El Banco Nacional quiere que la dirección de los bancos ucranianos controle más exhaustivamente al personal de sus estructuras en busca de posibles "iniciados y colaboradores" y aumente la protección en el ámbito de la ciberseguridad.
Así se indica en las recomendaciones del BNU "Sobre el fortalecimiento de la ciberseguridad del sistema bancario", enviadas por el regulador.
En él, los funcionarios se refieren al creciente número de ataques de piratas informáticos a estructuras bancarias.
"Ataques complejos sistemáticos a sistemas de información de objetos de infraestructura críticos y organizaciones que aseguran su funcionamiento, con el objetivo de ciberespionaje (robo de datos) y ciberterrorismo (DDoS y destrucción de infraestructura)", se lee literalmente en el documento.
Describe siete áreas que los financieros deberían fortalecer para combatir las violaciones y el robo de datos. Y el primer punto de estas recomendaciones es la inspección de los propios empleados.
"Preste atención a los posibles empleados y colaboradores dentro de la organización", señala el Banco Nacional.
El regulador no especificó quién debería incluirse entre ellos, pero se puede suponer que cualquier empleado del banco que revele información interna a terceros.
El resto de las prescripciones del regulador son de carácter más técnico. Si resumimos las recomendaciones clave, se obtendrá la siguiente lista:
1. En cuanto al acceso remoto a las redes: eliminar servicios internos innecesarios del perímetro de la red, utilizar VPN u otras soluciones especializadas con MFA (autenticación multifactor), minimizar el acceso y aumentar el control de acceso a la red.
2 Estudiar escenarios de denegación de servicio por parte del proveedor de comunicaciones o en caso de compromiso de sus servicios.
3. Incrementar el control sobre las acciones de los usuarios privilegiados, aislar y organizar un estricto control de acceso a los sistemas de gestión de infraestructura. Y también aplicar estrictas reglas de filtrado (reglas de salida) para brindar acceso a los sistemas de información a Internet (uso de listas blancas).
