Radar

EUA e União Europeia intensificam ações em cibersegurança

OutrosTecnologia

Em 2022, as ameaças cibernéticas continuarão a testar a resiliência operacional das instituições financeiras. O tema, que nos últimos dois anos tem suscitado atenção dos reguladores por conta da ampliação do trabalho remoto, ganhou ainda mais evidência com os recentes acontecimentos entre Rússia e Ucrânia – que inauguraram o espaço cibernético como novo campo de batalha. Circunstâncias como esta, somadas ao nível global de conectividade entre instituições de mercado, podem fazer com que um único incidente cibernético cause danos a todo o ecossistema. Sendo assim, iniciativas isoladas, sem coordenação entre instituições e/ou reguladores, podem se revelar pouco eficazes no enfretamento das ameaças virtuais.

Tendo em vista a alta dependência da integridade, confidencialidade e disponibilidade dos dados que mantém as atividades dos mercados financeiro e de capitais, em janeiro/22, o ESRB – European Systemic Risk Board, convocou as ESAs – Autoridades Europeias de Supervisão (ESMA, EBA e EIOPA), a se prepararem para o desenvolvimento gradual de um Framework de Coordenação de Incidentes Cibernéticos Pan-Europeu (EU-SCICF). O objetivo do projeto é apoiar respostas eficazes e coordenadas no nível da União Europeia no caso de incidentes cibernéticos transfronteiriços relevantes que possam impactar de forma sistêmica o setor financeiro do bloco.

Nos Estados Unidos, a SEC – regulador de valores mobiliários do país, se manifestou em março/22, por meio de uma consulta ao mercado, acerca de regras sobre o gerenciamento dos riscos cibernéticos. A proposição visa o fortalecimento da segurança e aprimoramento da resiliência dos investments advisers e gestoras de recursos do país contra as ameaças virtuais. De maneira geral, a proposta envolve:

Adoção e implementação, por parte dos investments advisers e gestoras de recursos, de políticas e procedimentos projetados para lidar com os riscos cibernéticos operacionais que possam prejudicar a instituição ou os investidores – tais como o uso ou acesso não autorizado de informações pessoais;

• Relatos à Comissão, mediante um novo formulário confidencial, de incidentes cibernéticos relevantes que afetem o investment adviser, a gestora ou os investidores – essas informações reforçariam a eficiência e eficácia dos esforços da SEC para proteger os investidores, ajudando a monitorar e avaliar os efeitos dos incidentes cibernéticos e os riscos sistêmicos ao mercado;

• Divulgação pública, por parte dos investments advisers e gestoras, aos atuais e potenciais investidores, dos riscos cibernéticos e incidentes relevantes ocorrido nos últimos dois anos;

• Novos requisitos de manutenção de registros para melhorar a disponibilidade de informações relacionadas à cibersegurança.

Iniciativas conjuntas buscam nivelar conhecimento e padronizar procedimentos – aspectos importantes no enfrentamento das ameaças virtuais e que já foram objeto de destaque em relatório do FSB em 2021 (ver Radar #32). Mas, além da formação de infraestrutura comum e audiência das partes interessadas, existem outras maneiras de atuação em conjunto no tema. Nos Estados Unidos, a SIFMA – associação que representa localmente mais de 500 participantes dos mercados financeiro e de capitais, promove desde 2011 exercícios de cibersegurança entre as instituições do setor. Em março/22, a organização publicou o resumo das recomendações, com base na 6ª edição do teste, que ocorreu no final de 2021 e contou com mais de 1000 profissionais de 240 instituições. Entre as principais recomendações, foi destacada a importância dos mecanismos de compartilhamento de informações de incidentes cibernéticos entre entidades – o que reforça a importância do trabalho coletivo neste aspecto.

No Brasil, o BCB incorporou o Programa de Aprimoramento da Resiliência Cibernética (Parc) à Agenda BC#. Segundo um dos relatórios de estabilidade financeira publicado ano passado pela entidade, torna-se cada vez mais importante fomentar a interação entre instituições e coordenar ações de forma a mitigar os riscos e assegurar que todas as organizações aprimorem seus controles.

Na ANBIMA, segurança cibernética compõe o planejamento estratégico da Associação em 2022. A agenda, conduzida pelo Grupo Consultivo de Cibersegurança, conta com iniciativas que visam fortalecer as boas práticas entre as instituições dos mercados financeiro e de capitais. Entre elas, orientações a respeito do compartilhamento de informações de incidentes cibernéticos entre pares do mercado e atualização das recomendações de cibersegurança nos códigos de autorregulação aplicáveis.

Direto da Fonte

• Relatório de Estabilidade Financeira - BCB
• SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
• Financial Sector’s Global Cybersecurity Readiness Exercised by Quantum Dawn VI
• ESRB recommends establishing a systemic cyber incident coordination framework
• ESAs welcome ESRB Recommendation on a pan-European systemic cyber incident coordination framework for relevant authorities