Maioria das ameaças visa o roubo de dados sensíveis armazenados na rede
O setor de serviços financeiros é, quase sempre, o destino preferido dos hackers devido à criticidade de suas informações. O Relatório de Riscos de Dados de Serviços Financeiros 2021, conduzido pela Varonis, pioneira em análise e segurança de dados, demonstra que a maior vulnerabilidade desse segmento é a grande quantidade de arquivos críticos abertos na rede, sem controle de acesso e configurações adequadas de segurança. O estudo foi conduzido com cerca de 56 organizações financeiras de pequeno, médio e grande porte.
De acordo com a Febraban, Federação Brasileira de Bancos, instituições financeiras registraram, em 2020, um aumento de 80% de ataques do tipo phishing, termo usado para definir mensagens eletrônicas falsas que visam o roubo de dados financeiros.
O relatório da Varonis mostra que, nas grandes organizações financeiras, 20 milhões de arquivos não têm controle de acesso dos funcionários, ou seja, podem ser acessados por qualquer colaborador. Esse índice tem crescido ainda mais com o aumento do trabalho remoto, em virtude do home-office adotado por boa parte das empresas desde o início da pandemia.
Portas de Entrada
Além das pastas armazenadas no diretório sem a implantação de privilégios de acesso, outro problema revelado são as senhas que nunca expiram, a migração para ambientes em nuvem e o ingresso inseguro aos servidores corporativos por meio de VPNs, redes privadas virtuais construídas sobre uma rede pública de comunicação. A análise revela que 59% das instituições financeiras têm mais de 500 senhas que não são substituídas.
A maneira mais utilizada pelos atacantes para acessar um servidor sem ser detectado é por meio de contas fantasmas, aquelas que estão inativas, porém, não foram desabilitadas. O estudo descobriu mais de 10.000 ghost users em cerca de 40% dessas empresas.
Tais hábitos tornam os funcionários do setor alvos fáceis deste e outros tipos de ataques, como malwares e ransomwares. As equipes de TI trabalharam mais este ano para tentar bloquear acessos à distância e mitigar riscos de invasão. No entanto, as indústrias financeiras continuam com cerca de 20 mil pastas expostas, sendo que 2% desses arquivos contêm informações confidenciais e pessoalmente identificáveis (PIl).
Sem uma solução de automação de segurança, o departamento de TI dessas organizações, seja ela de qualquer tamanho, levaria até 15 anos para corrigir as entradas manualmente, considerando que nenhuma pasta nova seja adicionada e que não haja paradas.
O combo que une contas de usuário obsoletas, acessos privilegiados com senhas que nunca expiram e pastas sem restrição dá aos hackers uma janela que sempre está aberta, através da qual eles podem roubar dados ou causar interrupções sem serem impedidos.
De acordo com Carlos Rodrigues, vice-presidente da Varonis, muitas empresas, principalmente as menores, consideram não serem relevantes para os criminosos cibernéticos. “Mas essas são as que mais se descuidam e ficam na mira dos ataques, principalmente por raramente utilizarem ferramentas e tecnologias adequadas para proteger os dados”, frisa o executivo.
Custos da Invasão
Se apenas um usuário clicar em um e-mail de phishing e produzir uma reação em cadeia, o tempo médio de resolução seria de oito meses, prazo mais que suficiente para prejudicar gravemente a reputação, a receita e a confiança do cliente. E, quanto mais tempo a resposta a incidentes leva, maior é o prejuízo financeiro decorrente da invasão. O custo médio de uma violação de dados está entre as mais altas de qualquer setor, em 5,85 milhões de dólares.
Além dos prejuízos econômicos e de imagem, isso as colocaria em não-conformidade com regulamentos, como a GDPR (Regulamentação Europeia de Proteção de Dados), a LGPD, Lei Geral de Proteção de Dados do Brasil, a Sarbanes-Oxley (SOX) e, ainda, Leis de Privacidade do Consumidor, como é o caso de algumas cidades americanas. As multas por descumprimento dessas regras são milionárias e podem alcançar 20 milhões de euros para a GDPR e R$ 50 milhões para a LGPD.
Em média, 70% de todos os dados confidenciais estão obsoletos. Se esses elementos forem mantidos além de um período de retenção predeterminado, expõem as instituições a riscos desnecessários, além de serem candidatas às sanções previstas pela legislação.
“A indústria financeira melhorou bastante em relação à maturidade de segurança. Contudo, como continuam sendo prioridade no plano de ação dos hackers, os investimentos não são suficientes para mitigar e prevenir esses ataques. É urgente e importante que elas olhem para a automação como aliada nesse processo de conformidade com as novas leis de proteção de dados pessoais”, conclui Rodrigues.
As soluções da Varonis protegem informações corporativas analisando a atividade de dados, telemetria de perímetro e comportamento do usuário; evita desastres bloqueando download de dados sensíveis e sustenta de forma eficiente uma rede de segurança automatizada.
Para saber mais sobre as soluções de segurança da Varonis, voltadas para detecção e proteção contra ameaças cibernéticas, acesse www.varonis.com