A Think IT, empresa com foco em soluções de cibersegurança, serviços na nuvem, estudo de dados e serviços gerenciados, comenta as consequências, lições e melhores práticas em relação ao vazamento de dados pessoais vinculados a chaves PIX da fintech QI SCD S.A., relatado pelo Banco Medial nesta segunda-feira, 17 de março.
Nascente caso de mais um vazamento de dados sensíveis envolvendo o PIX trouxe à tona a relevância da segurança cibernética no envolvente do dedo. Mais de 25 milénio chaves PIX foram expostas, gerando preocupações futuras com os riscos de possíveis ataques de ransomware e golpes baseados em engenharia social. Segundo Marcos Pires, líder da Unidade de Negócios de Cybersecurity da Think IT, a situação não é novidade no mercado das fintechs, que, por sua natureza, enfrentam desafios únicos em relação à proteção de dados.
Pires comenta sobre os impactos do caso e diz também que tem havido uma banalização dos vazamentos de dados mesmo em seguida a implementação da Lei Universal de Proteção de Dados (LGPD). “Estamos observando que, passados quatro anos da LGPD, houve uma certa ‘normalização’ desses incidentes. No início, as empresas estavam muito preocupadas com o impacto na marca e com os danos à crédito do usuário. Hoje, a preocupação parece ter minguado, mas uma questão permanece: a maioria dos clientes não deixaram de usar os serviços dessas empresas, principalmente as fintechs”, diz o executivo.
De combinação com o perito, a maioria das fintechs estão em um estágio inicial de maturidade mais sensível e, em muitos casos, ainda lidam com lacunas em processos de segurança. “As fintechs estão em jacente desenvolvimento de novos produtos e serviços, mas muitas vezes não estão totalmente preparadas para o proporção de segurança necessário, principalmente quando o ponto é proteção de dados críticos.”
Um dos principais pontos levantados refere-se ao risco representado pela engenharia social, que pode se tornar um transe crescente quando dados vazados são usados para enganar usuários via golpes digitais. “No caso do vazamento das chaves PIX, o risco inesperado não é tão importante. No entanto, a exposição de dados completos, porquê nome, CPF, e-mail e informações bancárias, facilita o trabalho de cibercriminosos, que podem fabricar golpes muito estruturados para enganar as vítimas”, explica Pires.
Pires também ressalta que a responsabilidade pela proteção de dados é compartilhada entre as fintechs e os usuários. “É fundamental que as fintechs aumentem o nível de maturidade em cibersegurança, principalmente para prevenir ataques de engenharia social, que podem gerar perdas financeiras significativas. Aliás, é importante que os usuários estejam mais conscientes sobre os golpes e saibam porquê prevenir e se proteger.”
Outro vista evidenciado por ele foi a responsabilidade das fintechs em adotar práticas de segurança robustas desde o desenvolvimento do código de seus sistemas. “Segurança deve ser secção do processo desde o início, com validação contínua de boas práticas durante o desenvolvimento. As fintechs precisam integrar segurança, operação e desenvolvimento em um fluxo contínuo, garantindo que os sistemas estejam protegidos e monitorados em uma operação 24×7 contra falhas e vulnerabilidades”, afirma o executivo da Think IT.
Marcos Pires ainda reforçou a urgência de uma maior mediação das autoridades reguladoras, porquê o Banco Medial, que, mesmo se mostrando cada vez mais exigentes, precisam ser rigorosas quanto à validação da implementação de práticas de segurança cibernética. “As fintechs devem estar preparadas para a veras de um mercado mais regulado e exigente, principalmente quando lidam com dados sensíveis de seus clientes. É hora de vangloriar o nível de segurança e de maturidade deste segmento do mercado”, concluiu.
