A nova tecnologia bancária chega no país levantando muitas perguntas. É preciso aprender com as lições da Europa para discutir a implementação do Open Banking no Brasil e então, preparar o mercado para os novos desafios de Segurança que virão.
Autor convidado: Thiago Zaninotti, CTO & Tech Advisor na Celcoin
Até o mês de Setembro de 2022, a implementação de uma nova tecnologia bancária no Brasil, chamada de Open Banking, deverá estar completa. Isso é o que diz o Banco Central, responsável pela aderência e gerenciamento da prática no país. Como novo assunto do momento, o Open Banking (OpB) faz jus à fama: esse sistema chegou para revolucionar o panorama financeiro brasileiro.
Com a proposta de compartilhar dados dos clientes - mediante expresso consentimento - entre uma instituição financeira e outra, o OpB devolve o controle dos dados bancários ao próprio cliente, e entrega uma autonomia gigantesca na busca por produtos e serviços entre uma instituição e outra.
É cliente do banco A, quer um empréstimo no banco B e prefere os investimentos do banco C? Sem problemas! A tecnologia permite que as APIs das instituições se conversem para o compartilhamento dos seus dados e histórico, agilizando as transações e trazendo uma competitividade de mercado nunca antes vista. Além de abrir espaço para futuros serviços de pagamento que integrem a tecnologia.
Até aqui, tudo certo, não é? Com certeza, o Open Banking tem um potencial positivo absurdo para o país, mas a verdade é que precisamos ter uma conversa séria sobre os desafios de Segurança do OpB (que não são poucos), antes de discutirmos sua implementação.
De onde veio o Open Banking?
O sistema já é realidade em diversos países ao redor do mundo, como Índia e Estados Unidos, sendo que cada um a aplica de acordo com suas regulações e cultura financeira. Mas as lições que precisamos nos atentar aqui vem da Europa, especialmente do Reino Unido. Como sentamos nos ombros de gigantes, precisamos aprender com seus passos - e com os seus tropeços.
Digo isso, pois a implementação do OpB na Europa foi, no mínimo, atribulada. Na terra do GDPR - regulamento de privacidade de dados que inspirou leis como a LGPD, onde privacidade é um assunto inerente à cultura do continente, o termo "Banco Aberto" (tradução aproximada de Open Banking, do inglês) assustou bastante. Não só isso, mas a Segurança do Open Banking sempre foi tratada como uma questão muito conceitual, como se precisasse ser entendida nas entrelinhas. Algo que não é nem de longe suficiente para a adoção de uma nova tecnologia como essa, com um nome desses.
Uma inovação com muitas ressalvas
Outro fator de resistência do público ao OpB é que ele abala a zona de conforto do já conhecido modelo de Home Banking. A mudança sempre assusta, mesmo uma que promete facilitar os processos. Depois de 3 anos do início do Open Banking na Europa, a taxa de adesão ainda era baixa (cerca de 10% da população), mas vem mostrando aumento mês a mês. E muitos dos clientes fazem questão de expressar as preocupações com Segurança e Privacidade. Em pesquisa da PwC, 55% das pessoas declaram ter medo de serem vítimas de fraude, e 54% dizem que preferem não compartilhar os dados por medo de tornarem-se alvo de ataques.
Lição 1: Simplicidade é tudo Uma das lições mais importantes que aprendemos com a implementação de um Open Banking na Europa é que políticas complicadas, como a PSD2, apenas engessam a adoção da tecnologia pelas instituições e clientes. O RTS (Regulatory Technical Standards), neste caso, é vago demais quanto aos padrões que devem ser obedecidos pela API para o compartilhamento seguro dos dados. Usei esse tecniquês todo para ilustrar que se você complica demais um processo, tentando reinventar a roda, vai acabar afastando as instituições e até mesmo incentivando os participantes a pegarem atalhos inseguros. E é assim que ocorrem as fraudes e ataques, arrastando a credibilidade da nova tecnologia para baixo.
Já no Reino Unido, nosso exemplo vencedor, a proposta foi de padronizar a API de forma clara e escalável, utilizando protocolos abertos como da consolidada OpenID Foundation. Com um foco claro em segurança e privacidade, especialmente para atender a GDPR, o OpB inglês conseguiu flexibilizar espaço para que qualquer Third Party Provider (TPP), seja financeiro ou não financeiro participe do ecossistema. E para garantir controles a eventuais abusos do ambiente, bastou então criar um mecanismo para Whitelisting dos TPPs participantes, com resolução de disputas rápidas e a eventual remoção de participantes em não conformidade. Ou seja, usando tecnologias abertas e com bom histórico de implementação, é possível acelerar o processo de adesão e preservar as premissas essenciais, por exemplo, a privacidade e segurança.
Lição 2: Segurança não pode ser só um conceito!
A falta de comunicação clara e objetiva das iniciativas de Segurança e Privacidade que regem o Open Banking é um dos principais motivos da lenta adesão. Mesmo sendo rigidamente controlado, regulamentado e introduzindo padronizações, o OpB como é hoje ainda tem muito a evoluir na sua comunicação com seus participantes. Segurança e Privacidade precisam ser tópicos prioritários em todo contato com o público e instituições. Recentemente, já vi até mesmo propagandas na televisão sobre o assunto - sem nem uma palavra sequer sobre como o OpB é seguro. Reforço aqui que o marketing não deveria agir sem a presença da Segurança como pauta, o tempo todo.
