O Millennium BCP, um dos maiores bancos portugueses, é a mais recente empresa no país a entrar para a lista de quem já foi alvo de um ataque informático este ano. Esta segunda-feira, os clientes do banco foram confrontados com a impossibilidade de aceder à aplicação e ao site. Se numa primeira fase o banco apelidou o caso como um “problema de comunicação”, algum tempo depois confirmou que tinha afinal sido alvo de um ataque informático.
Fonte oficial do BCP garantiu ao Observador que “não houve acesso a dados dos clientes”. Esta foi a única resposta a um conjunto de perguntas sobre este incidente de segurança, com o banco a remeter para as declarações já feitas à imprensa ao longo de segunda-feira sobre este incidente.
O que é que aconteceu?
Os primeiros relatos de constrangimentos nos acessos à aplicação e ao site partiram dos clientes do banco. Ao início da tarde de segunda-feira, quando se tentava aceder a algum destes canais, os clientes eram confrontados com mensagens de erro, que tornavam impossível o acesso às diversas funções.
Como acontece quando um serviço está “em baixo”, também os clientes do banco usaram o site DownDetector, plataforma onde é possível partilhar falhas registadas em redes sociais ou serviços de telecomunicações, para partilhar informações. Foi registado um pico de indicações de indisponibilidade de serviço ao início da tarde de segunda-feira, com as questões mais referidas a serem a indisponibilidade da aplicação.
O pico de relatos de dificuldades no acesso aos serviços do banco, no site DownDetector, esta segunda-feira.
Embora o BCP indique que os serviços foram normalizados, esta terça-feira ainda havia alguns relatos de dificuldades no acesso partilhados no site DownDetector, nomeadamente durante a manhã. Ainda assim, os registos foram em menor número do que na segunda-feira, com 25 relatos esta terça-feira, contra os 99 do dia anterior.
O site Downdetector esta terça-feira — já sem registo de problemas, mas com alguns relatos durante a manhã.
A partir do Downdetector, também foram notados alguns constrangimentos no acesso ao ActivoBank, o banco online que pertence ao grupo BCP, conforme notou o jornal Eco. Ainda assim, as notificações sobre o incidente foram em menor grau do que as registadas no caso do BCP.
Que informação partilhou o BCP?
As declarações do banco à imprensa foram feitas em duas fases. A primeira declaração prestada por fonte oficial do banco reconhecia a existência de constrangimentos no acesso, devido a “um problema” com “as comunicações”.
“Houve um problema no início da tarde com as comunicações que afetou o acesso ao site e à app do Millennium bcp. Já está diagnosticado e o serviço deve ser restabelecido dentro em breve”, foi a mensagem transmitida por fonte oficial.
Têm sido registadas dificuldades de acesso ao site e apps do Banco desde as 14h00 de hoje. Tomámos as medidas necessárias para mitigar os efeitos referidos e a generalidade dos Clientes já está a aceder sem dificuldades.
— Millennium bcp (@Millenniumbcp) October 3, 2022
Algum tempo depois, o banco confirmou que o incidente era mais do que um problema de comunicação. “A partir das 14h00 de hoje [segunda-feira] entidades mal intencionadas, a partir do exterior, estão a dirigir intensos e não legítimos pedidos ao site e às apps do banco, dificultando e pontualmente impedindo, dessa forma, o acesso dos clientes”, comunicou o BCP. “O banco tomou as medidas necessárias para mitigar os efeitos referidos e a generalidade dos clientes já está a aceder sem dificuldades”, era acrescentado nesta comunicação por parte de fonte oficial.
Por agora, ficam por saber quais foram as medidas adotadas pelo banco neste ataque, além das questões óbvias que surgem em incidentes de segurança – a autoria do ataque e qual a respetiva motivação.
Banco diz que “não houve acesso a dados dos clientes”
Uma vez que se trata de um banco, que tem um amplo leque de dados dos clientes, o tema do acesso indevido a dados levanta apreensão, principalmente depois dos ataques informáticos mais recentes. Fonte oficial do Millennium BCP disse ao Observador que “não houve acesso a dados dos clientes”.
