O ataque hacker à C&M Software já entrou para a história como o maior roubo cibernético do Brasil, diante dos valores envolvidos – os diferentes relatos variam de R$ 400 milhões até R$ 3 bilhões – e demonstra que o fator humano segue como principal risco para as companhias.

Essa é a explicação para o que ocorreu na C&M, segundo apontam as investigações. Os hackers conseguiram acesso ao sistema da companhia graças a um funcionário, que foi preso pela polícia na noite de quinta-feira, 3 de julho. Segundo nota da Secretaria de Segurança Pública (SSP), o suspeito João Nazareno Roque foi cooptado pelos hackers, repassando senhas e outras informações.

Para especialistas ouvidos pelo NeoFeed, o caso mostrou uma falha no controle e uma necessidade das companhias, sejam as fintechs ou as prestadoras de serviço, fortalecerem seus mecanismos para impedir que uma pessoa possa deixar vulnerável todo um sistema com facilidade, como foi o caso com a C&M.

“O hacker, quando entrou [no sistema da C&M], sabia o caminho das pedras, sabia da arquitetura da informação, como ela flui, onde está a conta reserva, e se planejou”, diz Alberto Leite, fundador, sócio principal e presidente do Grupo FS. “Em operações críticas, o controle de acesso das pessoas não pode ser da forma como era, com uma simples credencial. O hacker entrou como usuário válido.”

O caso da C&M representa um crime, com o funcionário agindo de má fé, mas especialistas apontam que o fator humano pode ser um risco mesmo quando o colaborador não está em concluio com criminosos. Um estudo da EY destaca que 70% dos ataques bem-sucedidos envolvem roubo de credenciais válidas e golpes de phishing, decorrentes da falta de conhecimento sobre os riscos digitais, que podem ser resolvidos através de capacitação.

Ainda assim, as companhias precisam investir para fortalecer os controles e alertas, seja qual for o motivo que levou a um comprometimento da segurança.

No caso do Sistema Financeiro Nacional (SFN), mesmo que ele tenha um grau de maturidade elevado de cibersegurança, sobretudo no nível dos grandes bancos, as fragilidades e pontos cegos nos novos players podem resultar em graves prejuízos para a economia, considerando o tamanho que as fintechs atingiram, respondendo por 66% do mercado bancário, segundo o UBS BB.

“Quando olhamos o que aconteceu, é preciso voltar e rever toda a arquitetura de sistemas”, diz Leite. “Um volume de recursos como esse, transacionado numa noite, revela uma fragilidade de como se pensa cibersegurança e de processo, dos níveis de alarme que vão tocando e mostrando que é uma operação muito atípica.”

O caso demonstrou a importância e sensibilidade que os chamados Prestadores de Serviço de Tecnologia da Informação (PSTI) possuem no SFN, empresas que fornecem infraestrutura e, muitas vezes, mantêm o core bancário de instituições inteiras, como é o caso da C&M.

Essas companhias possibilitaram o avanço das fintechs e do open finance no Brasil, um mercado que se destaca em relação a outras partes do mundo. Mas essas empresas também se tornaram um ponto sensível do sistema, exigindo reforço dos controles e mecanismos de monitoramento de todos os players, uma vez que é o sistema inteiro que paga o preço.

“Em setores altamente regulados, como o financeiro, o PSTI pode ser classificado como terceiro crítico, o que significa que, do ponto de vista regulatório, a responsabilidade por falhas, vazamentos ou indisponibilidade não é só dele mas também de quem o contratou”, diz trecho do relatório da Apura Cyber Intelligence, empresa de segurança cibernética e inteligência de ameaças. “As obrigações de segurança, continuidade e conformidade precisam ser tratadas com o mesmo rigor que a operação interna.”

Segundo a consultoria, o episódio traz à tona a necessidade das empresas terem uma gestão de risco de sua cadeia de suprimentos, com controles rigorosos para mitigar os riscos introduzidos por parceiros e fornecedores de TI.

Apesar da necessidade de escolher bem fornecedores, ele destaca que o problema não está circunscrito a PSTIs. Leite lembra que os sistemas de empresas como BMP, que teve R$ 400 milhões roubados, também não reagiram a movimentações atípicas – os hackers optaram por fazer as transferências de fundos fora do horário comercial.

“Foi preciso que as corretoras de criptomoedas, fora do sistema, bloqueassem as transações, por conta do volume suspeito de transações”, diz Leite.

Na mesma linha, a Apura diz que é preciso investir na capacidade de detecção de comportamentos suspeitos, com a “implementação de tecnologias e processos para identificar e neutralizar rapidamente as ameaças que penetram o perímetro”.

Leite defende ainda uma discussão mais ampla sobre o assunto de cibersegurança, afirmando “passou da hora” do Brasil ter uma política sobre o assunto, considerando que infraestruturas críticas ao País estão no limbo quando o assunto é proteção, gerando insegurança.

“É preciso visitar esse ponto de forma estrutural no Brasil”, afirma. “É preciso uma política que diga quais são as responsabilidades das empresas, toda a cadeia de fornecedor ter CNPJ e representante no Brasil e definir o que é dado crítico, que precisam ficar em data centers brasileiros.”