Fraudes Eletrônicas no Sistema Financeiro MEYLAN .pdf · combate a fraudes de TI Principais vulnerabilidades dos sistemas corporativos ... registro na SEC Subsidiárias de empresas

Fraudes Eletrônicas no Sistema Financeiro

7º. Congresso Febraban de Auditoria e Compliance

Outubro de 2006

2

Conteúdo

Panorama atual da segurança da informação e combate a fraudes de TIPrincipais vulnerabilidades dos sistemas corporativosDispositivos móveis redefinição do perímetro da rede corporativaOs desafios do combate a fraudes em aplicações WebConsiderações Finais

3

Panorama Atual da Segurança da Informação

A segurança da informação tem se tornado foco nas empresas principalmente devido aos seguintes motivadores:

Pressão ExternaPressão RegulamentarPressão Interna

4

Pressão Externa

Clientes / Fornecedores

Mídia

Órgãosreguladores

Funcionários

Controlador

Investidores potenciais

Avalistas financeiros

Acionistas minoritários

Analistas de mercado

Empresas/ Administração DF’s

5

Pressão Regulamentar

Empresas brasileiras cada vez mais afetadas pelas regulamentações locais e internacionais

Banco Central do BrasilCVMSECSarbanes-Oxley ActTurnbull (Inglaterra)KonTrag (Alemanha)Estudos em outros países

Empresas afetadas pela S-Ox:Empresas americanas com registro na SECSubsidiárias de empresas com registro na SECEmpresas de outras nacionalidades com cotação em bolsa de valores norte-americana

6

Pressão Interna

Os desafios do dia-a-dia que geram pressão interna sobre a área de TI e segurança:

Alta dependência de terceiros (disponibilidade)Recursos humanosInfra-estruturaAumento da carga gerencial

Aumento das vulnerabilidades (integridade e confidencialidade)Necessidade de aumento dos investimentos em controles de TIProvar a relação entre os investimentos em segurança e o benefício para o sucesso do negócioAumento das fraudes internas por meio de sistemas

7

Pressão Interna – Novos Canais

Responder em tempo às demandas de negócio sem comprometer a segurança

Demandas do negócio

Respostas às mudanças nos

negócios

Informação, conhecimento e inteligência do

negócio

Responsabilidades do negócio

Suporte de tecnologia

Desenvolvimento de soluções

Manutenção e gerenciamento de

mudanças

Fábrica de software

Serviços e suporte

Gerenciamento de fornecedores e terceiros

Responsabilidades de TI

Security Office

Definição das tecnologias de segurança

Uso de criptografia

Mecanismos de autenticação

Trilhas de auditoria

teste/homologação/produção

8

Pressão Interna – Combater Fraudes Internas

Motivadores das Fraudes Internas

Pressõesfinanceiras

Desafio

Atingirmetas

Oportunidade

Manipularpagamentos

ou bônus

Estilo de vida

Fraude por quê?

Encobrirerros

Asseguraremprego

9


-

Riscos de negócio

Riscos estruturais Riscos c

ulturai

s

Riscos pessoais

Perfil do Perfil do risco derisco defraudefraude

• Estilo autocrático• Desproporção de status

e personalidade• Comportamento incomum• Atos ilegais• Estilos de vida caros• Férias não gozadas• Staff de baixa educação/formação

• Estratégia de negócio deficiente

• Lucros acima da média do setor industrial

• Desproporção entre o crescimento e o desenvolvimento de sistemas

• Reputação deficiente• Problemas de liquidez

• Moral baixa• Alto “turnover” de staff• Remuneração ligada à perf.

• Estruturas complexas

• Filiais/subsidiárias distantes com baixa supervisão

• Resultados a qualquer custo

• Compromisso insatisfatório para controle

• Inexistência de um código de ética

• Obediência não questionável do staff

10


Elementos fundamentais para prevenir, desmotivar e detectar ações de fraude:

1. Criar e manter uma cultura de elevados padrões éticos e honestidade;

2. Avaliar os riscos de fraude e implementar os processos, procedimentos e controles necessários minimizar os riscos e reduzir a oportunidade para a fraude;

3. Desenvolver um processo de monitoramento adequado.

11

1- Criar e manter uma cultura de elevados padrões éticos e honestidade

É responsabilidade da organização criar uma cultura de elevados padrões éticos e comunicar claramente aos funcionários qual o comportamento e expectativas sobre cada um.

