Com os números do mercado indicando que os ataques de segurança cibernética estão aumentando em volume e sofisticação, não é de surpreender que as empresas busquem maneiras de proteger melhor seus ativos. Os bancos, em particular, querem fossos maiores, pois têm mais a perder.
No entanto, defesas fortificadas inevitavelmente significam que usuários legítimos terão que se aprofundar mais para obter acesso aos serviços. O resultado é um debate perene sobre como encontrar o equilíbrio certo entre segurança e usabilidade.
Também: 4 maneiras de evitar clicar em links maliciosos que todos online deveriam saber
E parece que um banco em Cingapura pode precisar lidar com esse saldo depois de introduzir uma função de segurança que deixou vários de seus clientes frustrados.
A OCBC lançou na semana passada um recurso que bloqueia o acesso a seus serviços bancários digitais se aplicativos móveis que não foram baixados de lojas de aplicativos não oficiais, como Google Play Store e Huawei AppGallery, forem detectados no dispositivo do usuário.
Citando a necessidade de proteger os clientes contra malware, o banco disse que esse “aprimoramento” permite que seu aplicativo identifique aplicativos errados no dispositivo do cliente. O recurso de segurança também verifica as configurações de permissão dos aplicativos em relação ao que o banco considera apresentar riscos potenciais ou que são comumente usados por aplicativos com malware.
Além disso: o novo recurso de segurança de aplicativos deste banco irrita os clientes
Quando aplicativos que não atendem a ambos os critérios são detectados, os clientes não poderão fazer login em suas contas por meio do aplicativo móvel da OCBC ou site de banco on-line até que desinstalem ou removam os aplicativos “não autorizados”.
Esse alto nível de segurança parecia ótimo – até que as reclamações começaram a aparecer. Os clientes se viram bloqueados, mesmo que os aplicativos sinalizados pelo novo recurso de segurança do banco tenham sido baixados das lojas de aplicativos oficiais. Esses aplicativos incluíam Microsoft Authenticator, LG ThinQ, CCleaner e Trend Micro. Mesmo os aplicativos que foram limpos pelos aplicativos móveis antivírus dos próprios clientes foram marcados como arriscados pelo recurso de segurança OCBC.
Os clientes afetados disseram que a solução recomendada pelo banco de excluir e reinstalar os aplicativos específicos das lojas de aplicativos oficiais não funcionou.
Para a maioria dos casos, a resposta da OCBC foi padrão – o novo recurso de segurança faz parte de um esforço para combater a fraude e “proteger nossos clientes” de aplicativos maliciosos suspeitos. “Pedimos desculpas por qualquer inconveniente causado”, disse várias vezes para clientes irados em sua página no Facebook. “Pedimos sua paciência, pois esse recurso visa proteger os clientes contra golpes de malware.”
Também: Os melhores serviços VPN (e dicas para escolher o certo para você)
Essa situação parece um caso em que a segurança superou a usabilidade. Fiquei aliviado, depois de ler as anedotas de clientes ofendidos da OCBC, por ter escolhido um banco com outra empresa. Mas então a Autoridade Monetária de Cingapura (MAS), reguladora do setor, se manifestou para expressar seu apoio ao recurso de segurança do banco.
“As medidas de segurança virão com alguma inconveniência adicional para os clientes, mas são necessárias para manter a segurança e a confiança no banco digital”, disse o MAS. “Juntamente com um público vigilante e perspicaz, medidas de segurança robustas nos ajudarão a fortalecer nossa defesa contra golpes”.
Tendo em vista o papel de líder de torcida do regulador, agora estou antecipando que os dois principais bancos locais restantes, incluindo o meu, seguirão o exemplo em algum momento no futuro muito próximo e lançarão um “aprimoramento” de segurança semelhante.
Talvez a OCBC esteja cumprindo pena por ocupar o centro das atenções nos golpes de phishing do ano passado, ou talvez tenha perdido um jogo de pedra, papel e tesoura e tenha sido escolhido para ser o primeiro banco a lançar o recurso de segurança – e, portanto, teve que suportar o peso da ira do cliente?
Também: Como proteger e proteger seu gerenciador de senhas
Seja qual for o caso, o lançamento confuso da OCBC deixa muito a desejar e levanta questões que todo o setor, incluindo seu regulador, precisará abordar coletivamente.
Confiança do consumidor e responsabilidade compartilhada
Primeiro, vamos esclarecer uma coisa. Isso não é simplesmente uma questão de privacidade, mas de confiança do usuário. Quando as coisas não funcionam como deveriam, a confiança vai se desgastar.
Use apenas aplicativos de lojas de aplicativos oficiais e você é bom, os clientes OCBC foram garantidos. Mas essa abordagem acabou sendo problemática.
Também: 8 hábitos de trabalhadores remotos altamente seguros
‘Ah, então as configurações de permissão do seu aplicativo são o problema’, disseram aos clientes. No entanto, o banco permaneceu discreto sobre os detalhes de quais são essas configurações de permissão, presumivelmente para que os bandidos não sejam avisados sobre como contornar esses sinalizadores.
