O Bleeping Computer obteve uma cópia da notificação enviada pelo RBI. Os bancos terão que implementar algumas medidas de segurança antes de substituírem o Windows XP por outro sistema mais recente.
Na primeira fase, que dura até agosto de 2018, os bancos deverão implementar senha na BIOS dos caixas eletrônicos; desativar as portas USB; aplicar os patches de segurança mais recentes; e limitar o tempo de acesso de administradores. Na segunda fase, que vai até março de 2019, as instituições vão adotar medidas que evitem a clonagem de cartões, e aplicarão whitelisting para liberar acesso crítico apenas a determinados usuários. Enquanto isso, a terceira fase é a migração do XP para sistemas mais modernos. São quatro etapas:
pelo menos 25% dos caixas eletrônicos devem estar atualizados até setembro de 2018;pelo menos 50% dos caixas eletrônicos devem estar atualizados até dezembro de 2018;pelo menos 75% dos caixas eletrônicos devem estar atualizados até março de 2019;100% dos caixas eletrônicos devem estar atualizados até junho de 2019.
No ano passado, 70% dos caixas eletrônicos na Índia ainda rodavam o Windows XP. O RBI avisou os bancos sobre os riscos de segurança já em 2014, quando o sistema perdeu suporte da Microsoft. “O lento progresso por parte dos bancos em lidar com essas questões foi visto seriamente pelo RBI”, diz a notificação. “A vulnerabilidade de ATMs rodando uma versão sem suporte do sistema operacional… pode afetar os interesses dos clientes de forma adversa.” Este problema não está limitado à Índia. Segundo um relatório da Trend Micro, a maioria dos caixas eletrônicos no mundo ainda roda Windows XP ou XP Embedded, versão cujo suporte estendido acabou em 2016. Os bancos resistem em atualizar porque, para substituírem o sistema operacional, eles precisam trocar o computador inteiro por trás do caixa eletrônico — e isso custa caro. Além disso, ATMs antigos não podem ser atualizados remotamente. Um funcionário de TI precisa visitar cada um deles para aplicar atualizações de segurança manualmente, e o tempo deles também custa caro. Isso significa que os bancos não têm incentivo para atualizar o Windows XP, nem para deixar de usá-lo — pelo menos não por conta própria. Por isso o RBI decidiu estabelecer um cronograma; outros países talvez precisem fazer o mesmo. Com informações: Bleeping Computer.
