Bancos que defendem seu direito à segurança estão perdendo o ponto sobre a confiança do consumidor
Banks defending their right to security are missing the point about consumer trust.
Com os números de mercado indicando que os ataques de cibersegurança estão aumentando em volume e sofisticação, não é surpreendente que as empresas busquem maneiras de proteger melhor seus ativos. Os bancos, em particular, querem moats maiores, pois têm mais a perder.
No entanto, defesas fortificadas inevitavelmente significam que os usuários legítimos terão que cavar mais fundo para ter acesso aos serviços. O resultado é um debate perene sobre encontrar o equilíbrio certo entre segurança e usabilidade.
Também: 4 maneiras de evitar clicar em links maliciosos que todos online devem conhecer
E parece que um banco em Singapura pode precisar abordar esse equilíbrio depois de introduzir uma função de segurança que deixou vários de seus clientes frustrados.
O OCBC lançou na semana passada um recurso que bloqueia o acesso aos seus serviços bancários digitais se aplicativos móveis que não foram baixados de lojas de aplicativos não oficiais, como a Google Play Store e a Huawei AppGallery, forem detectados no dispositivo do usuário.
- O TikTok está proibido em dispositivos de propriedade da cidade de ...
- Promotores têm as mensagens diretas e rascunhos do Twitter de Trump
- A LG revela sua primeira televisão sem fio, com uma deslumbrante te...
Alegando a necessidade de proteger os clientes contra malware, o banco disse que esse “aperfeiçoamento” permite que seu aplicativo identifique aplicativos errantes no dispositivo do cliente. O recurso de segurança também verifica as configurações de permissão dos aplicativos em relação ao que o banco considera apresentar riscos potenciais ou ser comumente usado por aplicativos com malware.
Também: Recursos de segurança de novo aplicativo bancário irritam clientes
Quando aplicativos que não atendem a ambos os critérios são detectados, os clientes não poderão fazer login em sua conta por meio do aplicativo móvel ou do site de banco online do OCBC até desinstalarem ou removerem os aplicativos “falsos”.
Esse alto nível de segurança parecia ótimo – até que as reclamações começaram a surgir. Os clientes se viram bloqueados, mesmo que os aplicativos sinalizados pelo novo recurso de segurança do banco realmente tivessem sido baixados de lojas de aplicativos oficiais. Esses aplicativos incluíam Microsoft Authenticator, LG ThinQ, CCleaner e Trend Micro. Mesmo aplicativos que foram liberados pelos próprios aplicativos antivírus móveis dos clientes foram considerados arriscados pelo recurso de segurança do OCBC.
Os clientes afetados disseram que a solução recomendada pelo banco de excluir e reinstalar os aplicativos específicos das lojas de aplicativos oficiais não funcionou.
Para a maioria dos casos, a resposta do OCBC foi padrão – o novo recurso de segurança faz parte dos esforços para combater fraudes e “proteger nossos clientes” de aplicativos maliciosos suspeitos. “Pedimos desculpas por qualquer inconveniente causado”, disse várias vezes aos clientes irritados em sua página do Facebook. “Pedimos sua paciência, pois esse recurso visa proteger os clientes de golpes de malware.”
Também: Os melhores serviços de VPN (e dicas para escolher o certo para você)
Essa situação parece ser um caso em que a segurança superou a usabilidade. Fiquei aliviado, depois de ler os relatos de clientes irritados do OCBC, por ter escolhido outro banco. Mas então o regulador da indústria, a Autoridade Monetária de Singapura (MAS), se manifestou em apoio ao recurso de segurança do banco.
“Medidas de segurança virão com algum grau de inconveniência adicional para os clientes, mas são necessárias para manter a segurança e a confiança na banca digital”, disse a MAS. “Juntamente com um público vigilante e discernidor, medidas de segurança robustas nos ajudarão a fortalecer nossa defesa contra golpes.”
Tendo em vista o papel de apoio do regulador, agora estou prevendo que os outros dois grandes bancos locais, incluindo o meu, seguirão o exemplo em um futuro muito próximo e lançarão um recurso de segurança semelhante.
Talvez o OCBC esteja cumprindo penitência por ter se destacado nos golpes de phishing do ano passado, ou talvez tenha perdido um jogo de pedra, papel, tesoura e tenha sido escolhido para ser o primeiro banco a lançar o recurso de segurança – e, portanto, teve que pagar o preço da ira dos clientes?
Também: Como proteger e garantir seu gerenciador de senhas
Seja qual for o caso, o lançamento confuso do OCBC deixa muito a desejar e levanta questões que toda a indústria, incluindo seu regulador, precisará abordar coletivamente.
Confiança do consumidor e responsabilidade compartilhada
Primeiro, vamos deixar uma coisa clara. Isso não é apenas uma questão de privacidade, mas de confiança do usuário. Quando as coisas não funcionam como deveriam, a confiança se desgasta.
Use apenas aplicativos de lojas de aplicativos oficiais e está tudo bem, os clientes do OCBC foram assegurados. Mas essa abordagem acabou sendo problemática.
