O Banco Central da Índia (RBI) notificou todas as instituições financeiras locais para que troquem o sistema operacional dos caixas eletrônicos que ainda rodam o Windows XP. Elas estarão sujeitas a sanções regulatórias caso não respeitem o prazo final — até junho de 2019.
O Bleeping Computer obteve uma cópia da notificação enviada pelo RBI. Os bancos terão que implementar algumas medidas de segurança antes de substituírem o Windows XP por outro sistema mais recente.
Na primeira fase, que dura até agosto de 2018, os bancos deverão implementar senha na BIOS dos caixas eletrônicos; desativar as portas USB; aplicar os patches de segurança mais recentes; e limitar o tempo de acesso de administradores.
Na segunda fase, que vai até março de 2019, as instituições vão adotar medidas que evitem a clonagem de cartões, e aplicarão whitelisting para liberar acesso crítico apenas a determinados usuários.
Enquanto isso, a terceira fase é a migração do XP para sistemas mais modernos. São quatro etapas:
- pelo menos 25% dos caixas eletrônicos devem estar atualizados até setembro de 2018;
- pelo menos 50% dos caixas eletrônicos devem estar atualizados até dezembro de 2018;
- pelo menos 75% dos caixas eletrônicos devem estar atualizados até março de 2019;
- 100% dos caixas eletrônicos devem estar atualizados até junho de 2019.
No ano passado, 70% dos caixas eletrônicos na Índia ainda rodavam o Windows XP. O RBI avisou os bancos sobre os riscos de segurança já em 2014, quando o sistema perdeu suporte da Microsoft.
“O lento progresso por parte dos bancos em lidar com essas questões foi visto seriamente pelo RBI”, diz a notificação. “A vulnerabilidade de ATMs rodando uma versão sem suporte do sistema operacional… pode afetar os interesses dos clientes de forma adversa.”
Este problema não está limitado à Índia. Segundo um relatório da Trend Micro, a maioria dos caixas eletrônicos no mundo ainda roda Windows XP ou XP Embedded, versão cujo suporte estendido acabou em 2016.
Os bancos resistem em atualizar porque, para substituírem o sistema operacional, eles precisam trocar o computador inteiro por trás do caixa eletrônico — e isso custa caro.
Além disso, ATMs antigos não podem ser atualizados remotamente. Um funcionário de TI precisa visitar cada um deles para aplicar atualizações de segurança manualmente, e o tempo deles também custa caro.
Isso significa que os bancos não têm incentivo para atualizar o Windows XP, nem para deixar de usá-lo — pelo menos não por conta própria. Por isso o RBI decidiu estabelecer um cronograma; outros países talvez precisem fazer o mesmo.
Com informações: Bleeping Computer.