<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1498912473470739&amp;ev=PageView&amp;noscript=1">
  • Empresas fiscalizadas.
  • Trabalhe Conosco.
  • Imprensa.
  • Fale Conosco.
    Português Português (BR)
     English
     Espanhol
  • Página inicial
  • Informar
  • Regulação
  • Internacional

Radar

Consulta
202132ª edição
Enviar por e-mail Imprimir
Regulação Internacional

2021

32ª edição

FSB publica relatório visando ampliar convergência nos reportes de incidentes cibernéticos

OutrosTecnologia

Enfrentar as ameaças cibernéticas e seus danos representam desafio complexo e em constante evolução para as instituições financeiras. Segundo boletim divulgado pelo BIS em janeiro, o setor financeiro tem sido um dos mais atacados desde o início da pandemia – ficando atrás apenas do setor de saúde.

Com o aperfeiçoamento das técnicas e ampliação da superfície de ataque – promovida principalmente pela ampliação do trabalho remoto, os ataques do tipo ransomware continuam sendo relevantes nas estatísticas de cibersegurança. Em outubro, o Departamento do Tesouro americano revelou que cerca de US$ 600 milhões em transações efetuadas no primeiro semestre estão relacionados a supostos pagamentos de ransomware à cibercriminosos – o valor supera o total relatado em todo o ano de 2020.

Dada a crescente importância do tema nos últimos anos, diversos reguladores têm realizado esforços visando fortalecer a proteção ao sistema contra esses ataques. Em 2020, o Grupo de Coordenação Cibernética da FCA, no Reino Unido, reuniu quase 160 instituições de mercado com objetivo de compartilhar conhecimento e discutir boas práticas acerca das ameaças cibernéticas. A ação resultou em uma publicação com percepções valiosas sobre o tema, dentre as quais, estratégias para mitigação de ransomware, como: (i) manutenção e atualização de softwares, hardware e sistemas operacionais; (ii) implementação de procedimentos de backup e restauração, e; (iii) segmentação de redes para isolar sistemas e áreas críticas.

A troca de informações acerca dos incidentes cibernéticos entre instituições e reguladores, através de grupos de compartilhamento, é uma iniciativa de destaque no âmbito de cibersegurança e reguladores têm sido consoantes quanto a necessidade de superação de determinados obstáculos para que esta prática seja mais utilizada pelas instituições do mercado.  Em outubro deste ano, o FSB divulgou relatório com propósito de analisar as abordagens existentes frente a ocorrência de incidentes cibernéticos, bem como verificar a possibilidade de ampliação da convergência no reporte das informações. O documento, elaborado por meio de análise dos relatórios regulatórios enviados pelas instituições financeiras às autoridades, observou grande fragmentação entre os setores e jurisdições quanto à metodologia, prazos e forma de utilização das informações relativas aos incidentes, o que resulta em falta de uniformidade no recebimento dos dados por parte das autoridades. Dentre as principais divergências encontram-se:

  • Definição de incidente cibernético (o que é considerado um incidente cibernético);
  • Delimitações para relatar incidentes cibernéticos (definições de materialidade);
  • Prazos para relatar um incidente;
  • Como a informação do incidente é utilizada.

Dado o diagnóstico, o FSB identificou três maneiras para atingir a maior convergência nos reportes:

  1. Desenvolvimento de melhores práticas;
  2. Identificação dos tipos comuns de informações a serem compartilhadas;
  3. Criação de terminologias comuns para relatório de incidentes cibernéticos.

Segundo a entidade, a maior harmonização nos reportes promoveria a estabilidade financeira ao construir um entendimento comum entre as instituições, apoiar a supervisão eficaz do mercado e ao facilitar a coordenação e o compartilhamento de informações entre as autoridades de todos os setores e jurisdições. Foi anunciado que até o final do ano o FSB desenvolverá um cronograma detalhado para levar este trabalho adiante.

No Brasil, o compartilhamento de informações entre pares do mercado a respeito de incidentes cibernéticos é determinado pela Resolução 4.893 e pela ICVM 612 e, desde 2017, o tema integra a pauta do Grupo Consultivo de Cibersegurança da ANBIMA. Este ano, em conjunto com o Cert.br, a Associação promoveu uma rodada de treinamento para a utilização do MISP, plataforma de compartilhamento de informações que vem ganhando a adesão das principais instituições dos mercados financeiros e de capitais globais. O treinamento ocorreu em duas etapas - instalação e hardening, e configuração e utilização da plataforma - reunindo mais de 100 profissionais em cada um dos módulos.



Direto da Fonte