A resiliência nos serviços financeiros

Numa sociedade cada vez mais aberta a transações financeiras digitais, a legislação e regulação neste setor aumentam progressivamente a exigência dos controlos para a Segurança da Informação. Cientes do impacto que uma crise de confiança teria sobre as instituições financeiras, estaremos a ser capazes de antecipar o risco e reforçar a resiliência dos sistemas de informação ou estamos apenas a correr atrás do prejuízo, numa dança entre atacantes e defensores?

Cibersegurança no setor financeiro

Os autores de crimes informáticos procuram maximizar os seus resultados face ao esforço e investimento necessário para perpetrar o crime. Sabendo que a maioria das instituições financeiras tomam precauções elevadas na proteção dos seus sistemas informáticos, atacá-las diretamente requer elevada dotação financeira, apenas fazendo sentido caso o retorno seja elevado.

Esta é a realidade percecionada quando se fala de cibersegurança nas grandes instituições financeiras, a expectativa é que os seus sistemas estejam devidamente protegidos, tornando menos provável um ciberataque com impacto elevado. Mas o setor não é apenas composto por instituições de grande dimensão, é necessário considerar outras que, apesar de sujeitas a regulação e legislação, sofrem das mesmas limitações que qualquer empresa de dimensão reduzida, incluindo no que diz respeito ao investimento em segurança. Sabemos que nem sempre instituições de menor dimensão têm capacidade para acompanhar transições tecnológicas com investimento adequado em segurança. As fintech, “entidades que operam no setor financeiro e que têm modelos de negócio baseados em tecnologias inovadoras” são particularmente sensíveis ao risco de cibersegurança ao estarem mais expostas a ciberataques e mais sujeitas a danos irreparáveis à sua reputação.

As instituições financeiras estão dependentes da confiança dos seus utilizadores porque confiar as nossas poupanças ou investimentos é uma decisão ponderada e resulta habitualmente num compromisso a longo prazo. O setor financeiro apresenta o segundo custo mais alto em caso de fuga de dados, apenas atrás do setor da saúde (1) porque adiciona aos custos de impacto operacional, recuperação de sistemas e possíveis coimas, um custo reputacional muito elevado.

A importância das instituições financeiras na sociedade

Num contexto de conflito militar ou social, o setor financeiro e a sua estabilidade são decisivos para o regular funcionamento da sociedade. Já observámos corridas aos levantamentos de numerário no início da pandemia COVID-19 ou outros cenários de perturbação social. Atores maliciosos lançaram em fevereiro de 2022 ciberataques contra sites do Governo ucraniano e dos dois maiores bancos da Ucrânia. Para além de ataques de negação de serviço, espalharam deliberadamente informação falsa, colocando em dúvida a resiliência do sistema financeiro da Ucrânia e provocando uma corrida às ATM e aos balcões.

A desmaterialização dos pagamentos é inegável, em 2018 apenas 1% do PIB sueco circulava em numerário e a Finlândia prevê uma sociedade sem transações em dinheiro já em 2029. Num contexto de perturbações na sociedade, a indisponibilidade dos sistemas de pagamento e de acesso às contas bancárias tem um potencial destrutivo enorme, podendo criar o caos. Voltando ao conflito militar na Ucrânia, o facto de o sistema bancário continuar a funcionar, com a utilização de ATM em pleno contexto de guerra, é um dos sinais mais fortes que o país pode dar de resiliência perante uma situação indescritível.

Percebendo a ameaça que os ciberataques constituem, o chairman da Reserva Federal Norte Americana Jerome Powell colocou os ciberataques como principal risco para o sistema financeiro. Nas suas palavras, seria um cenário de pesadelo caso os atacantes conseguissem atingir as maiores entidades do sistema de pagamentos, limitando os fluxos de dinheiro. Essa situação teria um impacto sistémico, bloqueando o regular funcionamento da sociedade.

