RBI pede aos bancos para desativar o Windows XP nos caixas eletrônicos

RBI orienta todos os bancos a atualizar os caixas eletrônicos que ainda estão rodando no Windows XP até junho de 2019

O Banco Central da Índia (RBI) emitiu um aviso para os bancos do país desinstalarem o sistema operacional Microsoft XP de todos os caixas eletrônicos e atualizá-los até junho de 2019.

Para quem não sabe, em abril de 2014, a Microsoft anunciou que estava descontinuando as versões da construção do Windows XP. Desde então, a empresa não lançou nenhum patch de segurança nem anunciou novas funcionalidades para o Windows XP.

Em abril de 2017, o RBI, através de uma “circular confidencial” para os bancos, enfatizou preocupações sobre os caixas eletrônicos que operam com Windows XP e outros sistemas operacionais vulneráveis.

“Uma referência também é convidada a nossa Circular Confidencial No. 3/2017 datada de 06 de março de 2017 e No. 13/2017 datada de 1 de novembro de 2017, onde os bancos foram aconselhados a implementar, com efeito imediato, controles adequados enumerados na lista ilustrativa de controles,” disse o RBI em uma circular confidencial para os bancos sobre os caixas eletrônicos que operam com Windows XP e outros sistemas operacionais não suportados.

Apesar de ter enviado avisos aos bancos no passado instruindo-os a colocar planos de migração em prática, as coisas não avançaram rápido o suficiente para o RBI.

“O lento progresso por parte dos bancos em abordar essas questões foi visto seriamente pelo RBI,” disse o aviso.

A circular emitida pelo banco central também destaca que “a vulnerabilidade decorrente dos caixas eletrônicos dos bancos operando em versão não suportada do sistema operacional e a não implementação de outras medidas de segurança podem afetar negativamente os interesses dos clientes dos bancos, além de tais ocorrências, se houver, prejudicarem a imagem do banco.”

O banco central advertiu que tomaria medidas regulatórias contra os bancos que não cumprirem a ordem.

“Pode-se notar que qualquer deficiência em conformidade oportuna e eficaz com as instruções contidas nesta Circular pode convidar a ação de supervisão apropriada sob as disposições aplicáveis da Lei de Regulamentação Bancária de 1949 e/ou da Lei de Sistemas de Pagamento e Liquidação de 2007,” disse o RBI.

O RBI deu aos bancos e “operadores de caixas eletrônicos de marca branca” um prazo para resolver todas as questões e realizar as atualizações de forma faseada. Ele quer que pelo menos 25% dos caixas eletrônicos sejam atualizados até setembro de 2018, enquanto 50% dos sistemas devem ser atualizados até dezembro de 2018. Todos os caixas eletrônicos com versão suportada do sistema operacional devem ser atualizados para a versão mais recente até junho de 2019.

Além de orientar os bancos a atualizar seus caixas eletrônicos, o RBI também pediu que implementem outras medidas de segurança, como senha de BIOS, desativação de portas USB, desativação da função de auto-execução, aplicação dos patches mais recentes do sistema operacional e outros softwares, solução de segurança de terminais, acesso administrativo baseado em tempo, etc. até agosto.

Além disso, o RBI orientou os bancos a implementar soluções de anti-skimming e whitelisting nos caixas eletrônicos para que apenas softwares aprovados possam ser executados neles. O prazo para implementar isso é março de 2019.

O RBI instruiu os bancos a apresentarem seus planos de conformidade até o final de julho de 2018. “O progresso feito na implementação dessas medidas deve ser monitorado de perto para garantir o cumprimento dos prazos prescritos,” acrescentou a circular.