Índice
O Banco Central (BC) considerou nesta quarta-feira (12) que não há “risco relevante” para a estabilidade financeira no país, levando em conta que o sistema brasileiro permanece com “capitalização e liquidez confortáveis e provisões adequadas ao nível de perdas esperadas”.
Além disso, informou que os chamados “testes de estresse de capital e de liquidez (simulações feitas pelo BC com base em cenários alternativos) demonstram a robustez do sistema bancário”.
As informações constam no Relatório de Estabilidade Financeira do primeiro semestre deste ano.
Criminosos com ‘conhecimento avançado’
Entretanto, a autoridade monetária avaliou que incidentes ocorridos em empresas que prestam serviços tecnológicos para instituições financeiras trazem “preocupações concretas sobre a possibilidade de materialização de eventos com repercussão para o sistema financeiro nacional”.
“Eventos recentes exigiram conhecimento avançado sobre a operação do sistema financeiro nacional”, informou o BC.
“As táticas, técnicas e procedimentos dos criminosos na execução de ataques cibernéticos indicam que esses grupos possuem conhecimento avançado sobre a operação, a organização e os processos, incluindo o conhecimento sobre aspectos específicos da arquitetura dos sistemas das instituições atacadas e das atividades desenvolvidas por pilotos de reserva dessas instituições”, prosseguiu.
Celular, smartphone, internet, crime cibernético (imagem ilustrativa) — Foto: Gilles Lambert / Unsplash
Fragilidades das instituições financeiras e de pagamento
O BC observou que os incidentes mais impactantes foram caracterizados pelo ataque a provedores de serviços de tecnologia da informação (PSTI) — que são empresas importantes para a prestação de serviços de processamento de dados e de conectividade, que podem ser contratadas por instituições financeiras e de pagamento.
“Incidentes relevantes nesse tipo de empresa podem comprometer simultaneamente a operação de um conjunto de instituições”.
“Os incidentes demonstraram fragilidades relacionadas a controles essenciais de instituições, como a gestão dos riscos associados a serviços providos por terceiros e as práticas de controle de acessos, bem como em serviços providos por meio de API [protocolos que permitem que sistemas se comuniquem entre si, possibilitando sua integração]”, acrescentou o BC.
Os incidentes revelaram, segundo o BC, que algumas instituições financeiras não possuíam controles adequados para a gestão do risco de serviços providos por terceiros.
A instituição identificou que, entre 606 instituições pesquisadas:
- 453 informaram dispor de procedimentos para a gestão do relacionamento com terceiros;
- 317 reportaram que esse processo é avaliado pela segunda linha;
- 319 informaram que o tema é escopo dos trabalhos de sua auditoria interna.
“O percentual de instituições pesquisadas que implementam as atividades tipicamente realizadas para a gestão do relacionamento com terceiros demonstra que é necessário aprimorar esse processo”, concluiu.
Eventos registrados
Entre elas, limites menores de transferência via PIX e TED, obrigatoriedade de aprovação prévia, pelo BC, para entrada de novas instituições no sistema financeiro e confirmação de “certificação técnica” para operar no sistema.
“O crime organizado tem cooptado colaboradores das instituições financeiras, instituições de pagamento ou prestadores de serviço contratados por elas, o que reforça a importância de implementar práticas de higiene cibernética e coibir falhas no controle de acesso”, avaliou o Banco Central.
O Banco Central identificou que é necessário avançar em atividades como:
- revisar periodicamente os acessos configurados;
- utilizar autenticação multifator, em especial, para atividades como as conduzidas por pilotos de reserva;
- controlar o acesso no nível de porta, “Network Access Control”.