conner –  Eu acho que deve permitir a emergência de negócios. E parte do problema é saber como se torna isso transparente e como se deve usar um nível de segurança apropriado. Como banco, é necessário permitir que os empregados se autentiquem ao sistema, e normalmente isso é uma operação gerida por uma aplicação. A tecnologia PKI permite que pessoas, máquinas e aplicações comuniquem entre si, com segurança e isso é fundamental para a forma como se gere o negócio. Transportando isso para o plano dos clientes pode ser interessante para se fazer um nível de autenticação ao vivo, e monitorizar esse processo de uma forma passiva, para não ser intrusiva.

CW – E como se faz isso?

William Conner – Na emissão de cheques por exemplo, posso querer perceber para que país estou a mandá-los. E se for para países suspeitos, posso querer tomar medidas, como fazer algumas perguntas para confirmar a identidade da pessoa a quem foi endereçada a carta. E se vou fazer um movimento de 10 mil euros talvez seja mais seguro enviar um e-mail, a confirmar a operação, e para verificar que a identidade tem correspondência material. Todos esses níveis de autenticação servem para maximizar a gestão de risco.

CW – Como medem o impacto da segurança no processo de negócio?
William Conner
– As medidas de segurança têm de ser apropriadas ao processo. Um dos aspectos mais importantes para os clientes é a segurança. E eles não querem ter de andar com diferentes dispositivos. Querem poder escolher as formas mais fáceis e seguras de fazer o que pretendem.

CW – Qual é o cenário de segurança para os modelos de cloud computing?
William Conner
– No passado, as intrusões eram uma questão de honra entre estudantes universitários. Isso foi substituído por hackers com um plano de negócios, usando formas  muito sofisticadas. As pessoas esquecem-se de que a qualidade custa e é pesada e complexa.  Com a segurança é a mesma coisa, toda a gente quer que a segurança seja um projecto acabado , mas com as migrações e mudanças no âmbito da segurança não é assim. Hoje até é possível obter ajuda na Internet para executar uma fraude.

Steve Neville
– Algumas  pessoas querem instalar alguma coisa contra a fraude deixar o resto com sistemas de inteligência artificial. Mas essa realidade não é possível no âmbito da fraude multicanal online. No mundo dos cartões de crédito há normalmente um registo de milhões de milhões de transacções sobre as quais se pode fazer análises. O desafio do online é que desde o primeiro dia o sistema alerta para anomalias e daqui a um ano continua a fazê-lo. Temos de ter um sistema capaz de observar, de analisar aprender. Para perceber o comportamento, é preciso estar sempre a trabalhar com os objectivos de melhorar o entendimento do comportamento, por outras palavras, é preciso evitar tantos falsos positivos. Por outro lado, o universo de dispositivos está a mudar, além dos riscos. E é difícil acompanhar esse crescimento e diversidade.

CW – Mas entretanto são os bancos com mais tecnologia anti-fraude implementada a reportar maiores índices de fraude?
neill_duffNeill Duff
– Com as políticas de pagamentos rápidos, os bancos estão a ser forçados a fazer melhores análises, mas também há menos tempo para o fazer. Os pagamentos rápidos estão a fornecer uma matriz de regulação para os bancos obrigando-os a tomar medidas. Uma das obrigações é a de ter de reportar brechas de segurança. Todos bancos usam sistemas de autenticação, e nessa linha, parece que uma opção serve para todos problemas. Contudo uma combinação de tecnologias pode ajudar.

CW – Como é que um sistema baseado em software consegue fazer face ao phishing, algo bastante assente na engenharia social? Como é que a sua tecnologia consegue resolver isto?
William Conner
– Lidar com engenharia social envolve sempre ter várias camadas de segurança, e isso nós fazemos muito bem. Temos um enfoque grande na identidade das pessoas, e protocolos SIP: é importante perceber de onde está a comunicar o cliente. E confirmar. Depois a monitorização em tempo real permite perceber que o endereço IP não é de Lisboa, mas de um país diferente. E depois há outros procedimentos como o envio de um SMS. Porque é possível roubar identidade online. Com o nosso sistema usamos factores externos como os índices de reputação atribuídos por outras entidades, que podem ser usados com os sistemas internos de avaliação. Um cliente pode estar a fazer coisas normais no site do banco, mas o seu computador pode ter sido envolvido no ataque à e-Bay, o que exige medidas de segurança extraordinárias.

Steve Neville
– Não consultamos repositórios de clientes. Olhamos para características e padrões de navegação e localizações. Tudo muda na Internet numa semana, o que pode ser arriscado hoje, pode não ser na próxima semana. Identificamos comportamentos e partilhamos.

CW – O “vishing” não é mais perigoso?
Steve Neville
– Não tem tanto potencial de insegurança como uma intrusão no browser. O “vishing” ainda não é prático.


CW – Os ataques com tecnologia quântica já são motivo de perigo concreto?
William Conner
– Isso já preocupa muitas instituições dos Estados Unidos e as nossas equipas. Mas eu apoquento-me mais com o facto de a computação distribuída ter elevado o nível do poder de computação. Não me toma muito tempo o facto de alguém poder realizar um ataque quântico nos próximos anos. Preocupa-nos a possibilidade de conjugar botnets, e grids para atingir redes. O problema hoje está mais centrado em como lidar com activos mais protegidos e não na decifração de palavras passe. Mas nós já usamos esta tecnologia e pensamos que é urgente as instituições começarem a usar.


enrique del Almo_CEO da SIAEnrique del Amo –
Há várias áreas em que o negócio está a exigir a integração destas tecnologias de segurança, e não é só na banca.  A maioria das partes críticas estão sob ataque, e  os emissores de cartões de crédito estão cada vez mais preocupados em ter sistemas capazes de detectar ataques.
Em Espanha na administração pública, criámos a percepção de segurança. Um dos desafios de TI é fomentar a percepção de que estamos a criar valor. A tecnologia PKI está a criar essa percepção em muitos sectores. Os governos até estão a criar leis que obrigam a que as transacções entre entidades e a administração sejam electrónicas e tem de ser com segurança. A simplificação da transacção cria valor. Nós temos competências para  ligar a tecnologia ao negócio criando valor.

paulo_pintoPaulo Pinto – Eu noto uma grande mudança de atitudes. As pessoas nos bancos estão a olhar para estas soluções com seriedade. Antes a fraude era escondida. Agora as entidades estão disponíveis para discutir o problema.  Com as TI e com outros bancos. Nós queremos participar neste movimento global e com a Entrust achamos que podemos conseguir. Não temos de mudar as aplicações basta recolhermos a sua informação e mudar de uma forma muito rápida. Temos um caso de muito sucesso em Portugal que podemos demonstrar. O sector das Finanças é o principal mercado, mas com outras soluções podemos ir para outro tipo de clientes como a administração pública. Também podemos abordar o sector das utilities, onde temos um cliente muito importante com um projecto de PKI. Mas o grande desafio é integrar todos os outros PKI e ainda não vimos um padrão. Ainda assim podemos implementar um sistema de mensagens capaz de evitar a utilização de papel e é mais ecológico. Além disso eleva para outro nível de transacção que é a assinatura digital, e reduz os custos de imprimir cartas de banco.




Deixe um comentário

O seu email não será publicado