“Tone at the top” – Alta administração e gerências devem dar o exemploAmbiente de trabalho positivo e respeitosoProcesso transparente de contratação e promoçãoConfirmação – assinatura de código de condutaDisciplina – reação a incidentes ou suspeitas de fraudes

12

2- Avaliar os riscos de fraude e implementar controles preventivos e reativos

Toda fraude ocorre a partir da percepção da oportunidade de realizar o ato sem a possibilidade de sua identificação.A administração deve implementar e manter processos contínuos de:

Levantamento e classificação de riscos de fraude;Melhoria dos controles de combate a fraudes; eMonitoração das ações sobre os sistemas chaves.

13

3- Desenvolver um processo de monitoramento

Para que as companhias efetivamente prevenirem e combaterem as fraudes, devem implementar funções de acompanhamento:

Comitê de AuditoriaAuditoria InternaAuditores externos independentes

14

Pressão Interna – Combater Fraudes Internas - AçõesTecnologia

daInfor

mação

Acionamentodo Security

Office

ReuniãoEmergencial

do CIRT

Identificaçãoda causa e coleta de rastros

Aplicação do Plano de

Continuidadede Negócios

Avaliação das conseqüênciasfi nanceiras e

de imagem

Elaboração do Plano de Ação

Apresentaçãodo Relatório ao

Comitê de Segurança

Auditoria / Inspetoria

JurídicoRelaçõesPúblicas

RH

Parceiros de Segurança

Documentaçãoe ampliação da

base de conhecimento Security

Office

Colaboradores do CIRT

Suspeita de Incidente

Time de Respostaa Incidentes de TI

15

Pressão Interna – Combater Fraudes Internas - Ações

A investigação de incidentes de fraude eletrônica não se resume a executar ferramentas.Deve-se desenvolver metodologia para coleta e análise de informações com o apoio de softwares especializados.

Seleção e Captura dos

dados

“Limpeza” eorganização

dos dados

Seleção de Ferramentas

de busca

Desenvolvimentode modelos e

hipóteses

Interpretação,validação e

consolidação

Conclusõesparciais

16

Pressão Interna – Combater Fraudes Internas -Ações

A Seleção e Captura dos dados relevantes ao evento suspeito de fraude deve seguir procedimentos rígidos e utilização de ferramentas especializadas

Seleção e Captura dos

dados

Imagem dosdiscosdas

estações

Cópia doBackup dosE-mails noServidor

Cópia de dadosde dispositivos

móveis

Mail Server WWW Server

Base de dadospara busca e análise

de cenários

17


A análise dos dados capturados deve seguir passos pré-definidos e produzir documentação para sua reprodução:

Base de dadospara busca e análise

de cenários

Indexar o conteúdoAbrir arquivos compactadosApontar arquivos criptografadosApontar arquivos desconhecidosIndexar arquivos de email pessoaisIndexar arquivos de email no servidor

Busca por palavrasBusca por cenáriosBusca por pessoasBusca por gruposBusca por empresasBusca por transações

Preparação dos Dados Pesquisas

18


Ao final do processo, deve-se documentar as evidências levantadas, os envolvidos e o processo de obtenção dos dados que formam a evidência:

Mail Server

Base de dados

Imagem da estação

Cópia do backup

Busca por pessoasBusca por transaçõesBusca por pessoasBusca por transações

Indexar arquivos de:email pessoaisemail no servidor

19


Principais dificuldades enfrentadas pelos bancos:

Formação de uma equipe multidisciplinar (Mainframe, Windows, rede corporativa, rede wireless, etc)Compra e manutenção de softwares e equipamentos especializadosTreinamento periódico em processos, sistemas e ferramentas de investigaçãoGestão do conhecimento acumulado ao longo do tempo

Algumas soluções:Time misto: funcionários internos e terceiros especialistasUtilização de ferramentas específicas sob demanda

20


Elaboração de um programa de denúncias anônimas (Hotline de fraudes)

21

Pressão Interna – Combater Fraudes Internas –Ações – Hotline de Fraudes

Diferentes canais de comunicação podem ser utilizados por funcionários, clientes, acionistas para reportar fraudes, corrupção ou conduta inadequada:

Hotline: Número de telefone.

Hotfax: Número de fax. Complementa o serviço de telefone na medida quepermite o envio de documentos escritos, provas ou imagens de incidentes.

Hotmail: Endereço de email.

Hotpost: Endereço de caixa postal para correspondência.

Web reporting system: Sistema de denúncia por meio de página Web, assegurando a confidencialidade das informações e mantendo o denunciante anônimo.

