Em um bunker, uma parede de telas monitora ataques virtuais – 267.322 nas últimas 24 horas, de acordo com um seletor, ou cerca de três ataques a cada segundo – enquanto uma dúzia de analistas analisam trechos de códigos de programação. Caminhando pela sala, supervisionando o fluxo das advertências, estava um ex-soldado da Delta Force que lutou no Iraque e no Afeganistão e agora luta contra outros inimigos: bandidos cibernéticos.
“Isso não é muito diferente de combater terroristas e cartéis de drogas. Fundamentalmente, as ameaças pelas redes operam de formas semelhantes”, disse Matt Nyman, criador do centro de comando, enquanto examinava seu esquadrão de funcionários da MasterCard.
O crime virtual é uma das indústrias mais lucrativas e de maior crescimento do mundo. Pelo menos US$ 445 bilhões foram perdidos no ano passado, um crescimento de cerca de 30% em comparação a três anos antes, de acordo com um estudo econômico global. E o Departamento do Tesouro recentemente classificou os ataques virtuais como um dos maiores riscos para o setor financeiro americano. Para os bancos e as empresas de pagamento, essa luta é vista como uma guerra – e, de fato, estão adotando um combate cada vez mais militarizado.
LEIA MAIS: Como criminosos virtuais lucram com o roubo e a venda de dados
Ex-espiões do governo em assuntos virtuais, soldados e oficiais agora dominam as principais equipes de segurança dos bancos. Eles trouxeram aos seus novos empregos as ferramentas e técnicas usadas na defesa nacional: exercícios de combate, centrais de inteligência modeladas com a experiência em trabalhos antiterrorista e analistas de ameaças que monitoram os cantos obscuros da internet.
Na MasterCard, Nyman supervisiona o novo centro de fusão da empresa, um termo emprestado do departamento da segurança interna. Após os atentados de 11 de setembro de 2001, a agência criou dezenas de centros de fusão para coordenar a coleta de informações em níveis federal, estadual e local. Tal abordagem se espalhou por todo o governo, com os centros usados para combater surtos de doenças, incêndios e tráfico sexual.
Então, os bancos começaram a utilizar esses métodos. Pelo menos uma dúzia deles, de gigantes como o Citigroup e o Wells Fargo até os regionais, como o Bank of the West, abriram centros de fusão nos últimos anos e um número ainda maior deles está em processo de construção. O Fifth Third Bank está construindo um em sua sede de Cincinnati, e a Visa, que criou o seu primeiro centro dois anos atrás na Virgínia, está desenvolvendo mais dois, no Reino Unido e em Singapura. De posse de suas próprias centrais de inteligência, os bancos esperam conseguir melhor detectar padrões em toda massa de dados que acumulam.
Os centros também têm um propósito simbólico. Ter literalmente uma sala de guerra reforça a nova realidade. Afastar ladrões sempre foi uma prioridade, é por isso que os bancos constroem cofres, mas a corrida armamentista aumenta rapidamente.
Para muitos líderes de empresas financeiras, a segurança cibernética se tornou seu maior medo, eclipsando questões como regulamentação e economia.
Alfred F. Kelly Jr., executivo-chefe da Visa, revelou aos investidores em uma conferência de março que está “completamente paranoico” em relação ao assunto. Brian T. Moynihan, do Bank of America, disse que sua equipe de segurança cibernética é “o único setor da empresa que não tem restrição orçamentária”.
OUÇA: PODCAST Nova Economia #002: Segurança de dados em ambientes corporativos
As forças militares aguçaram as habilidades dos soldados com táticas de combate em grande escala, como Jade Helm e Foal Eagle, que enviam suas tropas a campo para testar suas táticas e armamento. O setor financeiro criou sua própria versão: Quantum Dawn, uma simulação bienal de ataques virtuais catastróficos.
No último exercício, que ocorreu em novembro, 900 participantes de 50 bancos, agências reguladoras e agentes da lei, atuaram na resposta a uma infestação em escala industrial de malwares maliciosos que primeiro corromperam, e, em seguida, bloquearam totalmente todos os pagamentos dos bancos em andamento. Durante o teste de dois dias, os organizadores lançavam novas ameaças a cada poucas horas, como ataques de negação de serviço que faziam os sites dos bancos caírem.
O primeiro Quantum Dawn, de 2011, consistiu em uma reunião mais discreta. Participantes se reuniram em uma sala de conferências para falar sobre a simulação de um ataque que acabaria com a negociação de ações. Agora, é um exercício com simulação real. Cada banco gasta meses recriando sua tecnologia interna em uma rede de testes isolada para que seus funcionários possam lutar com suas ferramentas e softwares reais. A empresa que dirige seu campo de batalha virtual, a SimSpace, é uma contratada do Departamento de Defesa.