Sem a existência de acesso indevido a dados, fica a pergunta sobre se nesta situação é feita ou não uma notificação sobre o incidente à entidade competente. Questionada sobre o tema, a Comissão Nacional de Proteção de Dados (CNPD), a entidade responsável pela proteção de dados em Portugal, aponta que os requisitos legais para uma notificação constam do artigo 33.º do Regulamento Geral de Proteção de Dados – onde é clara a menção a “violação de dados” para existir uma notificação sobre o incidente. “Compete ao BCP, como responsável pelo tratamento [de dados], analisar no caso concreto se a notificação é devida”, diz fonte da CNPD sobre o tema.
O Centro Nacional de Cibersegurança (CNCS) diz que foi “notificado na segunda-feira sobre o ataque que provocou instabilidade no acesso ao site do BCP, sendo que a situação se encontra controlada na medida em que a entidade conseguiu mitigar o incidente em causa.” Já sobre a possibilidade de o CNCS estar envolvido numa possível investigação, o centro explica que isso “não é da competência” desta entidade.
Até agora, não é possível perceber quantos clientes é que tiveram a vida dificultada por esta indisponibilidade de serviço na sequência do ataque. Mas, de acordo com os números partilhados pelo BCP, a base de clientes de mobile está em expansão. No relatório e contas do primeiro semestre, o BCP tinha, até ao final de junho, um total de 2,6 milhões de clientes ativos em Portugal. À semelhança dos restantes “players” do setor, também tem vindo a apostar fichas na expansão da base de clientes digitais – ou seja, que usam os canais digitais (aplicação e site) para aceder a serviços. Na apresentação de contas do primeiro semestre, o BCP não só sublinhou a expansão da base de clientes, como destacou o crescimento dos clientes mobile. Até junho, o banco dizia que estes já representavam “60% da base de clientes” e que “registaram no primeiro semestre um aumento de 631 mil clientes (dos quais 229 mil em Portugal)”.
O banco detalhou na altura que, só no primeiro semestre do ano, registou um “crescimento de 21% dos utilizadores do canal app”, explicando que este canal estava a “consolidar-se como plataforma central da relação bancária”, com os clientes da aplicação já a representar “80% do total de clientes digitais e, destes, cerca de 59% utilizam este canal em exclusivo”.
Existem pistas sobre o tipo de ataque?
Além da informação divulgada pelo BCP, não há muitos mais detalhes conhecidos sobre este ataque. Ainda assim, há uma pista sobre qual poderá ter sido o tipo de ataque de que o banco foi alvo, dada pela própria comunicação ao público. O ponto-chave é o recurso à expressão “entidades mal intencionadas, a partir do exterior, estão a dirigir intensos e não legítimos pedidos ao site e às apps do banco”, segunda informação divulgada por fonte do banco.
David Russo, co-fundador da empresa de cibersegurança CyberSec, reconhece que, “até termos mais informação”, muitas das considerações sobre incidentes informáticos são feitas “na base de suposição”. Ainda assim, sobre aquilo que veio a público neste ataque informático dirigido ao BCP, este poderá ter sido um ataque de negação de serviço – denial of service, DoS, em inglês.
O especialista recorre a um exemplo concreto para tentar explicar o que poderá ter acontecido neste episódio. “Temos um balde que precisamos de encher com água, mas há alguém que atira pedras ao mesmo tempo. Chega a um ponto em que está tão cheio de pedras que fica pesadíssimo e a água transborda.” Neste exemplo, a “água” é o acesso legítimo dos clientes e as “pedras” são os tais pedidos de “entidades mal intencionadas”. Ou seja, “se existe um conjunto de pedidos muito grande de várias origens que impede a utilização devida, além de um problema de negação de serviço, há também um problema de disponibilidade.”
David Russo diz que este tipo de ataques não é uma novidade no setor da banca, já que “é o segundo setor que mais sofre ataques DoS”. O responsável pela área tecnológica da CyberSec nota que este tipo de ataque é “também estratégico” no setor da banca, dada a importância desta área de atividade. “Ninguém vai gastar recursos tecnológicos para fazer um ataque sem objetivo”, lembra.
A banca “é um setor muito apetecível – a cada hora em que a aplicação de um banco não está disponível são menos transações feitas”, exemplifica. “Imagine quem tentava fazer uma transferência – se não existe esse serviço, não se faz e já causa transtorno. É uma questão de reputação na imagem da marca”, diz, e também um constrangimento na “relação com o cliente”.
Além de ser um setor “apetecível” aos olhos dos criminosos, que movimenta muito dinheiro, David Russo destaca que a banca é “um setor importantíssimo” para o país, que por isso é alvo de várias tentativas de ataque. “Os ataques de negação de serviço são frequentes, só que a maioria não tem efeitos”, nota este especialista. “Existem infraestruturas para proteção [na banca]”, além de terem de cumprir “requisitos de segurança rigorosos”.
No setor da banca, nota David Russo, as regras ditam que “os sistemas têm de ser analisados frequentemente, por vários tipos de entidades independentes para assegurar que há um grande grau de proteção e garantir que o risco seja menor”.
O possível ataque de negação de serviço do BCP mostra um tipo de ataque diferente, especialmente em comparação com a já extensa lista de entidades e empresas afetadas por ataques em Portugal este ano. O caso mais recente, datado do final de agosto, é o da companhia aérea TAP, onde existiu acesso indevido aos dados de 1,5 milhões de clientes. Daquilo que se sabe, a companhia terá sido alvo de um ataque de ransomware, em que a ideia passa por aceder aos dados e sistemas da empresa para mais tarde exigir um montante – um resgate – para devolver os dados.
Gastos do banco com informática cresceram 7,5% até junho
É assumido pelas empresas que enfrentar um ataque informático não é uma possibilidade, mas sim uma inevitabilidade. Aliás, em maio deste ano, durante uma conferência do Banco de Portugal a propósito de cibersegurança no setor financeiro, Maria José Campos, administradora do Millennium BCP, reconhecia que o risco informático é um dos temas que mais “tira o sono” aos gestores do setor.
É “uma inevitabilidade” que haja um grande ataque cibernético a bancos
“O que nos tira o sono hoje é, sem dúvida nenhuma, a cibersegurança, pelo poder totalmente destrutivo deste tipo de ataques”, disse a administradora na conferência. E ainda acrescentou que, não são incidentes que demoram muitos dias a preparar-se e a consumar-se, são “ataques que podem acontecer em dias ou horas“. Por ser “quase inevitável”, comentou a gestora, “a banca, para quem o investimento em cibersegurança não é novo, tem vindo a reforçar o investimento, com foco tanto na proteção e como na deteção” de problemas, bem como em mecanismos que possam facilitar a recuperação em caso de ataque.
Nas contas do primeiro semestre deste ano, o banco detalhou a fatia de custos dedicada à área de informática, onde estão também os gastos com cibersegurança. “(…) também se assistiu a um aumento dos custos associados a informática, nomeadamente à manutenção de hardware e software, decorrente do maior investimento por parte do banco em tecnologia e cibersegurança.” Integrados no segmento “outros gastos administrativos”, que totalizaram 163 milhões de euros, os custos com informática foram os segundos mais elevados no semestre, com um montante de 22 milhões de euros, 7,5% acima dos 21 milhões de há um ano.
Os investimentos em cibersegurança também constam dos investimentos no plano estratégico do banco para o período de 2021-2024. O BCP explicou neste plano que pretende “alargar a implantação da nova infraestrutura tecnológica, incluindo a atualização da plataforma cloud, utilizando componentes de IT [tecnologias de informação] modulares potenciadas pela plataforma de experiência digital e de novas soluções de cibersegurança, concebidas para desenvolver competências de topo em termos de agilidade e rapidez na colocação de soluções no mercado, com escalabilidade, resiliência e eficiência em custo”.
(Atualizado às 11:58 de 7 de outubro para incluir declarações do CNCS)
