SBIF aplica nuevas normas para evitar más ciberataques a bancos en Chile

No cabe duda que los últimos meses, quizás como nunca antes, los usuarios y la industria financiera ha sido objeto de los mayores ataques cibernéticos que se tenga registro en el país, siendo el más relevante, por los montos involucrados y el manto de silencio de cómo se manejó, el ocurrido a Banco de Chile, el cual en cifras oficiales, sufrió un ciberataque “interno” que le costó US$50 millones.

Luego la escalada fue en aumento con filtraciones acotadas de datos de usuarios de diferentes bancos, mientas las instituciones salían al paso, solo señalando estar al tanto y como medida inmediata, procedían a bloquear la tarjeta afectada, pero todo este tema manejado con bajo perfil, pues es sabido que muchos procesos que usan los bancos en el país en pleno 2018, aún usan Windows XP o Windows 7, plataformas más que obsoletas, donde “corren” programas bancarios.

Los ataques más recientes tuvieron al menos una buena noticia, pues aparentemente se trató de hackers con poco conocimiento, no hubo eliminación de deudores del sistema DICOM, y las 80.000 tarjetas de BancoEstado expuestas, según expertos en seguridad, no tenían un aporte para lo que “el mundo hacker” está acostumbrado a realizar, lo que también generó que hayan dejado muchas “huellas digitales” que los expusieron y terminaron siendo detenidos por la PDI.

Por ello, la SBIF (Super Intendencia de Bancos e Instituciones Financieras) ha emitido un nuevo instructivo con el fin de poner cota al tema, al menos normarlo ya que analistas que trabajan en el rubro señalan que Chile está atrasado en al menos diez años en términos de seguridad bancaria.

Las modificaciones de la SBIF forma parte de las iniciativas en ciberseguridad que apuntan a contar con más y mejor información sobre incidentes en riesgo cibernético, así como elevar los estándares de gestión de las instituciones en estas materias y estas modificaciones ponen en práctica las medidas adoptadas por la SBIF para fortalecer a la industria financiera, elevando los estándares de seguridad para transitar a un sistema financiero en que los clientes puedan contar con un acceso seguro, confiable y continuo a su dinero y productos financieros en todo momento.

Se introdujeron cambios  perfeccionando el sistema de reporte de incidentes, creando una plataforma digital especialmente establecida para ello por la Superintendencia, en un plazo máximo de 30 minutos, esto a partir del 1 de octubre próximo y adicionalmente, se establece la obligación de designar un encargado de nivel ejecutivo para comunicarse con la Superintendencia en todo momento. Desde ahora será obligación informar oportunamente a los usuarios y clientes sobre los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o se trate de un hecho de público conocimiento.

Por último, se establece la obligación de mantener un sistema de alerta de incidentes de Ciberseguridad entre los miembros de la industria, para que compartan parte de la información de los incidentes, y así las demás entidades puedan adoptar las medidas necesarias.

Además se introducen modificaciones que hacen de la Ciberseguridad un criterio especial de evaluación de la gestión de un banco. Se agregan robustas modificaciones tendientes a que los Directorios se involucren directamente estas medidas, incluida la obligación de pronunciarse sobre la gestión de la ciberseguridad al menos una vez al año. Se evaluará también el que la entidad cuente con una base de incidentes de Ciberseguridad.

Junto a las anteriores, se publicaron las circulares que actualizan las normas sobre comunicación de incidentes operaciones, que aplican también a las Sociedades de Apoyo al Giro, Filiales bancarias, Cooperativas de Ahorro y Crédito fiscalizadas por la SBIF y las empresas emisoras y operadores de tarjetas de pago. Dichas entidades también están obligadas a reportar a la Superintendencia los incidentes operacionales que las afecten, además de comunicar a sus clientes los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o aquellos que sean de público conocimiento.

Las circulares emitidas se pueden revisar en la sección ACCESO SBIF

 

 

, ,

Deja una respuesta