00:00Um bilhão de reais roubado na maior invasão com movimentação de dinheiro já registrada via PIX.
00:09Essa semana deu o que falar.
00:12Criminosos desviaram mais de um bilhão de reais explorando uma brecha da empresa CM Software,
00:20uma terceirizada responsável por conectar bancos menores e fintechs ao sistema de pagamentos brasileiro, o SPB.
00:30Dentro do sistema dessa terceirizada, os criminosos tiveram acesso a diversas contas.
00:38O ataque não envolveu falhas nos servidores do Banco Central nem vulnerabilidades no protocolo do PIX.
00:47Em uma nota, a CM reconheceu ter sido alvo de uma ação criminosa em um ataque cibernético que envolveu justamente credenciais de clientes.
01:00Nós vamos conversar neste momento com Alberto Leite, CEO do Grupo FS e dono de uma das principais companhias brasileiras de cibersegurança.
01:11Alberto, um prazer recebê-lo aqui em nosso programa.
01:16É importante frisar, não houve falha nos servidores do Banco Central, mas o caso, eu acredito, que evidencia uma fragilidade estrutural no nosso, no ecossistema financeiro.
01:33E aí vai a minha pergunta para você que conhece o assunto, é como poucos no Brasil.
01:39Quais os riscos de segurança do sistema de finanças do país?
01:46Seja bem-vindo ao programa.
01:47Tudo bem, Bruno? Prazer estar aqui de volta.
01:51Eu lembro, mais ou menos há um ano atrás, você me fez uma pergunta numa entrevista no Show Business e perguntou,
01:57nós podemos nos sentir seguros? 100% seguros, aliás.
02:02E eu disse para ti, olha, 100% seguro em cibersegurança é uma grandeza que não ninguém consegue alcançar.
02:09Ou é improvável que alguém alcance.
02:11E essa falha mostra exatamente isso.
02:16Você não invadiu o sistema PIX.
02:19Os criminosos invadiram uma empresa que presta serviços a plataformas de e-mail de pagamento brasileiros,
02:27e entre os quais está o PIX, portanto.
02:30Amplamente usadas por bancos, médio porte, pequeno porte, fintechs, contas digitais,
02:37e alguns FIDICs também usam essas plataformas de bankers a servos.
02:43O sistema brasileiro, no geral, incluindo os servidores do PIX,
02:47eles são, tecnicamente falando, tem um nível de maturidade em cibersegurança elevado.
02:54A empresa mostrou, dado a esse fato, um nível de maturidade muito abaixo do esperado
03:03para um setor do porte do Brasil, com a quantidade de pessoas que usam o PIX diariamente,
03:10mostrou uma fragilidade à empresa.
03:12Seja ela com algum grau de negligência humano,
03:16grau de negligência na seleção dos seus fornecedores,
03:19nas construções de usões APIs,
03:21no controle de acesso e credenciais,
03:25é muito cedo para a gente falar.
03:26Mas esta empresa, integrada à plataforma, mostrou que melhoras nos sistemas devem ocorrer,
03:35revisão de todos os procedimentos e seleção de fornecedores devem ser revistas imediatamente.
03:42Acredito, inclusive, que o Banco Central irá providenciar novas portarias,
03:48novas determinações sobre esse aspecto.
03:51Até porque, se a gente hoje se dá com um problema como esse,
03:55a notícia boa é que o quanto o PIX fez inclusão financeira e bancária no Brasil.
04:02Então, muitas pessoas hoje estão utilizando,
04:04muitas pessoas fazem o seu dia a dia 100% através dessas plataformas.
04:09Alberto, falando desse caso específico,
04:12você falou do Banco Central,
04:14e eu gostaria da sua análise em relação à ação do Banco Central
04:19no momento em que se verificou uma invasão em uma empresa,
04:25esses criminosos viram uma vulnerabilidade nessa empresa terceirizada
04:31e invadiram e teve esse prejuízo bilionário.
04:37Qual foi o papel do Banco Central?
04:40E ele agiu rápido na sua avaliação?
04:43Poderia ter sido pior, por exemplo, se ele não tivesse agido de certa forma?
04:47Sim, poderia ter sido pior.
