Nos dias atuais, é totalmente possível confiar nos recursos de segurança oferecidos pelos bancos brasileiros? Apesar de grande parte da população acreditar que sim e da maçante divulgação de recursos de segurança cada vez mais avançados tecnologicamente, a resposta é não. E não existe exemplo mais consistente da imaturidade das equipes de Segurança da Informação nacionais do que a invasão realizada na última semana ao sistema do Banco Inter.
A notícia foi divulgada pela equipe do blog TechMundo, que recebeu o manifesto escrito por um hacker, identificado como John, acompanhado por um arquivo de 40 GB com dados de clientes do Banco Inter. O arquivo continha dados cadastrais, incluindo código de segurança e senha, de mais de 400 mil correntistas, além da base de cadastro Mastercard com informações completas, senhas dos cartões Mastercard e fluxo de senhas dos mesmos. Em conversa com a TechMundo, o hacker afirmou que os dados foram coletados por ele durante meses e continuam sendo extraídos. Também foram recolhidos todos os logs transacionais e transações bancárias realizadas pelos clientes e por contas PJ (pessoa jurídica), dados bancários daqueles que solicitaram crédito ou aumento do limite de crédito, centenas de fotografias de cheques de clientes, senhas de funcionários da Virtual Sistemas e do Grupo Magnus – empresas terceirizadas do Banco Inter.
A “porta de entrada” foi uma das mais óbvias, se tratando de Segurança da Informação – segundo o hacker, ele conseguiu invadir o sistema após um erro cometido por um funcionário. Para resumir o caso, que ainda está borbulhando nas redes sociais, a invasão teve como objetivo extorquir o Banco, que até o momento nega o vazamento de qualquer dado, além de faturar alto com a venda de dados na Deep Web: o pacote com os 40 GB de dados estava sendo vendido por 10 bitcoins, ou seja, 330 mil reais.
Frente a esse episódio, nos resta relembrar alguns princípios básicos. Enquanto não houver um engajamento maior de empreendedores, executivos, conselheiros e investidores nas temáticas de Cybersecurity, nenhuma empresa se verá livre de tais ameaças. O controle de privilégios também se faz central num programa de prevenção de invasões – assim como ocorreu no caso descrito, diariamente credenciais são imprudentemente distribuídas nas empresas, ou seja, os próprios executivos, que não possuem preparo ou entendimento suficiente sobre Cybersecurity, recebem acesso a todo o sistema de uma organização e consequentemente se tornam a chave de entrada para invasores de plantão.
Será que o problema é de segurança ou da velha e ultrapassada cultura de gestão de serviços de TI. Durante anos vemos empresas soprar ITIL e aplicar vaporaTIL. Normas como a ISO 20.000, ITIL, COBIT são usados pelas auditorias e negligenciados pelos CIOs. “Servem apenas para as auditorias”, será? Enquanto a taxa de produtividade do brasileiro é péssima frente os europeus, asiáticos e americanos, continuamos fazendo coisas “só pra ingles ver”, ainda em 2018. Será que foi esse mal que assolou o Banco Inter? Espero que não. Infelizmente usar métodos ageis ou tradicionais nada tem haver com gestão, processos, ciclos, tribos, inovação e produtividade. O nome que escolher vai depender mais da gestão de fato, indicadores, métricas e pessoas que outras coisas. Nenhum software de service desk substitui processos, protocolos e procedimentos bem aplicados, ressalvo APLICADOS e não escritos somente.
Espero que seja um caso isolado, mas os CyberTrends agora são a bola da vez, de FoxBit, Inter e outros, a gestão de privilegios e a gestão empresarial moderna precisarão se preparar rápido.