⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Autor: Eirik Salmi, analista de sistemas da Passwork
Quando um agente de ameaça entra na sua rede usando um nome de usuário e uma senha legítimos, qual controle o impede?
Para a maioria das instituições financeiras, a resposta honesta é: nada pega imediatamente. O invasor parece um usuário autorizado. Eles se movem lateralmente, escalam privilégios e mapeiam sistemas críticos por uma média de 186 dias antes mesmo de a violação ser identificada — e mais 55 dias para contê-la — de acordo com o Relatório de Custo de uma Violação de Dados (2025) da IBM.
A essa altura, o dano operacional está feito e o relógio regulatório já começou.
Em 17 de janeiro de 2025, a Lei de Resiliência Operacional Digital (DORA) entrou em vigor em toda a UE. O artigo 9.º do regulamento torna a segurança das credenciais um controlo vinculativo do risco financeiro, com consequências de supervisão para as instituições que não cumpram.
A questão não é mais se a sua postura de autenticação atende às melhores práticas. É se cumpre a lei – e se você pode prová-lo.
Este artigo traça os requisitos específicos do Artigo 9 que regem o gerenciamento de credenciais, explica por que uma senha comprometida é uma falha de resiliência operacional no âmbito da estrutura da DORA e descreve os controles práticos que preenchem a lacuna.
A ameaça que a DORA foi construída para combater
Credenciais roubadas são o maior vetor de acesso inicial em 2025, respondendo por 22% de todas as violações de dados, de acordo com o Relatório de Investigações de Violações de Dados da Verizon. Para as instituições financeiras, o custo específico do setor dessa exposição é em média de 5,56 milhões de dólares por incidente, de acordo com o Relatório de Custo de uma Violação de Dados da IBM – abaixo dos 6,08 milhões de dólares em 2024, mas ainda assim o segundo mais alto de qualquer indústria a nível mundial.
O lado da oferta do roubo de credenciais foi totalmente industrializado. Os Initial Access Brokers vendem acesso verificado à rede corporativa por uma média de US$ 2.700, com 71% das listagens incluindo credenciais privilegiadas – acesso pré-empacotado que não requer nenhuma habilidade técnica para ser explorado, de acordo com a pesquisa da Rapid7.
Infostealers como Lumma, RisePro, StealC, Vidar e RedLine automatizam a coleta de credenciais em grande escala. Os dados do IBM X-Force mostram que a entrega por meio de phishing aumentou 84% ano a ano em 2024, com dados de 2025 apontando para uma trajetória ainda mais acentuada.
O Artigo 9 da DORA existe justamente para interromper esta cadeia. O regulamento reflecte uma ameaça documentada e contínua à continuidade operacional dos mercados financeiros europeus.
Mantenha suas credenciais prontas para DORA com Passwork
O Artigo 9 da DORA exige autenticação forte, acesso com privilégios mínimos e controles documentados.
O Passwork oferece todos os três: auto-hospedado, com certificação ISO 27001 e registros de auditoria completos que sua equipe de conformidade pode exportar sob demanda.
Experimente o Passwork gratuitamente
O que o artigo 9.º da DORA realmente exige
O artigo 9.º da DORA — intitulado "Proteção e Prevenção" — insere-se no quadro de gestão dos riscos das TIC determinado pelo artigo 6.º. Estabelece obrigações técnicas e processuais específicas que as entidades financeiras devem implementar.
Duas disposições são diretamente relevantes para o gerenciamento de credenciais.
O Artigo 9(4)(c) exige que as entidades financeiras "implementem políticas que limitem o acesso físico ou lógico aos activos de informação e aos activos de TIC ao que é necessário apenas para funções e actividades legítimas e aprovadas". Este é o princípio do menor privilégio, declarado como uma obrigação legal.
O Artigo 9(4)(d) vai além, exigindo que as entidades "implementem políticas e protocolos para mecanismos de autenticação fortes, baseados em padrões relevantes e sistemas de controle dedicados, e medidas de proteção de chaves criptográficas pelas quais os dados são criptografados com base nos resultados de classificação de dados aprovada e processos de avaliação de risco de TIC".
Descompactando essa linguagem em termos operacionais: a MFA é obrigatória. A referência a “padrões relevantes” aponta diretamente para FIDO2/WebAuthn – o padrão de autenticação mais amplamente implantado atualmente resistente aos kits de phishing Adversary-in-the-Middle (AiTM), que pode ignorar SMS e MFA baseado em TOTP em tempo real. O gerenciamento de chaves criptográficas é um requisito regulatório.
As ferramentas de gestão de acesso privilegiado (PAM) não são mencionadas explicitamente no regulamento – mas os controlos que proporcionam correspondem diretamente aos requisitos do Artigo 9.º. A gravação de sessões, o provisionamento de acesso just-in-time (JIT) e o armazenamento de credenciais privilegiadas são precisamente os “sistemas de controle dedicados” que o regulamento descreve.
As instituições que não implementaram estes controlos enfrentam uma lacuna de conformidade que os supervisores podem resolver.
A Autoridade Bancária Europeia (EBA) e as Normas Técnicas de Regulamentação da ESMA no âmbito da DORA fornecem especificidade adicional sobre os requisitos de gestão de risco de TIC, reforçando a linha de base do Artigo 9 com orientações de implementação específicas do setor.
Comprometimento de credenciais como uma falha de resiliência operacional
O propósito declarado de DORA
Quando um agente de ameaça entra na sua rede usando um nome de usuário e uma senha legítimos, qual controle o impede?
