บริษัทหลักทรัพย์ต้องรีบแก้ไขช่องโหว่และจุดอ่อนก่อนวันที่ 15 เมษายน

บ่ายวันนี้ (27 มี.ค.) กรมความมั่นคงปลอดภัยสารสนเทศ (กระทรวงสารสนเทศและการสื่อสาร) ได้ส่งหนังสือแจ้งไปยังบริษัทหลักทรัพย์ เรื่อง การเสริมสร้างความมั่นคงปลอดภัยข้อมูลเครือข่ายสำหรับระบบสารสนเทศ

Yêu cầu các công ty chứng khoán khắc phục ngay lỗ hổng, điểm yếu trước ngày 15.4- Ảnh 1. — นักลงทุนจำนวนมากที่มีบัญชีซื้อขายกับบริษัทหลักทรัพย์ VNDIRECT ต้องนั่งเฉยๆ บนกองถ่านหลังจากระบบถูกโจมตีทางไซเบอร์ และไม่สามารถซื้อขายได้

นายทราน ดัง โคอัน รองอธิบดีกรมความมั่นคงปลอดภัยสารสนเทศ เปิดเผยว่า ในช่วงที่ผ่านมา ระบบของบริษัทหลักทรัพย์หลายแห่งประสบปัญหาความมั่นคงปลอดภัยของข้อมูลเครือข่าย ส่งผลให้ธุรกิจหลักทรัพย์ได้รับความเสียหายอย่างหนัก เกิดความตื่นตระหนก และกระทบต่อความเชื่อมั่นด้านความปลอดภัยของตลาดหลักทรัพย์ในเวียดนามโดยเฉพาะ และตลาดการเงินโดยรวม

กรมความปลอดภัยสารสนเทศปฏิบัติหน้าที่บริหารจัดการสถานะความปลอดภัยข้อมูลเครือข่าย โดยขอให้บริษัทหลักทรัพย์ตรวจสอบและจัดระเบียบการดำเนินการรับรองความปลอดภัยข้อมูลเครือข่ายสำหรับระบบสารสนเทศที่บริษัทบริหารจัดการ โดยมีหน้าที่หลักดังต่อไปนี้

ดังนั้นบริษัทหลักทรัพย์จึงต้องจัดการตรวจสอบ ประเมิน และดำเนินการเพื่อให้แน่ใจถึงความปลอดภัยของข้อมูลในระบบสารสนเทศภายใต้การจัดการของตน และนำมาตรการต่างๆ มาใช้เพื่อเอาชนะความเสี่ยง จุดอ่อน และจุดอ่อนในระบบสารสนเทศ โดยเฉพาะระบบสารสนเทศการจัดการบัญชีลูกค้าที่ให้บริการธุรกรรมหลักทรัพย์ออนไลน์ทันที จะต้องเสร็จสิ้นภายในวันที่ 15 เมษายน

นอกจากนี้ บริษัทหลักทรัพย์ตรวจสอบและจัดระเบียบการดำเนินการรับรองความปลอดภัยของข้อมูลตามระดับที่กำหนดไว้ในพระราชกฤษฎีกาฉบับที่ 85/2016/ND-CP ของ รัฐบาล ว่าด้วยการประกันความปลอดภัยระบบสารสนเทศตามระดับและหนังสือเวียนที่ 12/2022/TT-BTTTT ของกระทรวงสารสนเทศและการสื่อสาร

ปฏิบัติตามกฎหมาย กฎระเบียบ ข้อบังคับ และเพิ่มความปลอดภัยให้กับระบบสารสนเทศทุกระดับ โดยเฉพาะการจัดระเบียบสถิติ และการจัดหมวดหมู่ระบบสารสนเทศภายใต้การบริหารจัดการ จัดทำแผนดำเนินการและดำเนินการตามระเบียบการรักษาความปลอดภัยระบบสารสนเทศตามระดับ (ตามความก้าวหน้ารายเดือน) ให้มั่นใจว่าระบบสารสนเทศที่ปฏิบัติงาน 100% ต้องได้รับการอนุมัติระดับความปลอดภัยระบบสารสนเทศภายในเดือนกันยายนเป็นอย่างช้า และดำเนินการตามแผนประกันความปลอดภัยของข้อมูลให้ครบถ้วนตามข้อเสนอระดับที่ได้รับการอนุมัติภายในเดือนธันวาคม 2567 เป็นอย่างช้า