Também o Fórum Económico Mundial dá especial atenção aos riscos de cibersegurança e à ameaça do cibercrime, tendo em 2023 voltado a considerar o cibercrime e a insegurança cibernética como o único risco tecnológico no top 10, ocupando a oitava posição. (2)

Um novo capítulo para a resiliência operacional nos serviços financeiros

Em janeiro de 2023 entrou em vigor a Diretiva (EU) 2022/2555, conhecida como “NIS2”. Esta Diretiva procura harmonizar os requisitos de cibersegurança nos diferentes Estados Membros e reforçar temas como a gestão de risco, gestão de incidentes e colaboração, em alinhamento com a legislação específica de cada setor.

Um exemplo de legislação específica no setor financeiro é o Digital Operational Resilience Act (DORA), publicado a 27 de dezembro de 2022. Este regulamento estabelece regras para os agentes financeiros, complementando as disposições transversais da Diretiva NIS2, desenvolvendo um conjunto único de regras e o modelo para a sua supervisão.

O DORA dá um passo decisivo para a estabilidade do setor, obrigando as instituições a uma visão alargada da resiliência, com responsabilidade ao nível mais elevado da organização e incidindo na gestão de risco TI da própria organização e de terceiros que lhe prestem serviços. A utilização de serviços na nuvem é especialmente focada neste documento. O regulamento estabelece ainda regras para o reporte de incidentes e para testes de resiliência operacional, cujos resultados devem ser partilhados à entidade supervisora.

Mas uma atitude de checklist em que as instituições financeiras procuram cumprir cada ponto do DORA vendo-o de forma isolada não se irá traduzir em resultados práticos. É essencial que as instituições financeiras tomem as medidas necessárias para disseminar uma cultura de gestão de risco. Ao colocar esta responsabilidade diretamente na gestão de topo das organizações, a framework agora definida passa essa mensagem de forma clara. As organizações passam a ter de identificar as suas funções críticas, mapear os seus ativos representando as suas dependências e definir métricas de risco adequadas, serão desafiadas a formalizar o seu apetite de risco para interrupções ao funcionamento dos seus sistemas e atingirão uma compreensão mais profunda das interdependências dos seus sistemas tecnológicos, dentro e fora de portas.

Complementarmente ao DORA, podemos observar outros esforços relevantes no sentido de aumentar a resiliência dos serviços financeiros:

• Framework TIBER-EU que proporciona um suporte para a colaboração entre autoridades setoriais, instituições financeiras e entidades prestadoras de serviços para simulação de ciberataques e exploração de vulnerabilidades de segurança;
• CIISI-EU, comunidade lançada em fevereiro de 20209 com o objetivo de proteger o sistema financeiro através da prevenção, deteção e resposta a ciberataques;
• FS-ISAC, centro de partilha global fundado em 1999 e focado na comunidade financeira. Os membros do FS-ISAC procuram antecipar, mitigar e responder a ameaças contra os seus sistemas de informação. Em 2022 o FS-ISAC avançou com um programa para reporte responsável de vulnerabilidades e um white paper sobre a cadeia de fornecimento de software e em 2023 promoverá um trabalho de fundo sobre modelos de ameaças para o fornecimento de software e para os ativos digitais no setor financeiro, incluindo critérios de avaliação de prestadores de serviço externos.

Rumo a um futuro mais resiliente

A ideia de uma falência geral nos serviços financeiros à escala global é assustadora e iria muito para além das organizações que prestam esses serviços, afetando de forma decisiva todos os setores da sociedade. Neste texto são descritos alguns dos esforços para um aumento da resiliência operacional do setor financeiro, de iniciativa central ou de natureza colaborativa entre as organizações do setor.

A preparação que as instituições financeiras abrangidas estão a realizar com vista à entrada em vigor do DORA irá guiar o setor para uma posição mais forte. Tendo como pilares o envolvimento da gestão de topo na estratégia para gestão de risco tecnológico, a maturidade de processos de gestão de risco, a partilha de informação entre entidades e os testes frequentes à resiliência operacional, este regulamento contribuirá decisivamente para a resiliência do setor financeiro e, consequentemente, para a resiliência da nossa sociedade.

(1) IBM Security Cost of a Data Breach Report 2022

(2) WEF “The Global Risks Report 2023”