Embora a crescente adoção da tecnologia de segurança tenha permitido uma redução acentuada do volume de mão de obra necessária para a segurança das instituições bancárias e financeiras, parece que a escolha ideal seria uma combinação do melhor de ambos os domínios. A Hi-Tech Security Solutions conversa com especialistas do sector sobre a combinação de segurança, a cibercriminalidade e a investida da inteligência artificial (IA).
Franz Kersten, do fabricante de câmaras de vigilância, Panasonic, salienta que, anteriormente, os guardas de segurança patrulhavam habitualmente rotas definidas nas instalações dos clientes, identificando e alertando a administração para riscos ou ameaças. No entanto, este papel foi diminuído devido à instalação de câmaras de vigilância que permitem que um operador esteja numa sala a ver vários locais simultaneamente, sem necessidade de estar no terreno, a menos que um incidente o exija.
Uma vantagem adicional desta monitorização remota é que já não é necessário colocar guardas de grau C desarmados em áreas de alto risco onde a possibilidade de ataque é elevada. O destacamento de equipas de reação armadas só é ativado depois de todo o risco ter sido avaliado em câmara.
Franz Kersten
“De uma perspetiva prática, as câmaras eliminam quaisquer problemas de identificação situacional que possam ocorrer quando um guarda tem uma visão limitada ou danificada. Do ponto de vista financeiro, os clientes podem agora passar de um modelo de custos operacionais para um modelo de despesas de capital, estando todas as câmaras associadas a um SLA que define um plano de manutenção definido.”
O colega Gert Janzen acrescenta que o backend dos sistemas equipados com análise de vídeo e deteção facial está a registar uma melhoria acentuada e, por conseguinte, a dependência de mão de obra pode ser reduzida, uma vez que muitas das suas funções estão a ser substituídas por inteligência incorporada nos sistemas de segurança.
A integração continua a ser a chave
É preciso salientar que a tecnologia ou a mão de obra, isoladamente, nunca são a solução, diz Kersten. “Para que as medidas de segurança sejam sustentáveis, é necessário que trabalhem em sinergia. A migração para um sistema automático com a vigilância como uma ferramenta ativa e não apenas como um complemento passivo é altamente benéfica, mas estes benefícios têm de ser comunicados ao utilizador final.
“Os integradores de sistemas precisam de ser criativos quando aplicam soluções, uma vez que este não é um cenário de pintura por números. É importante investigar cuidadosa e metodicamente as necessidades do cliente e depois combiná-las com a tecnologia disponível, considerando as funcionalidades e a integração entre sistemas (vigilância, T&A e controlo de acessos).”
Ian Downie, da empresa de serviços de segurança geridos, Xone, diz que a tecnologia de segurança está a tornar-se mais inteligente, na medida em que os dispositivos podem informar os utilizadores quando as coisas estão a funcionar ou fora de serviço e podem também automatizar processos. Um exemplo que cita é a substituição do guarda de segurança na entrada de uma área restrita de alto risco por um procedimento de câmara de ar que requer verificação eletrónica e palavras-passe.
“A IoT permite que a tecnologia seja inteligente o suficiente para desempenhar as funções das pessoas, enquanto os sistemas eram anteriormente muito mais limitados. Como resultado, esta automação torna-se mais fiável e objetiva, uma vez que é fácil verificar se os processos estão a ser realizados de forma eficaz, reduzindo assim a dependência do elemento humano”, explica.
Ian Downie
É necessário criar um ambiente de comando e controlo centralizado, com dispositivos integrados e que permita o mínimo de mão de obra necessária para cumprir os processos exigidos. Os dispositivos integrados podem incluir controlo de acesso, gestão de visitantes, monitorização de áreas restritas, instalações de manuseamento de dinheiro, segurança do dinheiro e resposta a alarmes e notificações de emergência.
Integração de mão de obra e tecnologia
De acordo com Gus Brecher, da Cathexis, empresa que desenvolve sistemas de gestão de vídeo, é possível melhorar a eficácia ou a eficiência dos recursos humanos utilizados adicionando tecnologia à equação.
“No entanto, a redução de mão de obra não deve ser o fator determinante para a adição de tecnologia. Em última análise, o seu objetivo deve ser uma solução de segurança mais eficaz, com o mínimo de erros, a capacidade de extrair inteligência empresarial do sistema, se possível, e, quando há um incidente de segurança, a equipa de segurança deve ser capaz de reagir de forma eficiente e eficaz da maneira correcta. A solução pode resultar, e muitas vezes resulta, numa redução de mão de obra.”
Gus Brecher
A utilização da análise de vídeo permite acionar eventos de forma inteligente e iniciar respostas automáticas na sala de controlo, eliminando assim a dependência dos operadores para tomar decisões. Também é necessário considerar os benefícios que a tecnologia moderna pode trazer às organizações para além da segurança. Por exemplo, a contagem de pessoas numa sala de operações bancárias ou numa caixa multibanco pode alertar a administração para o facto de que, em certos dias ou em certas horas, pode ser necessário mais pessoal ou recursos para garantir a satisfação do cliente. Outro exemplo é a sinalização de clientes VIP através de sistemas de reconhecimento facial, em que o sistema alertará a administração para a presença do VIP no edifício e permitirá a prestação de melhores níveis de serviço.
