Estratégia de Segurança de Open Banking no contexto Brasileiro



Você está preparado para o Open Banking? Já sabe de tudo sobre PIX? Já soube que a LGPD vai entrar em vigor há qualquer momento? Todas estas mudanças fazem parte do novo cenário que impacta diretamente nos processos de segurança do se negócios.

Em nossa sétima edição das #SecurityLives os especialistas Evandro Rodrigues, Douglas Fernandes Barbosa e Ricardo Duraes falam sobre estes e outros aspectos de segurança em relação ao Open Banking no Brasil.


 

A crescente corrida digital impacta, todos os anos, diferentes setores da economia mundial e já era tempo da indústria bancária brasileira aderir aos constantes avanços tecnológicos. Em 2015, o Open Banking surgiu a partir da adoção de novas diretrizes de pagamento que visavam promover o desenvolvimento e uso de inovações através do meio online e de dispositivos móveis. 

De acordo com pesquisa realizada pela Deloight Insights, que entrevistou 17 mil consumidores bancários em 17 países diferentes, o Brasil, quando comparado a média mundial, possui a mais alta taxa de adesão a meios de pagamento online, chamados pelos pesquisadores de digital adventures (aventureiros digitais). 

O Controle da Vida Financeira 

Atualmente, quem possui poder sobre os dados de um usuário, são as instituições financeiras. Literalmente traduzido, Open Banking quer dizer “banco aberto”, ou seja, é a abertura do sistema bancário, tirando das instituições o controle sobre esses dados e transferindo ao usuário o poder de decisão e administração. 

Figurativamente falando, o cliente passará a ter em seu poder o histórico de toda a sua vida financeira, desde salários e contas pagas, até créditos e empréstimos adquiridos. Assim, é discricionário do usuário decidir com quem e até onde deseja compartilhar essas informações. Podendo revogar, ou não, o acesso quando bem entender. 

Basicamente, o Open Banking surge para regulamentar a situação das fintechs junto aos bancos, criando condições seguras de trabalho para o mercado. Desta forma, empresas parceiras de instituições poderão fazer uso dos dados dos clientes para promover melhores condições de empréstimo, financiamento e de serviços. 

Com isso, mudar de banco será mais fácil e menos burocrático para o usuário, que, inclusive, terá acesso a um serviço mais personalizado, como, por exemplo, no que diz respeito ao limite de crédito e opções de investimento. Por causa disso, a transparência torna-se um fator essencial. 

Sobre isso, Evandro Rodrigues, engenheiro de pré-vendas da McAfee e atuante no mercado de finanças, fala: “Ainda existe uma resistência por parte da grande maioria da população em compartilhar dados pessoais e, principalmente, sobre a sua vida financeira. Então, essa transparência, nesse momento de captação desse mercado, é super importante para ganhar a confiança dos clientes e usuários, conseguindo alavancar com êxito a questão do Open Banking”. 

Principais Desafios na Segurança da Informação 

No entanto, o mundo não é feito só de boas notícias e, como tudo nessa vida, junto com os pontos positivos, surgem novos problemas e dificuldades a serem tratados.

Para Evandro, quando o assunto é Open Banking, os principais desafios no âmbito da segurança da informação são os roubos de identidade, a proteção de dados e a nova superfície de ataque que surge com esse novo cenário: “Quando um usuário faz uso de um aplicativo ou novo serviço, geralmente, ele recebe um termo, o qual deveria ser lido, para compreender qual comportamento ocorre dentro daquele serviço ou aplicação, dessa maneira, estamos concedendo todos os acessos que ali estão descritos”.  

Da mesma forma como recebemos termos de consentimento para a utilização de nossas redes sociais, os usuários de Open Banking também irão receber na hora de compartilhar suas informações. Com isso, é necessário muito cuidado no momento de fazer concessões, pois roubo de identidade através de meios digitais, é uma das principais preocupações que surgem com essa nova era. Afinal de contas, estamos falando sobre uma pessoa se passar por outra e tomar vantagens ou acesso privilegiado à dados da vida financeira de alguém. 

Sendo assim, a necessidade de proteção dos dados do usuário torna-se evidente, pois um incidente de vazamento de informações, pode acarretar na quebra de confiança por parte, não só daquele cliente, mas do mercado como um todo, descredibilizando o sistema de Open Banking em geral. 

A Segurança de Dados no Open Banking 

Assim sendo, não é só a proteção de dados que se torna ponto central quando o assunto é segurança em Open Banking, mas entender cybersecurity, fraudes e riscos como questões que se integram e convergem entre si. Em relação a visão dos clientes, o Instituto Ipsos, no ano de 2017, realizou uma pesquisa de mercado com 15.000 pessoas em 15 países diferentes, dentre eles o Brasil, e apenas 39% dos entrevistados informou se sentirem seguros em fornecer seus dados.  

Os usuários, não só não se sentem confiança em compartilhar seus dados, como já possuem uma noção dos problemas que serão encontrados. A esse respeito, Douglas Fernandes, engenheiro de sistemas da Sec4You e especialista em gestão de identidades e cybersecurity, comenta: “muitos desses problemas já existem, mas a preocupação é que isso possa se agravar de alguma forma. As pessoas estão preocupadas com a forma como os dados financeiros pessoais serão utilizados, mas boa parte do Open Banking já está focado em resolver este problema”. 