Lição 3: Segurança e Privacidade como padrão
É provável que você já tenha ouvido falar dos conceitos de Security and Privacy by design. Utilizados há algum tempo por outras indústrias, por exemplo a aeronáutica, eles pregam que a Segurança e a Privacidade são requisitos funcionais, precisando fazer parte do projeto desde o seu início, e não aparecerem de forma tardia, implementados de maneira reativa à medida que os incidentes e problemas aconteçam.
Para o Open Banking, esses conceitos são especialmente importantes no desenvolvimento dos aplicativos, plataformas e serviços, principalmente das APIs e dos sistemas de terceiros (TPPs). Assim, erros comuns de Segurança que vemos o tempo todo por aí, como os dados confidenciais de clientes em códigos, tokens ou acessíveis via URL, aplicativos TPPs que usam plugins de ads e data analytics de terceiros, ou mesmo APIs integradas com sistemas legados de maneira insegura, serão cada vez menos comuns.
Os desafios de Segurança do Open Banking após a implementação no Brasil
1. Um novo reino para o Phishing: Os criminosos e golpistas que tiram proveito do usuário, seja para cometer fraudes ou seja para roubar tanto dados quanto bens financeiros, terão um novo reino para atacar. Falsos formulários e aplicativos maliciosos, usando o nome do Open Banking para solicitar dados das vítimas e roubar seus consentimentos, são apenas algumas das preocupações.
As dicas de Segurança aqui são trabalhar incessantemente a cultura do usuário final, ensinando as boas práticas e alertando contra ameaças; Construir uma estratégia de "whitelisting" de TPPs seguros; Obedecer uma boa checklist de higiene das URLs (para certificados, domínios, etc).
2. Fintechs na mira, como elo mais fraco: Enquanto bancos são instituições bem estabelecidas com um longo histórico e resiliência em Segurança, as Fintechs ainda precisam provar seu valor e muitas ainda estão investindo em suas proteções pela primeira vez. A inexperiência e menor recurso financeiro para lidar com desastres levanta um alvo para atacantes. Cria-se uma situação atraente para um criminoso que prefira atacar a instituição mais fraca, como uma espécie de "man-in-the-middle". O amplo banco de dados e base legal de armazenamento é ainda outro chamariz.
Aqui a principal dica é reforçar o seu time de Segurança. Caso contratar pessoas não seja uma realidade, ou até mesmo se você não tiver um time de segurança, conte com soluções que automatizam a proteção da sua infraestrutura. Uma das recomendações é a Unxpose, que funciona como um braço adicional de segurança no seu time. A solução faz a descoberta contínua de ativos digitais, monitora vulnerabilidades no seu ambiente, faz uma priorização inteligente que leva em consideração o contexto do seu negócio, informa o potencial impacto das falhas encontradas e ainda ensina como fazer a correção com tutoriais simples - tudo de forma automatizada - salvando horas de trabalho manual na detecção de vulnerabilidades e mostrando onde você deve agir primeiro. Vale reforçar aqui também a necessidade de criptografia dos dados na nuvem para evitar vazamentos. Habilite e torne obrigatória a criptografia em trânsito (in transit) e em repouso (at rest) em discos e bancos de dados.
3. Ataques à API entrarão em ascensão: Afinal, a API é um atalho para o núcleo de processamento de dados. Uma vez que as APIs se tornarão públicas no Open Banking, seguindo um padrão aberto, as requisições automáticas serão um padrão (e não uma exceção). Os ataques de negação de serviço se tornarão ainda mais prejudiciais, podendo afetar o funcionamento das operações.
As dicas de Segurança que cabem aqui são trabalhar com camadas extras de Segurança para as aplicações (como um WAF); assegurar a implantação de um "rate control" e controlar o tráfego da API; e ter uma abordagem multi-premises (ou multi-cloud), para escalabilidade. Outra dica é passar a monitorar de forma contínua repositórios de código em busca de chaves de API que podem vazar durante os ciclos de desenvolvimento. Aqui a Unxpose também pode ajudar.
4. Aplicativos e plataformas sob estresse: Já que o Open Banking transforma os aplicativos e plataformas participantes em uma espécie de "extensão" do acesso ao Banco, aplicativos maléficos e fraudulentos serão uma nova aposta dos criminosos interessados no roubo de dados dos clientes. Já por outro lado, mesmo em aplicativos oficiais, ataques do tipo de força bruta ou credential stuffing estarão em alta contra os aplicativos e plataformas intermediárias entre o banco e o cliente, potencializando a exploração de suas vulnerabilidades.
Dicas de Segurança para esses casos é aplicar os conceitos previamente mencionados de Segurança e Privacidade como padrões, desde o início dos processos de desenvolvimento destes aplicativos e plataformas. Uma outra dica é garantir uma gestão muito bem controlada do consentimento dos clientes, com atenção à sua revogação.
Unxpose é uma solução de cibersegurança que monitora, identifica e corrige falhas de segurança e vazamento de dados de forma contínua e automatizada. Fique no controle dos seus ativos digitais e veja as portas de entradas que os atacantes veem na sua empresa antes que eles possam explorá-las.
Commentaires