As tentações inerentes ao sector bancário, e às instituições financeiras em geral, colocam-nas numa batalha eterna e cada vez mais tecnológica para se protegerem contra ameaças internas e externas. Têm também a responsabilidade de proteger os seus clientes e os seus dados contra o acesso não autorizado e, uma vez que as agências bancárias são essencialmente empresas, estão a procurar formas de melhorar a experiência do cliente de forma semelhante ao sector do retalho.
A resposta a todas estas preocupações exige uma abordagem altamente integrada que utilize as tecnologias de segurança mais avançadas em todos os domínios. Perguntámos à IDEMIA, à Cathexis Africa e à CA Southern Africa como é que as áreas de especialização das suas empresas estão a ser aproveitadas no sector financeiro.
“Nos últimos anos, temos assistido a uma mudança significativa entre as maiores instituições financeiras do mundo, em direção à tecnologia biométrica sem fricção, que é impulsionada por vários factores-chave”, comenta Nicolas Garcia, diretor regional de vendas da IDEMIA SA. Estes factores incluem a conformidade com as normas de segurança e as consequentes pressões de auditoria que aumentaram drasticamente em todo o mundo nos últimos anos (tanto para a segurança física como lógica). Este facto deve-se, em parte, ao grande número de violações/ataques de alto nível perpetrados por pessoas de dentro e de fora da empresa nos últimos cinco anos.
Além disso, as principais instituições financeiras do mundo estão a competir tanto pelos melhores clientes como pelos melhores empregados. Estão sempre à procura de formas de atrair os melhores talentos e são
centrando-se fortemente em locais de trabalho que sejam de alta tecnologia, seguros e atractivos para os trabalhadores. Além disso, a tecnologia de controlo de acesso é altamente visível para qualquer visitante que entre no átrio e desempenha um papel significativo no reforço da mensagem da seriedade com que o banco encara a segurança.
Identidade aumentada
No local de trabalho, a mesma tecnologia sem fricção estende-se regularmente ao controlo de assiduidade, pagamentos de cafetaria, acesso ao ginásio, estacionamento e outros serviços. Isto alimenta o conceito de “identidade aumentada” da IDEMIA, cujo ponto central é a ideia de que a utilização da nossa identidade deve ser não só um processo seguro, mas também natural e cómodo. Isto vai muito além do controlo de acesso tradicional e das aplicações de segurança, abrangendo outras áreas como o eKYC, os sistemas de votação, os programas de identificação civil, o controlo das fronteiras e a facilitação do transporte de passageiros, entre outras.
“As soluções de reconhecimento facial e de análise da IDEMIA proporcionam uma camada adicional de segurança concebida para complementar os pontos de acesso tradicionais, alargando o alcance da segurança muito para além das portas e barreiras físicas. Ao fundir a deteção e o rastreio de pessoas ou objectos com algoritmos precisos de reconhecimento facial, um poderoso sistema de alerta precoce e uma ferramenta de investigação proporcionam um ROI (retorno do investimento) muito mais elevado da infraestrutura de vigilância existente do cliente”, afirma Garcia. A tecnologia pode fornecer alertas com base em qualquer número de listas de observação para uma variedade de objectivos, desde a deteção de ladrões de bancos conhecidos até à identificação de clientes VIP.
A tecnologia biométrica da IDEMIA desempenha um papel fundamental para proporcionar uma melhor segurança tanto aos bancos como aos seus clientes. A biometria pode ser utilizada para verificar a identidade de um cliente aquando da abertura de uma conta bancária e/ou para detetar se esse mesmo cliente já existiu anteriormente no sistema com um nome diferente. Esta tecnologia biométrica está também integrada em ATMs e soluções de caixas de agências em todo o mundo para proporcionar uma autenticação segura dos clientes.
A IDEMIA também oferece um cartão bancário seguro com sensor de impressões digitais incorporado, conhecido como FCode. Isto permite que um cliente digitalize a sua impressão digital diretamente no seu cartão bancário para autorizar uma transação, em vez de depender de um PIN tradicional ou de uma assinatura.
“Mais bancos importantes e fornecedores de crédito estão agora a integrar a tecnologia biométrica da IDEMIA na experiência de pagamento”, afirma Garcia. “Os pagamentos seguros com recurso à biometria proporcionam uma combinação importante de maior comodidade e segurança ao mesmo tempo. As expectativas do cliente bancário típico de hoje são muito diferentes das de há 10 ou 20 anos.
“O cliente de hoje cresceu com um nível diferente de acessibilidade tecnológica e a maioria já se sente completamente à vontade para utilizar a biometria no seu telemóvel para uma grande variedade de casos de utilização de autenticação, incluindo pagamentos. O cliente de hoje espera que essa mesma capacidade se estenda para além do seu telefone e para o espaço de retalho, seja num centro comercial, num concerto ou numa estação de comboios.”
Utilizar a análise de vídeo
A Cathexis Technologies, especialista em software de gestão de vídeo (VMS), trabalha com várias entidades do sector financeiro. Embora o seu envolvimento se tenha estendido a instituições como a Bolsa de Valores de Londres, a maior componente são os bancos e as suas sucursais, de acordo com o diretor-geral da Cathexis Africa, Gus Brecher.