Também: 8 hábitos de trabalhadores remotos altamente seguros
‘Ah, então as configurações de permissão do seu aplicativo são o problema’, os clientes foram informados. No entanto, o banco tem se mantido reservado sobre os detalhes dessas configurações de permissão, presumivelmente para que os bandidos não descubram como contornar essas restrições.
De forma mais geral, a falta de informações e transparência significa que os usuários ficam se perguntando o que exatamente há de errado com os aplicativos – aplicativos que eles baixaram de lojas oficiais e que foram desenvolvidos por empresas legítimas. Isso significa que empresas como Microsoft, LG e Trend Micro estão lançando aplicativos que contêm riscos de segurança, conforme considerado pelo OCBC?
E se esse não for o caso, isso significa que os aplicativos estão sendo identificados erroneamente por um ‘aperfeiçoamento’ de segurança de um grande banco? Um aperfeiçoamento de segurança que deveria ter sido rigorosamente verificado e testado antes de ser lançado ao público?
Quanto confiança, então, os consumidores devem depositar em um recurso de segurança que não consegue distinguir adequadamente entre aplicativos legítimos e aqueles que apresentam riscos reais?
Também: Esses especialistas estão correndo para proteger a IA contra hackers
Para piorar, os usuários estão sendo informados de que suas decisões sobre como desejam operar seus dispositivos são inválidas. Em outras palavras, esse aperfeiçoamento de segurança está implicando ‘remova seus aplicativos maliciosos ou você não pode usar os nossos’.
Então, quando as empresas sobrescrevem a decisão de um cliente sobre como eles desejam que seus dispositivos sejam protegidos, isso as torna totalmente responsáveis quando ocorre uma violação de segurança? Eu acredito que potencialmente deveria, já que o cliente tem pouca participação nos aplicativos, inclusive ferramentas antivírus, que eles podem ter em seus telefones se desejarem continuar acessando suas contas bancárias.
Recentemente, tive uma conversa semelhante com algumas pessoas do setor, durante a qual mencionei uma irritação pessoal em relação às permissões de aplicativos e à incapacidade ou falta de vontade das organizações de explicar por que precisam acessar recursos que são desnecessários para facilitar seus serviços.
Foi sugerido então que a falta de transparência pode ser amenizada pela garantia de que essas empresas, em seus próprios interesses, não desejariam desenvolver um aplicativo que colocasse seus clientes em risco, prejudicando assim sua própria reputação.
Eu argumentaria que essa postura não deveria isentar os clientes de assumirem a responsabilidade por sua própria postura de segurança.
Na verdade, o governo de Cingapura, talvez para o deleite das empresas, enfatizou repetidamente a necessidade de os consumidores assumirem a responsabilidade compartilhada na proteção de sua higiene cibernética.
“A luta contínua contra golpes requer uma abordagem de ecossistema, com todas as partes interessadas desempenhando seu papel na vigilância e proteção contra golpes”, disse o MAS. O órgão regulador está trabalhando em um quadro de responsabilidade que deixará claro os papéis e responsabilidades das instituições financeiras, empresas de telecomunicações e clientes na vigilância contra golpes online.
Também: 5 etapas fáceis para manter seu smartphone seguro contra hackers
Se os consumidores forem responsabilizados por sua higiene online, eles não deveriam ter o direito de tomar suas próprias decisões sobre como se proteger melhor?
E não deveria haver mais transparência e acesso a informações sobre como as organizações com as quais os consumidores transacionam estão protegendo seus serviços?
Pelo bem de seus clientes (e da minha sanidade), espero que os outros bancos que seguirão os passos do OCBC tenham tomado notas e estejam trabalhando para garantir que evitem um lançamento igualmente confuso.
Por exemplo, o OCBC poderia ter mitigado alguns dos problemas oferecendo aos clientes uma ‘lista branca’ pessoal na qual eles podem incluir aplicativos inicialmente marcados pelo recurso de segurança do banco? Esses aplicativos poderiam ser verificados e avaliados em relação às políticas de segurança e adicionados à lista branca somente após serem considerados seguros.
Os bancos poderiam estabelecer um limite, por exemplo, de três aplicativos na lista branca, para que os clientes se motivem a priorizar aplicativos que são absolutamente necessários e para que os bancos possam gerenciar os recursos necessários para facilitar essa abordagem. Eles também podem usar ferramentas de inteligência artificial para automatizar alguns processos e otimizar o ciclo de avaliação de aplicativos, além de manter um repositório de aplicativos aprovados, reduzindo ainda mais o esforço necessário para manter a lista branca.
E se eles ainda não estiverem fazendo isso, os bancos deveriam entrar em contato com os principais desenvolvedores de aplicativos, incluindo fornecedores de software antivírus, para saber como as configurações de permissão deles podem ou não passar na lista de verificação de segurança. Isso pressupõe que eles também optem por não divulgar os detalhes das permissões de aplicativos que consideram arriscadas.
Também: Pare de usar o código de acesso de 4 dígitos do seu iPhone em público. Faça isso em vez disso
Acima de tudo, a pergunta chave que todos os bancos vão querer se fazer é se estão preparados para assumir total responsabilidade no caso de uma violação de segurança, caso optem por substituir as escolhas de segurança de seus clientes.
