Pix'in savunması nasıl başarısız oldu ve Merkez Bankası için ders nedir?

Kayıplar hala hesaplanıyor, bir kişi tutuklandı , ancak tam olarak ne olduğu ve nasıl olduğu hala São Paulo Sivil Polisi ve Federal Polis (PF) tarafından araştırılıyor. Brezilya tarihinin en büyük hacker saldırısının geçerli erişim kimlik bilgilerini kullanması ve Pix de dahil olmak üzere Merkez Bankası sistemlerine küçük bankalar ve fintech'ler için erişim sağlayan bir teknoloji şirketi olan C&M'nin sistemlerine girmesinden üç gün sonra, ulusal finans sistemi hala şoktan kurtulmaya çalışıyor ve dolandırıcılığın boyutunu daha iyi anlamaya çalışıyor.

Zimmete para geçirme 1 milyar R$'ı aşabilir — etkilenen altı C&M müşterisinden biri olan dijital banka BMP, 541 milyon R$'lık hırsızlığı São Paulo polisine bildirdi. Başlangıçta para müşterileri etkilemedi ve Merkez Bankası'ndaki finansal kurumların rezerv hesaplarından geldi.

Her halükarda, Gazeta do Povo tarafından görüşülen uzmanlara göre, bu tür saldırıların tekrar yaşanmasını ve ulusal finans piyasası için sistemsel bir risk oluşturmasını önlemek için hem finansal kurumlar ve hizmet sağlayıcıları hem de bundan sonra Merkez Bankası tarafından alınabilecek ve alınması gereken pratik ve nispeten basit eylemler bulunmaktadır. Önlemlerin çoğu halihazırda mevcuttur ve büyük bankalarda ve şirketlerde destekçileri vardır, ancak zorunlu değildirler — dolayısıyla Merkez Bankası'nın bu düzenlemeleri sıkılaştırması ve daha fazla iç bariyer oluşturması sorumluluğu vardır.

"Görünüşe göre, bu şirketin müşterisi olan finansal kurumlardan geçerli kullanıcı adı ve parolaları elde etmek için bir aracı şirketten geçerli kullanıcı adı ve parolaları kullandılar ve ardından bu bilgileri Merkez Bankası'ndaki bu şirketlerin rezerv hesaplarına erişmek ve bunları taşımak için kullandılar," diyor genel olarak erişim kontrolleri konusunda uzmanlaşmış bir şirket olan IAM Brasil'de kimlik ve erişim uzmanı olan Micaella Ribeiro. Davanın büyük bir gizlilikle ele alındığını, bu nedenle ne olduğu hakkında ayrıntılı bilgi olmadığını vurguluyor.

Pix'i koruyan dijital ekosistemin, ulusal finans piyasası için sistemsel risklerden kaçınmak amacıyla güçlendirilmiş standartlara ihtiyacı var.

Uzmana göre Merkez Bankası'nın sistemleri güvenlidir. "Çoğu hacker saldırısı bir sisteme girmek için geçerli erişimi kullanır; geçerli kimlik bilgileri olmadan güvenliği basitçe kırıp girmek çok zordur" diyor.

“Şirketlerin bu sisteme katılmak için bir dizi güvenlik önlemi almasını gerektiren Merkez Bankası kararları var. Büyük bankalar bunun ötesine geçip gerekenden fazlasını uyguluyorlar, ancak gelecekte daha fazla sorun yaşamamak için bazı şeyleri daha iyi belirtmek gerekebilir.”

Uzman, tek bir kimlik bilgisi ve erişim parolasının bu kadar güçlü olamayacağını söylüyor

Saldırıdan sonra, sektörde çalışanlar halihazırda yürürlükte olan kuralları sıkılaştırmanın zamanının gelmiş olabileceğini anladılar. “Merkez Bankası'nın sistemlerine bağlanma kılavuzu oldukça kapsamlı ve güvenlik önlemlerine dair çok kapsamlı bir genel bakış sunuyor, ancak bazı çok önemli şeyler zorunlu olmaktan ziyade öneriler olarak listeleniyor,” diyor finans piyasasına odaklanan güvenlik ve dijital dolandırıcılık önleme konusunda uzmanlaşmış bir şirket olan Swarmy Tecnologia'nın yönetici direktörü Luiz Henrique Barbosa.

"Sorunun yaşandığı fintech ekosistemi, doğrudan Merkez Bankası sistemine bağlanan büyük bankalardan daha az katı düzenlemelere sahip. Bu arzu edilir bir durum çünkü sektörde gördüğümüz tüm inovasyon ve rekabeti mümkün kılan şey bu, ancak belirli ayarlamalara ihtiyaç duyulabilir," diyor Barbosa.

Birincisi, Merkez Bankası'nın her bir finans kuruluşunun gerçekliğine göre daha sıkı kurallar koyması ve hassas hesaplara (örneğin rezerv hesaplarına) ait transferlerin, kullanıcı adı ve erişim şifresinin sızdırılması durumunda daha güvenli olmasını sağlamak için, finans kuruluşu içinde ve bankalar ile Merkez Bankası arasında bağlantı görevi gören şirketlerde birden fazla erişim ve yetkilendirme katmanı oluşturulmasını zorunlu kılması olacaktır.

Barbosa, "Ayrıca , sistem aracı şirketine erişim için tek bir kimlik bilgisi ve parolanın, nihayetinde erişim bariyerleri ve alarmların olduğu bu kadar çok müşteri parasının hareketine erişebilecek kadar büyük bir güce nasıl sahip olabildiğini de merak ediyorum," diye soruyor.

Bu "soğan" şemasında, bankanın iç hesaplarındaki her erişim ve finansal hareket, bir üst seviyenin onayına tabidir ve varsa ilgililerin cep telefonlarına gerçek zamanlı bildirimler gönderilir; ayrıca, daha üst yöneticilerin izni olmaksızın her yönetim seviyesinin hareket ettirebileceği kaynaklara sınırlamalar koymak, ayrıca birden fazla erişim kimlik bilgisinin aynı anda katılımını gerektirmek veya hatta işlemleri yalnızca belirli fiziksel aygıtların kullanımı yoluyla yetkilendirmek ve böylece bir saldırı durumunda hasarı sınırlamak da mümkündür.

Dijital dünyada Brezilya'daki "Kağıt Para Soygunu"

İkinci olarak, Merkez Bankası sistemlerine erişim sağlayan aracı kurumlar ve paranın sahibi olan finansal kuruluşlar, finansal işlemlerle ilgili gerçek zamanlı izleme uyarıları oluşturmalı ve kurabilir; bu uyarılar, işlem anında hesaplarda olağan dışı bir durum olması halinde ilgili sektörleri ve profesyonelleri bilgilendirebilir; bu durum, işlem uygun seviyelerde doğrulanana kadar otomatik olarak bloke edilebilir.

Son olarak, Merkez Bankası, özel kurallar koyarak tüm bunlarda daha fazla titizlik talep etmesinin yanı sıra, örneğin geceleri (söz konusu saldırıda yapıldığı gibi) veya finansal kuruluşlar ve hizmet sağlayıcıları tarafından Merkez Bankası'na daha önce kaydedilen değerler, önceden yetkilendirilmiş hesaplar ve sürelerle uyuşmaması durumunda rezerv hesaplardan para çekilmesini de önleyebilir.

"Kısacası, her alanda iyileştirme için yer var ," diyor Micaella Ribeiro. "Bu dava, siber suçun burada kalacağını ve artık sadece küçük ölçekli çevrimiçi dolandırıcılıklarda şüphesiz bireylere saldırmadığını gösteriyor. Bu dava, Brezilya'daki 'Para Soygunu' gibi görünüyor, ancak sanal dünyada ve büyük bir uyarı ve ders bırakıyor," diyor Luiz Henrique Barbosa.