El Banco Nacional quiere que la dirección de los bancos ucranianos revise más exhaustivamente al personal de sus estructuras para detectar posibles "personas con información privilegiada y colaboradores" y aumente la protección cibernética.
Así lo indican las recomendaciones del NBU “Sobre el fortalecimiento de la ciberseguridad del sistema bancario”, enviadas por el regulador.
En él, los funcionarios se refieren al aumento de ataques hackers a las estructuras bancarias.
“Ataques sistemáticos y complejos a los sistemas de información de instalaciones de infraestructura crítica y organizaciones que aseguran su funcionamiento, con el objetivo de cometer ciberespionaje (robo de datos) y ciberterrorismo (DDoS y destrucción de infraestructura)”, afirma literalmente el documento.
Se describen siete áreas que las instituciones financieras deben fortalecer para combatir las filtraciones y el robo de datos. La primera de estas recomendaciones es investigar a sus propios empleados.
“Preste atención a posibles personas internas y colaboradores dentro de la organización”, señala el Banco Nacional.
El regulador no especificó exactamente quiénes deben incluirse en estos, pero se puede suponer que cualquier empleado del banco que divulgue información interna a terceros de manera paralela.
Las demás regulaciones del regulador son de carácter más técnico. Si resumimos las recomendaciones clave, obtenemos la siguiente lista:
1. Respecto al acceso remoto a las redes: eliminar los servicios internos innecesarios del perímetro de la red, utilizar VPN u otras soluciones especializadas con MFA (autenticación multifactor), minimizar el acceso y aumentar el control de acceso a la red.
2. Evaluar escenarios de denegación de servicio por parte del proveedor de comunicaciones o en caso de compromiso de sus servicios.
3. Aumentar el control sobre las acciones de los usuarios privilegiados, aislar y organizar un control estricto de acceso a los sistemas de gestión de infraestructura. Además, aplicar reglas de filtrado estrictas (reglas de salida) para proporcionar a los sistemas de información acceso a Internet (uso de listas blancas).