22


Meio de Comunicação

Telephone Fax Correio E-Mail

Voz Documento Arquivo

Denunciante reporta o incidente

Grava e registra Registra Registra

Relatório + evidências CLIENTE

Inicia investigação (quando necessário) Avalia a criticidade

23


Discussões frequentes:

Implementar internamente ou contratar o serviço ?IndependênciaGarantir que os denunciantes não possam ser identificadosIntegridade das denúncias

Quem deve receber as denúncias na empresa ?

Como comunicar a existência do serviço para funcionários, clientes e terceiros ?

Como acompanhar a eficiência e eficácia do serviço ?

24

Conteúdo


25

Principais Vulnerabilidades nos SistemasCorporativos

Do ponto de vista de segurança, destacam-se como principais vulnerabilidades que afetam os sistemas:

Gerenciamento falho de usuáriosGestão inadequada de perfis de acessoInterfaces entre sistemas inseguras

26


Interfaces entre sistemas inseguras

Estudo de Caso: Fraude na folha de pagamento

Atualmente é muito comum a integração de sistemas distribuídospor meio da troca de arquivos no “formato texto” (ASCII);

Exporta arquivotexto

Importa arquivotexto

Sistema 1 Sistema 2

Arquivo é armazenado em um sistema de arquivosOu transportado em uma mídia

27


Estudo de Caso: Interfaces entre sistemas dependente de intervenção manual

Sistema de RH

Gera arquivo TXTFolha de Pagamento

Estação de acesso aoInternet Banking

Banco

http://en.wikipedia.org/wiki/Image:Floppy_disk_90mm.JPG

28


Estudo de Caso: Interfaces entre sistemas dependente de intervenção manual

Sistema de RH



Banco

Inclusão de novas contascom valores associados

Remoção deBenefícios de funcionários

afastados


29


Estudo de Caso: Interfaces entre sistemas permitindointervenção manual

Sistema de RH



Banco

Inclusão de novas contascom valores associados

Remoção deBenefícios de funcionários

afastados

Como os valores totais eram mantidos, a empresa não detectavaA fraude


30


Interface entre Sistemas

Interfaces Vulneráveis

Interfaces manuaisArquivos texto de fácil ediçãoArquivos armazenados em servidores sem controle de acessoSem campos de controle

Interfaces Seguras

Interfaces automatizadasTransferências on-lineControle de integridade na importaçãoProcesso de conciliaçãoControle de erros

31

Conteúdo


32

Dispositivos Portáteis

Redefinição do Perímetro da Rede Corporativa

33

Redefinição do Perímetro da Rede

Situação tradicional

Situação emergente

Diversas tecnologias atuando

simultaneamenteDinâmica

Notebooks, Tablets, Palms, Celulares

Específicos de cada equipamento e SO

Rede Corporativa

Estações

SoftwaresInstalados

Tecnologia única para cada segmento

Mapeada e estática

Padronizadas

Inventariados e controlados

34


Internet

Firewall

Rede Corporativa

Mail Server WWW ServerDMZ - Internet

Firewall

WWW Server

DMZ - Terceiros

Firewall

Controle IDS

SQL ServerRede deTerceiros

Security Office

Anti-VírusServer

Server Farm

OS 390 Oracle HP-UX Win2K Solaris

Firewall

Visão Tradicional

Manutenção remota

35


Desafios da segurança da rede corporativa:Disseminação do uso de Notebooks;Implantação de redes wireless;Utilização de Palms, celulares;Gravadores de CD-ROM e DVD;Dispositivos externos via porta USB:

Tokens de memória (Pen drive);Tokens wireless;

http://www1.la.dell.com/content/products/compare.aspx/value?c=br&l=pt&s=dhs

36


Como lidar com os novos equipamentos portáteis disponíveis no mercado ?

Proibir o seu uso ?

Normatizar e controlar ?

Como garantir a segurança dainformação transportada ouarmazenada ?

CDMA/GSM/GPRS

Infrared

Serial/USB

MemoryCards

802.11

Bluetooth

Câmera

Gravador

Web

E-mail

37


Rede Corporativa

Server Farm

Firewall

Internet

Gateway

Access Pointnão autorizado

http://www1.la.dell.com/content/products/compare.aspx/value?c=br&l=pt&s=dhs

38


Quais áreas detém informações sensíveis e não devem permitir a utilização de nenhum equipamento eletrônico ?