A ameaça virtual
O cibercrime é uma ameaça real e global, sendo todos os dispositivos IoT uma potencial porta de entrada para áreas de alto risco ou sensíveis. Kersten sugere que, para além de uma firewall ou VPN com políticas de segurança em vigor, deve considerar a encriptação a dois níveis: SSL (fechada) ou proprietária, com a sua própria encriptação de dados; no segundo nível, uma solução end-to-end em parceria com um fornecedor de proteção de terminais reconhecido, utilizando certificados de segurança incorporados no seu hardware e software. Desta forma, elimina-se a oportunidade de os hackers acederem a portas ou interfaces de utilizador.
“A Panasonic utiliza dois níveis de encriptação de dados: o nosso próprio SSL, que é mais seguro do que o SSL aberto mais conhecido. O segundo nível é uma parceria entre a Panasonic e a Symantec. Esta parceria acrescenta uma camada adicional de encriptação e proteção de dados e aumenta a credibilidade da cibersegurança incorporada nas câmaras i-PRO da Panasonic”, afirma Kersten.
Downie adverte para o facto de existir uma quantidade significativa de legislação em matéria de cibersegurança, o que realça a necessidade de as organizações adoptarem as medidas preventivas necessárias para reduzir eficazmente o risco.
“É importante lembrar que existem regulamentos específicos sobre a privacidade da informação, como a Lei PoPI. Por conseguinte, as medidas têm de estar na vanguarda, respeitando simultaneamente a privacidade dos indivíduos. A implementação de um cofre centralizado de dados restritos, gerido por um responsável pelo controlo de dados, está a tornar-se mais relevante. Todos os funcionários devem ser educados para serem cautelosos na forma como lidam com o correio eletrónico, especialmente quando têm acesso a informações privilegiadas.”
Protocolos rigorosos em termos de palavras-passe de correio eletrónico, outras palavras-passe e quais as mensagens de correio eletrónico que podem e não podem ser acedidas, devem ser um dado adquirido. Do mesmo modo, as firewalls e o software antivírus devem ser mantidos e controlados de forma rigorosa.
Políticas e procedimentos
Brecher levanta uma questão interessante: Toda a tecnologia do mundo não serve de nada se não existirem procedimentos e processos de gestão da segurança adequados. Isto é particularmente relevante tanto para a segurança do acesso aos dados como para a segurança dos próprios dados. Aconselha a utilização de canais de comunicação encriptados e, ao arquivar dados, a utilização de chaves de encriptação. O Cathexis utiliza pessoalmente chaves RSA-1024 duplas para assinar dados e uma encriptação de bloqueio AES 128 opcional com palavras-passe geradas aleatoriamente. Além disso, as imagens de vídeo arquivadas só podem ser reproduzidas com o software proprietário Cathexis.
“É fundamental que os utilizadores finais tenham em conta a Lei PoPI e as suas implicações quando filmam pessoas e utilizam estes dados. Estamos agora a instituir um processo através do qual existe uma marca de água automática e uma sobreposição de imagens de vídeo com uma palavra-passe necessária para as visualizar, a fim de garantir que as imagens não são acidentalmente ou deliberadamente divulgadas no domínio público”, afirma Brecher.
Em suma, continua, os pontos fracos são os dispositivos periféricos, como as câmaras, com algumas das marcas menos conceituadas a fornecerem entradas de backdoor. Os comutadores de rede inteligentes, o controlo do acesso físico aos sistemas e a insistência nas palavras-passe contribuem para um ambiente cibernético mais seguro.
Obter os conhecimentos
Muito se tem falado sobre inteligência artificial (IA) e o ritmo de desenvolvimento da tecnologia é nada menos que espantoso. Kersten considera que, no entanto, ainda está na sua fase inicial. “Em última análise, muitas organizações querem que os seus sistemas aprendam e comecem a assumir as funções do operador humano através da aprendizagem profunda e da IA. A IA é atraente para muitos, uma vez que não tem características e idiossincrasias humanas, como a fadiga e a omissão de detalhes críticos, e é, portanto, considerada mais fiável e objetiva do que a sua contraparte humana.”
Salienta que a IA não se limita apenas aos sistemas de vigilância. Em vez disso, diversos sistemas começarão a partilhar informações entre si, com a IA a ser distribuída por muitos dispositivos. Janzen acrescenta que todos nós precisamos de prestar mais atenção aos grandes dados para nos ajudar a implementar soluções e a aumentar as funcionalidades das câmaras. O ideal, diz ele, é a consolidação de uma empresa de big data com uma empresa de segurança tradicional, para fornecer uma abordagem proactiva às soluções de segurança.
