قال السيد لي كونغ فو، نائب مدير مركز الاستجابة لحالات الطوارئ السيبرانية في فيتنام ( وزارة المعلومات والاتصالات )، في كلمة ألقاها في ندوة "أمن المعلومات في قطاع الأوراق المالية" التي عقدت صباح يوم 9 أبريل، إن إدارة أمن المعلومات التابعة لوزارة المعلومات والاتصالات طلبت من شركات الأوراق المالية الإبلاغ قبل 15 أبريل عن تنفيذ أمن المعلومات حسب المستوى وأمن المعلومات وفقًا للنموذج المكون من 4 طبقات. وتشمل هذه الطبقات الأربع على وجه التحديد قوات الأمن في الموقع، والتي يتم تقييمها من قبل منظمات مهنية، ومراقبتها من قبل منظمات مهنية، وأخيراً متصلة بمركز مراقبة الأمن السيبراني الوطني.

وبحسب السيد فو، فقد حثت إدارة أمن المعلومات مؤخرًا على التنفيذ، وقد نجحت مجموعة الوكالات الحكومية في تحقيق ذلك بشكل جيد. ومع ذلك، فإن مجموعة الشركات والمؤسسات المالية ليست جيدة حقا.

لم نقم باستطلاع رأي شركات الأوراق المالية حول قدراتها الحالية على منع الهجمات الإلكترونية. ومع ذلك، بعد حادثة الهجوم الإلكتروني الأخيرة على VNDirect، وجدنا أن معظم شركات الأوراق المالية، خاصةً والشركات عمومًا، لم تلتزم بمعلومات الأمن الإلكتروني على جميع المستويات، وفقًا للسيد فو.

السيد لي كونغ فو، نائب مدير مركز الاستجابة للطوارئ السيبرانية في فيتنام (Vncert) تصوير: ترونغ هيو.

وفقًا لأحكام المادة 25، الملحق الرابع من قانون الاستثمار لعام 2020 والبند 2، النقطة ب، البند 2، المادة 9 من المرسوم 85/2016/ND-CP، يجب على أنظمة المعلومات التي تقدم خدمات الأوراق المالية ضمان أمن نظام المعلومات وفقًا للمستويات المنصوص عليها في المرسوم رقم 85/2016/ND-CP المؤرخ 1 يوليو 2016 الصادر عن الحكومة بشأن ضمان أمن نظام المعلومات وفقًا للمستويات والتعميم 12/2022/TT-BTTTT المؤرخ 12 أغسطس 2022 الصادر عن وزير المعلومات والاتصالات.

لذلك، ووفقًا للرسالة الرسمية المرسلة إلى شركة الأوراق المالية، فإن الفشل في ضمان أمن نظام المعلومات وفقًا للمستوى يعد انتهاكًا للقانون ويخضع لعقوبات إدارية وفقًا للمادتين 88 و89 من المرسوم رقم 15/2020/ND-CP المؤرخ 3 فبراير 2020 للحكومة الذي ينظم العقوبات على الانتهاكات الإدارية في مجالات البريد والاتصالات والترددات الراديوية وتكنولوجيا المعلومات والمعاملات الإلكترونية.

وفي الوقت نفسه، أكد السيد فو أيضًا أن العقوبات الحالية المفروضة على عدم الامتثال لقواعد أمن المعلومات خفيفة للغاية، وفي الواقع يمكن اعتبارها أقل من الضرر عند حدوثه.

ومع ذلك، إذا وقع حادث غير متوقع مثل الذي حدث في VNDirect مؤخرًا، فقد تكون الغرامة صغيرة، ولكن السمعة والهيبة سوف تتأثران بشكل كبير. وفي الفترة المقبلة، قد يتم النظر في زيادة الغرامات وقد يُطلب من الشركات ضمان أمن معلومات الشبكة.

تمت مناقشة المرسوم الخاص بالعقوبات الإدارية للمخالفات في مجال الأمن السيبراني مؤخرًا ومن المتوقع صدوره قريبًا. وعلى وجه الخصوص، فيما يتعلق بالانتهاكات في حماية البيانات الشخصية، فإن العقوبة الإدارية المقترحة قد تصل إلى 5٪ من إجمالي إيرادات السنة المالية السابقة، أو حتى إلغاء ترخيص العمل لمدة تتراوح بين شهر إلى ثلاثة أشهر.

السيد نجو توان آنه - المدير العام لشركة SCS للأمن السيبراني، نائب رئيس جمعية أمن المعلومات في فيتنام. الصورة: ترونغ هيو.

وبحسب السيد نجو توان آنه، المدير العام لشركة SCS للأمن السيبراني، نائب رئيس جمعية أمن المعلومات في فيتنام، فإن اللوائح المتعلقة بضمان أمن المعلومات متاحة الآن في التعميم مع تعليمات واضحة للغاية، ومستويات مختلفة من المتطلبات اعتمادًا على كل مستوى.

على سبيل المثال، بالنسبة لشركة أوراق مالية من المستوى الثالث، تم تحديد العمليات الإدارية والفنية. يجب على الوحدات الالتزام عند التعامل مع حالاتها الخاصة. عند تطبيق اللوائح القانونية بشكل صحيح، يجب ضمان الامتثال لتجنب مخاطر إضافية ناجمة عن عدم الامتثال للوائح القانونية، كما أكد السيد توان آنه.

وفي إطار مشاركة تجارب الدول، قال السيد تران مينه كوان، الخبير الأمني ​​الأول في شركة برايس ووترهاوس كوبرز، إن الأبحاث تُظهر أن معظم الدول مثل المملكة المتحدة والولايات المتحدة أنشأت وحدة متخصصة لمراجعة وتجميع الإحصاءات الوطنية حول الأمن السيبراني. من هناك، قم بتوفير شكل من أشكال الحماية يتضمن إطارًا أمنيًا، ودعم الوحدة عند تعرضها للهجوم وعدم معرفة ما يجب القيام به. تنشر هذه المجموعة العاملة المعلومات على البوابة، وترسل التقارير إلى الوحدات لإصدار تحذيرات لتعزيز أمن المعلومات وإعلام الوحدات بأنه عندما تتعرض لهجوم من قبل قراصنة، يجب عليها اتخاذ خطوات محددة للتعافي.