EngenhariaMarketing

Novos ProdutosCall Center

Diretoria AdministraçãoOperação

39

Conteúdo


40

Controles e Fraudes em Aplicações Web

Atualmente podemos dividir as aplicações Web em duas categorias:

InternosERP, aplicações específicas, etc.Autenticação de usuários baseada em usuário e senhaAbrangência limitada aos funcionários internosServidores e estações protegidos pela política de segurança corporativa

ExternosAplicações voltadas a clientes, fornecedores e parceiros externosGrande abrangência de utilizaçãoAmbiente de comunicação inseguro (Internet)

41


As aplicações Web voltadas a Internet despertam maior interesse sob a perspectiva de segurança

A maioria dos sistemas de comércio eletrônico operados por meio da Internet ainda são baseados em:

SSL (Secure Socket Layer) com autenticação apenas do servidorAutenticação do cliente com login/senha

Entre estes sistemas destacam-se:Internet BankingLojas VirtuaisAplicações Governamentais (e-Gov)Aplicações Médicas (resultados de exames laboratoriais)

42


Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos

Surgimento dasAplicações Web

Utilização de criptografiae certificação digital

(HTTPS)

Ataques de capturadores

de teclado

Utilização doTeclado Virtual

Incentivar o uso de:Anti-vírus

Personal FirewallAnti-trojan

Ataques de “DLL Hook”

43


Breve histórico dos principais ataques e correspondentes mecanismos de segurança desenvolvidos (cont.)

Ataques de sites

clonados

Confirmação doTitular da conta

Incorporação de novas

tecnologias nos portais

Digital BrandManagement

Verificação de servidores DNS dos provedores

de acesso a Internet

Rápida atuação com os

provedores de Backbonebrasileiros

Envio de e-mails falsificados,

requisitando dados pessoais

“Phishing”

44


O aprimoramento dos ataques de Phishing

45



Personalização da páginapelo próprio cliente

Utilização de assistentesvirtuais

46



Utilização de teclados virtuais

dinâmicos

Ataques de capturadores de

imagens (snapshots)

Ataques de intermediação

(Man in themiddle)

Teclados Virtuais com efeitos imã e desaparecimento

Ataques de memory dump

47



Criptografia naAplicação Web

“Autenticação” da localizaçãodo acesso e estação utilizada

FFIEC exige autenticaçãoMulti-factor

48



Implementação deCertificação Digital para:

Aplicações B2BInternet Banking Empresas

Desafio: certificação digitaldos clientes “Pessoa Física”

Autenticação da origemdo acesso do cliente

Desafio: autenticaçãodos clientes a partir de dispositivos

móveis (celular, palm, etc)

49


Em paralelo aos controles no nível das aplicações, os bancos estão mudando a forma de comunicação com os clientes:

Comunicação transparente e aberta sobre vulnerabilidadesUtilização de canais de comunicação de massa (TV, jornais, revistas)Distribuição de cartilhas de segurança e treinamentos on-line

A continuidade do desenvolvimento de aplicações Webfinanceiras na Internet depende da confiança dos usuários no canal.

O maior desafio atualmente é balancear o emprego dos recursos de segurança com a facilidade de utilização do sistema.

50

Considerações Finais

A prevenção às fraudes eletrônicas exige atualmente:O mapeamento detalhado dos processos de negócios e a respectiva infra-estrutura de TIA implementação de controles rígidos de:

Acesso e perfil de usuáriosInterfaces seguras entre sistemasRegistros de operações detalhadosSistemas de monitoramento de ações indevidas inteligentes e adaptáveis

O desenvolvimento de uma cultura corporativa de ética e honestidade, partindo da alta administraçãoO treinamento e conscientização e acompanhamento da postura dos funcionários

51

Considerações Finais (cont.)

A investigação de fraudes eletrônicas exige:A formação e capacitação de time multidisciplinar de auditoria de sistemasA aquisição e manutenção de ferramentas e equipamentos especializadosA elaboração de metodologias e normas para conduzir as investigações

Atualmente os bancos discutem quais competências devem estar internalizadas por motivos estratégicos e quais podem ser terceirizadas com empresas especializadas.

Um bom começo pode ser inserir terceiros à equipe de investigação existente com o objetivo de complementar com conhecimentos e ferramentas específicas.

52

Obrigado

Tel (0xx21) 3231-9415 / [email protected]

Risk Advisory Services

Frank Meylan

Tel (0xx11) [email protected]

Documents

Fraudes Eletrônicas no Sistema Financeiro MEYLAN .pdf · combate a fraudes de TI Principais vulnerabilidades dos sistemas corporativos ... registro na SEC Subsidiárias de empresas