04:50Eu acho que eles foram diligentes no processo.
04:54Eu acho até que, no final, a transparência de informar o sistema
04:57também fez parte da diligência deles.
05:00Não só para acalmar as pessoas que o problema estava contornado,
05:03mas que havia acontecido de forma transparente,
05:06como também no processo de alarmar, tirar e desconectou a plataforma.
05:12Durante a segunda-feira, ele desconectou a plataforma.
05:15Por outro lado, volto a te dizer,
05:19há melhoras.
05:21Nós estamos olhando, dado o incidente,
05:25campos de melhoras tem para todo lado.
05:28Não acredito honestamente, Bruno,
05:30que esse ataque tenha acontecido somente na segunda-feira.
05:34A gente tem notícias de fintechs, notícias não confirmadas,
05:39nós temos notícias a serem confirmadas,
05:41que na sexta-feira algumas fintechs já acusavam
05:45saída no saldo das suas contas e reservas.
05:49A gente sabe até de casos, de novo, a ser confirmado,
05:53de volume de 18 milhões de reais na sexta-feira.
05:55No sábado, a gente tem notícias que a BNP já entendia
06:00que uma coisa totalmente atípica de alta gravidade
06:04já estaria acontecendo nos seus sistemas.
06:06Então, alguma melhora no processo de seleção de fornecedor,
06:12homologação das plataformas,
06:14atualização do sistema de segurança,
06:16vasculha na dark web de credenciais sendo vendidas,
06:20procedimento de escalation do problema,
06:23alarmes e sistema de antifraude,
06:27melhora no sistema de detecção,
06:29são todos os pontos a serem atacados.
06:31E acho, como eu comentei num programa quase um ano atrás contigo,
06:37o Brasil passou da época de ter sua política nacional de cibersegurança.
06:41Não andou nada, Alberto?
06:43Não andou praticamente na queria.
06:44Nesses 12 anos, eu lembro muito bem que você falou isso.
06:48Não avançou e acho que o mundo com a inteligência artificial
06:52ficou mais sofisticado.
06:54Então, é importantíssimo se colocar a pauta esse debate.
06:58Veja, já já, não diria que é improvável,
07:02diria que é muito provável
07:03aparecer nomes de empresas de cibersegurança
07:06que estavam fornecendo para a CM,
07:10dizendo que eram empresas estrangeiras,
07:13que falharam no processo, também falharam,
07:16e que essas empresas não têm representante no Brasil,
07:19não têm CNPJ no Brasil,
07:20e toda aquela confusão que a gente já sabe de
07:23se não tem como responsabilizar,
07:26como é que vai responsabilizar?
07:28Não diria, não ouvi nada ainda da empresa sobre isso,
07:33que tipo de plataforma ela usava,
07:34que fornecedor ela usava,
07:36quem são os subcontratados dela,
07:38quem são os softwares que ela utilizava por lá,
07:41mas provavelmente já já aparece,
07:43olha, isso é uma empresa de tal país,
07:45e essa empresa não tem representante legal,
07:48não é cidadão brasileiro,
07:50está atuando no Brasil só por meio digital,
07:53não tem CNPJ,
07:55e aí como é que processa,
07:56como é que apura danos,
07:58se não está sob a legislação brasileira,
08:00se o cidadão não é brasileiro,
08:01se não está no território brasileiro?
08:04Isso o Brasil passou da época de discutir
08:07um dado crítico,
08:08o que é dado crítico?
08:09Dinheiro, luz, saúde, imposto de renda,
08:14esses dados precisam necessariamente
08:16de um tratamento especial,
08:17isso tem que ser endereçado,
08:20não havia uma agência reguladora,
08:23tem que ser endereçado através de regulação,
08:25não pode ficar solto.
08:27Eu vou te falar mais ainda,
08:29as empresas de capital aberto no Brasil
08:31não são obrigadas a reportar
08:34a profundidade,
08:36a capilaridade,
08:37a intensidade de um ataque cibernético
08:40e nem o prejuízo,
08:41efetivamente,
08:42de invasões calculadas.
08:43Então ela pode ser atingida
08:44e não reportar?