จัดระเบียบการดำเนินงานด้านการรับรองความปลอดภัยข้อมูลอย่างมีประสิทธิผล สำคัญ สม่ำเสมอ และต่อเนื่องตามแบบจำลอง 4 ชั้น โดยเฉพาะอย่างยิ่งการปรับปรุงศักยภาพของชั้นการตรวจสอบและป้องกันแบบมืออาชีพ และการรักษาการเชื่อมต่อและการแบ่งปันข้อมูลอย่างต่อเนื่องและมีเสถียรภาพกับศูนย์ติดตามความปลอดภัยทางไซเบอร์แห่งชาติ (ฝ่ายความปลอดภัยสารสนเทศ) ให้ความสำคัญกับการใช้ผลิตภัณฑ์ โซลูชั่น และบริการด้านความปลอดภัยข้อมูลเครือข่ายที่ผลิตหรือใช้เทคโนโลยีที่เชี่ยวชาญโดยบริษัทในเวียดนาม

ล่าหาภัยคุกคาม ตรวจจับสัญญาณการบุกรุกอย่างทันท่วงที

นอกจากนี้ บริษัทหลักทรัพย์ต้องพัฒนาระบบตอบสนองต่อเหตุการณ์ที่เกิดขึ้นสำหรับระบบสารสนเทศที่อยู่ภายใต้การบริหารจัดการของตน ตามที่กำหนดไว้ในหนังสือเวียนที่ 20/2017/TT-BTTTT ของกระทรวงสารสนเทศและการสื่อสาร ซึ่งควบคุมดูแลการประสานงานและการตอบสนองต่อเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูลบนเครือข่ายทั่วประเทศ ดำเนินการตามแผนการสำรองข้อมูลระบบและข้อมูลสำคัญเป็นระยะๆ เพื่อเรียกคืนได้อย่างทันท่วงทีเมื่อข้อมูลถูกเข้ารหัส และรายงานเหตุการณ์ที่เกิดขึ้นให้ฝ่ายความปลอดภัยสารสนเทศทราบตามที่ได้กำหนด มีส่วนร่วมในเครือข่ายตอบสนองเหตุการณ์ความปลอดภัยทางไซเบอร์ระดับชาติ

ดำเนินการค้นหาภัยคุกคามเป็นระยะเพื่อตรวจพบสัญญาณการบุกรุกระบบอย่างทันท่วงที สำหรับระบบที่พบว่ามีความเสี่ยงด้านความปลอดภัยที่ร้ายแรง หลังจากแก้ไขช่องโหว่ดังกล่าวแล้ว จำเป็นต้องดำเนินการตรวจหาภัยคุกคามทันทีเพื่อตรวจสอบความเป็นไปได้ของการบุกรุกก่อนหน้านี้

ตรวจสอบและอัปเดตแพตช์รักษาความปลอดภัยข้อมูลสำหรับระบบที่สำคัญตามคำเตือนจากฝ่ายความปลอดภัยสารสนเทศและหน่วยงานและองค์กรที่เกี่ยวข้อง ตรวจสอบ ประเมิน และทบทวนเป็นระยะเพื่อตรวจจับช่องโหว่และจุดอ่อนด้านความปลอดภัยของข้อมูลที่มีอยู่ในระบบอย่างทันท่วงที

กรมความปลอดภัยข้อมูลขอให้บริษัทต่างๆ จัดทำการตรวจสอบ กำหนดจุดศูนย์กลางสำหรับการแลกเปลี่ยนระดับมืออาชีพ และรายงานผลการดำเนินการไปยังกรมความปลอดภัยข้อมูลก่อนวันที่ 15 เมษายน เพื่อสรุปและรายงานต่อหน่วยงานที่มีอำนาจหน้าที่

ลิงค์ที่มา