De forma mais geral, a falta de informação e transparência significa que os usuários ficam se perguntando o que exatamente há de tão errado com os aplicativos – aplicativos que eles baixaram de lojas oficiais e que foram criados por empresas legítimas. Isso significa que empresas como Microsoft, LG e Trend Micro estão lançando aplicativos que contêm riscos de segurança, conforme considerado pela OCBC?
E se esse não for o caso, isso significa que os aplicativos estão sendo identificados erroneamente pelo ‘aprimoramento’ de segurança de um grande banco? Um aprimoramento de segurança que deveria ter sido rigorosamente verificado, testado e verificado novamente antes de ser divulgado ao público?
Quanta confiança, portanto, os consumidores devem depositar em um recurso de segurança que não consegue distinguir adequadamente entre aplicativos legítimos e aqueles que apresentam riscos reais?
Também: Esses especialistas estão correndo para proteger a IA de hackers
Para completar, os usuários estão sendo informados de que suas decisões sobre como desejam operar seus dispositivos são inválidas. Em outras palavras, esse aprimoramento de segurança implica ‘remova seus aplicativos maliciosos ou não poderá usar os nossos’.
Então, quando as empresas substituem a decisão de um cliente sobre como eles querem que seus dispositivos sejam protegidos, isso os torna totalmente responsáveis quando ocorre uma violação? Acredito que potencialmente deveria, já que o cliente tem pouca influência nos aplicativos, incluindo ferramentas antivírus, que pode ter em seu telefone se desejar continuar acessando sua conta bancária.
Recentemente, tive uma conversa semelhante com algumas pessoas do setor, durante a qual mencionei uma irritação pessoal em relação às permissões de aplicativos e à incapacidade ou falta de vontade das organizações de explicar por que precisam de acesso a recursos desnecessários para facilitar seus serviços.
Foi então sugerido para mim que a falta de transparência poderia ser atenuada pela garantia de que essas empresas, em seus próprios interesses, não gostariam de desenvolver um aplicativo que colocasse seus clientes em risco e, portanto, prejudicasse a reputação de sua própria marca.
Eu diria que essa postura não deveria isentar os clientes de assumir a responsabilidade por sua própria postura de segurança.
Na verdade, o governo de Cingapura, talvez para o deleite das empresas, enfatizou repetidamente a necessidade de os consumidores assumirem responsabilidade compartilhada na proteção de sua higiene cibernética.
“A luta contínua contra golpes requer uma abordagem de ecossistema, com todas as partes interessadas desempenhando seu papel em permanecer vigilantes e se proteger contra golpes”, disse o MAS. O regulador é trabalhando em uma estrutura de responsabilidade que ele diz que deixará claro os papéis e responsabilidades das instituições financeiras, empresas de telecomunicações e clientes para estarem vigilantes contra golpes online.
Também: 5 etapas fáceis para manter seu smartphone protegido contra hackers
Se os consumidores são obrigados a assumir a responsabilidade e responsabilidade por sua higiene online, eles não deveriam ter o direito de tomar suas próprias decisões sobre a melhor forma de se protegerem?
E não deveria haver mais transparência e acesso a informações sobre como as organizações com as quais os consumidores fazem transações estão garantindo seus serviços?
Para o bem de seus clientes (e da minha sanidade), espero que os outros bancos que seguirão os passos do OCBC estejam fazendo anotações e trabalhando para garantir que evitem um lançamento igualmente confuso.
Por exemplo, a OCBC poderia ter atenuado alguns dos problemas oferecendo aos clientes uma ‘lista de permissões’ pessoal na qual eles podem incluir aplicativos inicialmente sinalizados pelo recurso de segurança do banco? Esses aplicativos podem ser verificados e avaliados em relação às políticas de segurança e adicionados à lista de permissões somente depois de terem sido confirmados como seguros.
Os bancos podem colocar um limite de, digamos, três aplicativos na lista de permissões, para que os clientes sejam motivados a priorizar aplicativos absolutamente necessários e os bancos possam gerenciar os recursos necessários para facilitar essa abordagem. Eles também podem usar ferramentas de inteligência artificial para automatizar alguns processos e otimizar o ciclo de avaliação de aplicativos, além de manter um repositório de aprovados, reduzindo ainda mais o esforço necessário para manter a lista branca.
E se ainda não o estão fazendo, os bancos devem entrar em contato com os principais desenvolvedores de aplicativos, incluindo fornecedores de software antivírus, sobre como suas configurações de permissão podem ou não passar em sua lista de verificação de segurança. Isso pressupõe que eles também optam por não divulgar detalhes específicos por trás das permissões de aplicativos que consideram arriscados.
Também: Pare de usar a senha de 4 dígitos do iPhone em público. Faça isso em vez disso
Acima de tudo, a pergunta-chave que todos os bancos devem fazer é se estão preparados para assumir total responsabilidade no caso de uma violação de segurança, caso optem por substituir as opções de segurança de seus clientes.
source – www.zdnet.com