O vazamento de dados é uma das maiores preocupações quando tratamos de Open Banking, no entanto não é com o sistema interno de segurança dos bancos e instituições financeiras que reside a maioria das dúvidas, mas sim com os sistemas parceiros desses bancos alojados fora da barreira de proteção do sistema financeiro. 

Os Third Party Providers, mais conhecidos como TPPs, são provedores de serviços, terceiros, que estão em conexão com as instituições financeiras. Eles armazenam os dados bancários de um consumidor e se for invadido, seja por vazamento ou violação de dados, podem resultar na divulgação de informações financeiras de um cliente e afetar a reputação do banco. 

De acordo com Ricardo Durães, responsável pela segurança da informação do Digio, plataforma de serviços financeiros, “a maior parte dos bancos possui consulta externa de suprimentos, ferramentas, e-mail, devices, que, se olharmos as estatísticas, vários comprometimentos de dados, não acontece na empresa de origem, e sim na sua cadeia de fornecedores”. Portanto, a maior parte das violações de segurança, acontecem por parte de brechas de terceiros ligados aos bancos e instituições financeiras. 

Quando falamos de segurança da informação, Ricardo menciona que qualquer empresa deve ter uma visão holística sobre o assunto, mas quando o assunto é Open Banking, alguns pontos chamam mais a atenção: 

  • Processo de autenticação e autorização, fazendo uso de protocolos seguros: OAuth (Open Authorization), Open ID, autenticação adaptativa (onde se faz uso do comportamento do usuário para fazer a autorização); 
  • Segurança de API
  • Mecanismos de proteção de borda, ou seja, do perímetro; 
  • Mecanismos para detectar vazamentos através de APIs;
  • O ciclo de DevSecOps (Desenvolvimento, Segurança e Operação) durante o desenvolvimento de APIs;
  • Segurança do aplicativo;
  • Governança e proteção de dados;
  • Criptografia;
  • Gestão de consentimento. 

“Como eu comentei, segurança é um ponto bastante holístico. Então, não adianta nada eu ter todo um ecossistema que provê Open Banking e toda a sua segurança, e ter um vazamento no back-end (nível de programação do software)”, comenta Ricardo. Assim, ele fala que estes são os aspectos que puxam o Open Banking, pois será essencial um projeto bem estruturado como um todo.  

Compartilhamento de dados e o gerenciamento de consentimento no modelo Open Banking 

Uma questão importante de ser considerada é a regulamentação, algo que conversa diretamente com a LGPD (Lei Geral de Proteção de Dados). O consentimento é um ponto chave não só do Open Banking, mas da LGPD como um todo.

Dessa forma, o gerenciamento do consentimento, não é, necessariamente, uma questão técnica, mas sim compreender como um processo financeiro pode se estender com segurança. 

“Imagina que dentro de uma transação qualquer, aquele usuário já fez uma autenticação, ele já fez um consentimento, ele já está fazendo alguma transação. Precisam existir padrões dentro dos modelos técnicos e, devem existir, dentro das regulamentações sobre quanto tempo isso precisa valer e de que forma esse consentimento vai precisar existir”, comenta Douglas a respeito do processo de consentimento.

Ele completa que a anuência vai precisar existir de maneira detalhada, pois diversos itens serão abordados e, para o usuário, este processo precisa ser simples, com diversos consentimentos ao longo do caminho. 

O cliente vai consentir de acordo com o caminhar da operação, ou seja, consentimento em etapas e de acordo com ele, isso pode acontecer de diversas formas, mas no final, o cliente precisa ter condições de consentir, revogar e alterar. 

Educação do usuário final dentro do cenário de Open Banking 

Além dos problemas que podem ser encontrados com a vulnerabilidade de um TPP, a educação digital dos clientes e usuários finais, também deve ser um ponto abordado. Os cyber ataques são uma realidade antes mesmo do surgimento do Open Banking e é cada vez mais comum que o foco desses criminosos sejam os clientes ou usuários finais de um serviço. 

Fishing, palavra derivada do inglês, que significa pesca, é uma técnica muito utilizada nesses ataques, onde o cliente é utilizado como isca para que hackers tenham acesso a plataforma ou serviço. Essa forma de ataque acaba sendo muito efetiva quando trabalhada com pessoas que não possuem muito conhecimento a respeito de tecnologia. Com a mudança do modelo bancário, as pessoas com menos habilidade tecnológica, acabam tendo uma maior dificuldade e tornam-se as pontas mais vulneráveis dessa equação. 

“É comum encontrarmos pesquisas, inclusive de fora do Brasil, onde os usuários não possuem conhecimento sobre o Open Banking ou possuem um conhecimento pequeno. Então, trazendo para o contexto do mercado brasileiro, isso me preocupa, pois a criatividade dos cyber criminosos é bastante elevada”, afirma Evandro Rodrigues sobre a educação do usuário final.

Ainda assim, ele pontua a importância das campanhas de conscientização, conhecimento e transparência por parte das instituições financeiras, para que os usuários também estejam preparados no momento em que o Open Banking se tornar uma realidade do cenário financeiro do país.

Topo