Downie afirma que, à medida que a IA se torna mais sofisticada, permite identificar rapidamente eventos que não são normais e permite a monitorização de um cenário que pode ser objeto de uma ação adequada. Como exemplos, cita o controlo de pessoas que entram em zonas restritas, comportamentos anormais ou não naturais, vadiagem e objectos deixados em locais restritos. “À medida que a aprendizagem profunda progride, as capacidades do sistema tornam-se mais refinadas e haverá uma redução relacionada com a mão de obra necessária. Vemos isto em certas fábricas de topo de gama, onde a robótica avançou a um ponto em que quase gere as operações da fábrica.”
Brecher considera que o termo “IA” está atualmente a ser utilizado em excesso, mas que é, no entanto, uma realidade. A IA está a ser utilizada para automatizar a recolha de informações, a fim de tomar decisões informadas sem necessidade de intervenção humana. Os algoritmos de aprendizagem estão, portanto, a ser apontados como a solução para estabelecer normas num ambiente e os sistemas podem gerar alarmes sobre o que é considerado anormal. No entanto, os humanos continuarão a ter de validar estes alarmes.
“A IA pode, por conseguinte, reduzir a dependência dos seres humanos na tomada de decisões, mas não irá, num futuro previsível, substituir a necessidade de mão de obra. Do ponto de vista operacional, podemos utilizar a IA para ver quais são as tendências prevalecentes, por exemplo, que há mais pessoas numa sala de operações bancárias ou num ambiente de retalho ao sábado e que, por isso, são necessários mais caixas ou seguranças nessa altura. A IA permitir-lhe-ia também descobrir incidentes mais rapidamente. Pode também utilizá-la para efetuar o pós-processamento de imagens de vídeo. O Cathexis utiliza três algoritmos de pesquisa avançados que processam os dados do método das câmaras para analisar o movimento. Este tipo de inteligência aumenta a eficácia e a eficiência do sistema e reduz o tempo necessário para procurar uma pessoa específica num vídeo”.
Proteger a sua identidade digital
Schalk Nolte, CEO da Entersekt, comenta os problemas de segurança que enfrentamos à medida que o sector financeiro abraça o mundo digital.
À medida que o nosso mundo se torna mais digitalizado, as informações que queremos manter privadas estão cada vez mais em risco e, no entanto, ninguém quer que essas informações sejam protegidas por medidas de segurança pesadas que não se adaptam ao nosso ritmo de vida. O cenário está agora preparado para a adoção em larga escala de tecnologia biométrica superconveniente, especialmente em dispositivos móveis.
Diferentes formas de segurança biométrica já começaram a ser utilizadas nos sectores da banca e dos pagamentos; entre elas contam-se o rosto, a impressão digital, a íris, a palma da mão, a veia e o voi.
Schalk Nolte
Todos os interessados na banca digital e na segurança têm acompanhado a rápida evolução da biometria e debatido a utilidade desta tecnologia na luta contra a cibercriminalidade. Não há dúvida de que a biometria desempenhará um papel importante na segurança dos serviços móveis, especialmente quando vista da perspetiva da conveniência para o utilizador.
No entanto, também é justo salientar que a biometria pode colocar as empresas e os seus clientes em risco se for utilizada como o único meio de identificação do utilizador e de autenticação de transacções.
Para proteger eficazmente as transacções de alto risco, os bancos e outros prestadores de serviços financeiros necessitam de uma forte camada de segurança de base. Um exemplo é a plataforma Transakt da Entersekt, onde a biometria pode ser adicionada através de um plug-in, para aumentar os níveis de risco ou melhorar a experiência do utilizador.
Ao contrário dos nomes de utilizador e das palavras-passe, que podemos alterar à vontade, existe apenas um conjunto de dados biométricos. Se isto cair nas mãos de piratas informáticos, não tem qualquer utilidade para efeitos de autenticação. O consenso entre os especialistas do sector, como a FIDO Alliance, é que devemos limitar a exposição dos nossos dados biométricos privados, não os partilhando. Em vez disso, deve mantê-lo fechado nos seus dispositivos pessoais.
Existe uma aplicação para isso (claro)
Recentemente, lançámos uma nova ferramenta de capacitação para o comércio digital, denominada Connekt. A ferramenta permite às instituições financeiras ativar novos serviços de pagamento móvel nas suas aplicações bancárias existentes de forma rápida e económica.
Funciona independentemente da tecnologia subjacente, do ponto final de pagamento ou da rede comercial envolvida. As redes de cartões, como a Visa e a Mastercard, desenvolveram novas tecnologias para permitir e proteger os consumidores em linha que efectuam pagamentos sem dinheiro.
Inovações como a tokenização, os pagamentos de aplicações para aplicações, o 3D Secure e as carteiras móveis – juntamente com tecnologias como o QR (scan to pay) e o NFC (tap to pay) – tornam esmagador o número de opções de pagamento que os bancos têm de considerar e a que têm de responder.
A principal vantagem da Connekt é que os utilizadores móveis do banco beneficiarão da mesma experiência de utilização para iniciar e autenticar transacções de comércio eletrónico que para as operações bancárias. Não é necessário que o consumidor descarregue uma profusão de aplicações de pagamentos móveis; pode aceder a todos os diferentes serviços através de um único ponto de confiança – a sua aplicação bancária de marca.