A integração é um fator importante no sector bancário, afirma Brecher: “Temos muitos clientes bancários e, nesse sector, fazemos muitas integrações com os seus sistemas de incêndio, painéis de alarme e controlo de acesso. Dependendo do banco, muitos deles gostam de ter uma central de controlo
Assim, têm um cenário híbrido em que têm gravações distribuídas no local, uma instalação de monitorização centralizada para alarmes e a capacidade de ver e armazenar vídeo fora do local, a pedido”.
Para além dos sistemas de controlo de acesso implementados nas áreas de back-office, Brecher diz que os bancos estão a utilizar cada vez mais a análise de vídeo. Uma forma de o utilizar é notificar o gerente de uma sucursal se alguém tiver entrado na área de serviço ao cliente e não tiver sido atendido num determinado período de tempo, para permitir que a sucursal melhore os seus níveis de serviço ao cliente. A contagem de pessoas também pode ser utilizada para obter mais informações sobre as idas e vindas das pessoas.
Os algoritmos analíticos que identificam os comportamentos de vadiagem são também utilizados no exterior dos bancos e nos caixas automáticos. “Também fizemos algumas integrações de ATM, em que os ATM autónomos têm pequenos dispositivos de gravação que podem ser correlacionados com as transacções ATM. No entanto, devido a questões de privacidade abordadas por leis como a PoPI (Protection of Personal Information) Act e a GDPR (General Data Protection Regulation), isto é normalmente limitado a detalhes como a hora e o tipo de uma transação, em vez de detalhes sobre a pessoa que efectua a transação”, diz Brecher.
A cibersegurança não deve ser ignorada
Quer o crime seja cometido com um pé de cabra ou com um computador, a motivação número um para um atacante é a ganância, salienta Gregory Dellas, pré-venda de segurança da CA Southern Africa. “É por esta razão que as instituições bancárias e financeiras enfrentam a ameaça mais persistente dos vários cibercriminosos do mundo. Embora os dados tenham valor e possam ser violados e vendidos, são os sistemas que gerem o verdadeiro objetivo do criminoso – o dinheiro – que constituem os melhores alvos”, afirma.
De acordo com o SABRIC, foram registados 16 296 incidentes entre janeiro de 2018 e agosto de 2018, com perdas que ascenderam a mais de 183 milhões de reais para o sector bancário. Trata-se de um aumento de 64,3% em
n o número de incidentes registados no mesmo período do ano anterior. Numa escala mais ampla, no Inquérito Global sobre Fraude e Criminalidade Económica da PwC de 2018, a África do Sul ficou em primeiro lugar a nível mundial no que diz respeito às empresas que sofreram alguma forma de criminalidade económica, com 77% de todas as organizações sul-africanas a serem afectadas.
Os maiores aumentos no sector foram observados nos seguros, no crédito ao consumo e no investimento a retalho. Um fator que contribui para esta tendência é o pressuposto de que as empresas estabelecidas são as que correm maior risco, quando, na realidade, as novas entidades, incluindo os serviços baseados na nuvem e os bancos digitais, são também muito visadas. As organizações jovens que procuram crescer rapidamente e construir a segurança mais tarde constituem a maioria destas violações comunicadas.
Consciência versus alerta
“A tomada de consciência destes factos é um passo importante para uma segurança forte, mas não é suficiente”, insiste Dellas. “O atacante está alerta, preparado e 100% concentrado na exploração de sistemas. O pessoal de uma empresa de serviços financeiros pode ter consciência da segurança, mas está a agir por rotina, está distraído e não prevê, por exemplo, uma chamada telefónica de engenharia social potencialmente fatídica.
“Este défice de alerta só pode ser ultrapassado com as ferramentas certas e uma estratégia de rede de segurança alargada. O banco DBS, sediado em Singapura, constitui um bom caso de estudo, em que uma plataforma de gestão automatizada de identidades e acessos da CA Technologies, recentemente implementada, reduziu o risco de fraude, aumentou a eficiência e melhorou a satisfação dos clientes.”
As camadas adicionais de defesa incluem ferramentas que gerem credenciais privilegiadas, que são o equivalente às chaves do cofre num banco físico. A autenticação inteligente baseada no risco pode colmatar a lacuna de alerta no caso de os atacantes obterem acesso aos sistemas ou à posse das credenciais dos funcionários; podem ser bloqueados com base em milhares de horas de perfis comportamentais.
“Muitas instituições financeiras estão a beneficiar da comparação com empresas semelhantes, como a DBS. Um bom fórum do sector que ajuda a lidar com o risco de cibersegurança é o Centro de Análise e Partilha de Informações sobre Serviços Financeiros (FS-ISAC). Realizam frequentemente exercícios de ciberespaço e publicam recomendações. Outra excelente iniciativa é o Financial Data Exchange, que procura criar uma norma comum para a partilha de dados no sector financeiro.
“Contactar colegas e parceiros familiarizados com a vanguarda da cibersegurança é um passo importante para aumentar a postura geral de segurança. Ao adicionar continuamente camadas adicionais de segurança, sejam elas ferramentas, processos ou iniciativas de colaboração, as melhores práticas acabarão por manter as instituições financeiras seguras e protegidas”, conclui Dellas.