Às vezes, os testes expõem lacunas importantes
Uma série de pequenos exercícios cibernéticos coordenados pelo Departamento do Tesouro, que foi chamado de Hamilton Series, deixou muita gente alarmada três anos atrás. Um ataque à Sony, atribuído à Coreia do Norte, recentemente expôs e-mails e dados confidenciais da empresa, e derrubou enormes faixas da rede de internet da Sony.
Se algo similar acontecesse a um banco, especialmente um banco pequeno, os reguladores questionaram se haveria capacidade de recuperação. Quem estava na sala para o exercício foi embora inquieto.
“Houve um reconhecimento de que precisávamos adicionar uma camada extra de resistência”, disse John Carlson, chefe de equipe do Financial Services Information Sharing and Analysis Center, o principal grupo de coordenação de cibersegurança da indústria.
Logo depois, o grupo começou a construir um novo dispositivo de segurança, chamado Sheltered Harbor, que entrou em operação no ano passado. Se um membro da rede tiver seus dados comprometidos ou destruídos, outros poderão intervir para recuperar os registros arquivados e restaurar o acesso básico de contas de clientes no prazo de um ou dois dias. Seu uso ainda não foi necessário, mas quase 70 por cento das contas de depósito americanas são cobertas por ele.
Os maiores bancos executam dezenas de simulações internas próprias de ataques todo ano, para eliminar as vulnerabilidades e manter seus grupos de primeiros socorros afiados.
“É a mesma ideia de memória muscular”, disse Thomas J. Harrington, diretor de segurança da informação do Citigroup, que passou 28 anos no FBI.
O crescente interesse de seus clientes corporativos por jogos de guerra de cibersegurança inspirou a IBM a construir um estande digital em Cambridge, Massachusetts, onde encena vazamentos de dados de clientes para treinamento.
Em uma manhã recente, um banco fictício chamado Bane e Ox estava sendo atacado no simulador da IBM e duas dezenas de executivos reais provenientes de diferentes empresas financeiras se reuniram para defendê-lo. No cenário simulado, um invasor não identificado havia despejado seis milhões de registros de clientes no Pastebin, site usado frequentemente por hackers para publicar caches de dados roubados.
Na medida em que as horas foram passando, o ataque se agravou. Os dados perdidos incluíam registros financeiros e detalhes de identificação pessoal. Um dos clientes era Colin Powell, o ex-secretário de Estado. Os telefones na sala continuavam a tocar com chamadas de jornalistas, executivos irados e, por fim, reguladores, querendo detalhes sobre o que havia ocorrido.
Quando o grupo descobriu qual sistema de computadores tinha sido usado no vazamento, uma acalorada discussão eclodiu: deveriam cortar o acesso à rede imediatamente? Ou deveriam montar uma vigilância e monitorar outras transmissões?
Com a insistência de um veterano da Marinha que dirige o grupo de respostas a ataques cibernéticos em um grande banco de Nova York, o grupo permitiu que o sistema continuasse conectado.
“Esse é o tipo de decisão que você não quer tomar pela primeira vez durante um ataque real”, disse Bob Stasio, gerente de operações de simulação virtual da IBM e ex-chefe de operações do centro de assuntos virtuais da Agência Nacional de Segurança.
O que todos na indústria financeira têm medo é de uma repetição em uma escala ainda maior da violação de dados que atingiu a Equifax no ano passado.
Hackers roubaram informações pessoais, incluindo números de segurança social, de mais de 146 milhões pessoas. O ataque custou o emprego do executivo-chefe da empresa assim como de outros quatro gerentes importantes. Quem roubou os dados e o que foi feito com eles ainda não é de conhecimento público. O departamento de crédito gastou US$243 milhões até agora limpando toda a bagunça.
O trabalho de Nyman é se certificar de que nada do tipo ocorrerá na MasterCard. Andando pelo centro de fusão da empresa, ele descreve o trabalho da equipe usando gírias militares. Seu foco é no “left of boom”, disse ele, em referência aos momentos que antecedem a explosão de uma bomba. Pela detecção de vulnerabilidades e tentativas de hackeamento, os analistas almejam prevenir uma explosão do tipo da que ocorreu na Equifax.
Mas os ataques continuam chegando. Enquanto ele falava, registros de alguns pequenos ataques aos sistemas da MasterCard eram exibidos. O total até agora neste ano excede os 20 milhões.
Reforma tributária promete simplificar impostos, mas Congresso tem nós a desatar
Índia cresce mais que a China: será a nova locomotiva do mundo?
Lula quer resgatar velha Petrobras para tocar projetos de interesse do governo
O que esperar do futuro da Petrobras nas mãos da nova presidente; ouça o podcast