08:46Ela pode dizer que teve um incidente cibernético,
08:47uma instabilidade do sistema
08:48que eu contornei em 24 horas.
08:50Por exemplo,
08:50poderia ser uma resposta padrão.
08:52Mas espera aí,
08:53quantas pessoas impactadas,
08:54que tipo de dado foi impactado,
08:55que tipo de fraude causou a empresa,
08:57por que causou,
08:58o que está se fazendo,
09:00deveria estar em legislação.
09:01Isso não poderia estar fora da legislação.
09:04O Alberto,
09:05muito,
09:06de uma maneira muito simples,
09:09e eu sei que você fala
09:10de uma maneira simples,
09:12eu gostaria que você explicasse
09:14para a nossa audiência,
09:17de certa forma,
09:18como foi possível um ataque desse,
09:21que é um ataque que já entra
09:23para a história da cibersegurança brasileira
09:26pelo volume de dinheiro
09:28que foi desviado.
09:29Dá para explicar de uma maneira simples
09:32para a nossa audiência
09:33como foi possível um ataque desse?
09:37Eu vou te explicar hipóteses
09:38porque a gente não sabe exatamente ainda
09:41para aguardar as investigações
09:42para a gente saber.
09:43Algumas hipóteses.
09:45A empresa foi explorada
09:47uma vulnerabilidade
09:48no software da empresa.
09:50Imagina que você tem lá um...
09:52Como todos nós temos,
09:53nós não logamos no celular,
09:54tem uma senha que a gente bota,
09:56coloca o rosto ali.
09:57Quando a gente faz uma transação no Pix,
09:59às vezes chega um SMS,
10:00um WhatsApp com uma segunda senha,
10:03isso chama credenciais,
10:04que é a autentica,
10:06o usuário é o sistema.
10:07Então, pode ter sido o software que falhou.
10:10O software tinha uma vulnerabilidade
10:11e o atacante descobriu essa vulnerabilidade
10:14e entrou.
10:15Como é que ele entrou?
10:16Ele criou, provável,
10:18um usuário dele mesmo.
10:20Então, ele criou, olha,
10:21o novo usuário, usuário fulano,
10:23login desse usuário tal,
10:24senha tal,
10:25e está aqui as credenciais dele.
10:27Ele burlou o sistema
10:29para criar uma credencial para ele mesmo.
10:30Isso é uma hipótese.
10:32Isso, se aconteceu,
10:35mostra que a empresa
10:36não estaria executando devidamente
10:38os testes de penetração,
10:40chamados PENTES.
10:41São testes que a gente contrata
10:43para terceiros tentarem entrar
10:45no nosso sistema.
10:46Uma outra possibilidade
10:47foi que essas credenciais
10:50estariam na Dark Web
10:51e foram vendidas.
10:53Foram encontradas por criminosos
10:54que viram, olha,
10:55aqui tem um login e senha.
10:57Pode ter sido uma negligência
10:59de algum funcionário
11:00que eventualmente
11:01deixou seus credenciais
11:04por engenharia social,
11:06se deixou filmar,
11:08foi hackeado no e-mail de casa,
11:11ou pode ser problema
11:12de dolo de conduta.
11:14Alguém lá foi lá e forneceu
11:16essas credenciais.
11:17São algumas...
11:19São hipóteses, são hipóteses.
11:21Mas isso tudo...
11:21O que a gente pode dizer, Bruno,
11:23é que, seja qualquer que for o ano,
11:27em qualquer uma das hipóteses,
11:29a empresa é totalmente responsável
11:32por isso.
11:33Não tem culpa do além aqui.
11:36Muito bem.
11:36Não é...
11:38E isso só mostra...
11:39Não tem acaso do destino.
11:40Não tem acaso do destino aqui, não.
11:41E isso só mostra a importância
11:44da cibersegurança
11:47para todas as pessoas,
11:49sobretudo as companhias
11:51no mundo todo.
11:52Então é, Alberto.
11:54Nós conversamos aqui no Business,
11:57esclarecendo esse caso aí
11:59que já entra para a história
12:00da cibersegurança brasileira
12:02com Alberto Leite,
12:05presidente do Grupo FS.
12:08Obrigado sempre pela presença, Alberto.
Comentários