Para a maioria das instituições financeiras, a resposta honesta é: nada pega imediatamente. O invasor parece um usuário autorizado. Eles se movem lateralmente, escalam privilégios e mapeiam sistemas críticos por uma média de 186 dias antes mesmo de a violação ser identificada — e mais 55 dias para contê-la — de acordo com o Relatório de Custo de uma Violação de Dados (2025) da IBM.
A essa altura, o dano operacional está feito e o relógio regulatório já começou.
Em 17 de janeiro de 2025, a Lei de Resiliência Operacional Digital (DORA) entrou em vigor em toda a UE. O artigo 9.º do regulamento torna a segurança das credenciais um controlo vinculativo do risco financeiro, com consequências de supervisão para as instituições que não cumpram.
A questão não é mais se a sua postura de autenticação atende às melhores práticas. É se cumpre a lei – e se você pode prová-lo.
Este artigo traça os requisitos específicos do Artigo 9 que regem o gerenciamento de credenciais, explica por que uma senha comprometida é uma falha de resiliência operacional no âmbito da estrutura da DORA e descreve os controles práticos que preenchem a lacuna.
A ameaça que a DORA foi construída para combater
Credenciais roubadas são o maior vetor de acesso inicial em 2025, respondendo por 22% de todas as violações de dados, de acordo com o Relatório de Investigações de Violações de Dados da Verizon. Para as instituições financeiras, o custo específico do setor dessa exposição é em média de 5,56 milhões de dólares por incidente, de acordo com o Relatório de Custo de uma Violação de Dados da IBM – abaixo dos 6,08 milhões de dólares em 2024, mas ainda assim o segundo mais alto de qualquer indústria a nível mundial.
O lado da oferta do roubo de credenciais foi totalmente industrializado. Os Initial Access Brokers vendem acesso verificado à rede corporativa por uma média de US$ 2.700, com 71% das listagens incluindo credenciais privilegiadas – acesso pré-empacotado que não requer nenhuma habilidade técnica para ser explorado, de acordo com a pesquisa da Rapid7.
Infostealers como Lumma, RisePro, StealC, Vidar e RedLine automatizam a coleta de credenciais em grande escala. Os dados do IBM X-Force mostram que a entrega por meio de phishing aumentou 84% ano a ano em 2024, com dados de 2025 apontando para uma trajetória ainda mais acentuada.
O Artigo 9 da DORA existe justamente para interromper esta cadeia. O regulamento reflecte uma ameaça documentada e contínua à continuidade operacional dos mercados financeiros europeus.
Mantenha suas credenciais prontas para DORA com Passwork
O Artigo 9 da DORA exige autenticação forte, acesso com privilégios mínimos e controles documentados.
O Passwork oferece todos os três: auto-hospedado, com certificação ISO 27001 e registros de auditoria completos que sua equipe de conformidade pode exportar sob demanda.
Experimente o Passwork gratuitamente
O que o artigo 9.º da DORA realmente exige
O artigo 9.º da DORA — intitulado "Proteção e Prevenção" — insere-se no quadro de gestão dos riscos das TIC determinado pelo artigo 6.º. Estabelece obrigações técnicas e processuais específicas que as entidades financeiras devem implementar.
Duas disposições são diretamente relevantes para o gerenciamento de credenciais.
O Artigo 9(4)(c) exige que as entidades financeiras "implementem políticas que limitem o acesso físico ou lógico aos activos de informação e aos activos de TIC ao que é necessário apenas para funções e actividades legítimas e aprovadas". Este é o princípio do menor privilégio, declarado como uma obrigação legal.
O Artigo 9(4)(d) vai além, exigindo que as entidades "implementem políticas e protocolos para mecanismos de autenticação fortes, baseados em padrões relevantes e sistemas de controle dedicados, e medidas de proteção de chaves criptográficas pelas quais os dados são criptografados com base nos resultados de classificação de dados aprovada e processos de avaliação de risco de TIC".
Descompactando essa linguagem em termos operacionais: a MFA é obrigatória. A referência a “padrões relevantes” aponta diretamente para FIDO2/WebAuthn – o padrão de autenticação mais amplamente implantado atualmente resistente aos kits de phishing Adversary-in-the-Middle (AiTM), que pode ignorar SMS e MFA baseado em TOTP em tempo real. O gerenciamento de chaves criptográficas é um requisito regulatório.
As ferramentas de gestão de acesso privilegiado (PAM) não são mencionadas explicitamente no regulamento – mas os controlos que proporcionam correspondem diretamente aos requisitos do Artigo 9.º. A gravação de sessões, o provisionamento de acesso just-in-time (JIT) e o armazenamento de credenciais privilegiadas são precisamente os “sistemas de controle dedicados” que o regulamento descreve.
As instituições que não implementaram estes controlos enfrentam uma lacuna de conformidade que os supervisores podem resolver.
A Autoridade Bancária Europeia (EBA) e as Normas Técnicas de Regulamentação da ESMA no âmbito da DORA fornecem especificidade adicional sobre os requisitos de gestão de risco de TIC, reforçando a linha de base do Artigo 9 com orientações de implementação específicas do setor.
Comprometimento de credenciais como uma falha de resiliência operacional
O propósito declarado de DORA
#samirnews #samir #news #boletimtec #dora #e #resiliência #operacional: #gestão #de #credenciais #como #controle #de #risco #financeiro
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário