Státní banka požaduje důkladnou opravu zranitelností informačního systému

Výše uvedená žádost byla Státní bankou zaslána 11. září úvěrovým institucím, poskytovatelům platebních zprostředkovatelských služeb, poskytovatelům úvěrových informačních služeb, pojišťovně vkladů, Vietnamské národní platební akciové společnosti a Národnímu centru pro úvěrové informace (CIC) po incidentu se známkami krádeže dat v CIC.

Státní banka uvedla, že obdržela varování od úřadů a zprávy od členů Sítě pro reakci na bezpečnostní incidenty v oblasti bankovních informačních technologií (BINRS) o tom, že kyberzločinci zvyšují počet cílených útoků a zneužívají zranitelnosti a slabiny v aplikacích a infrastruktuře informačních technologií.

Ředitel odboru informačních technologií (Státní banka) proto požádal jednotlivé jednotky o posílení bezpečnosti informačních systémů a dat.

Vedoucí představitelé těchto bank a podniků musí věnovat pozornost informační bezpečnosti v kyberprostoru a nést odpovědnost před zákonem a guvernérem, pokud dojde ke ztrátě bezpečnosti sítě, úniku dat nebo státního tajemství v jednotkách, které spravují.

Jednotky musí důkladně a rychle opravit mezery a slabiny, které v informačních systémech stále existují. Zároveň je nutné modernizovat a nahradit systémy, které stále používají zastaralé operační systémy a aplikace, které výrobce již nepodporuje.

Státní banka vyžaduje, aby banky a platební zprostředkovatelé... neprodleně aktualizovali bezpečnostní záplaty pro všechna zařízení v systému, zejména servery, aplikace, síťová zařízení a zabezpečení sítě. Servisní porty na serveru zajišťují, že jsou otevřeny pouze nezbytné služby.

Vedoucí oddělení informačních technologií dále zmínil řadu dalších úkolů zaměřených na zvýšení bezpečnosti systémů a dat, jako jsou například přístupová práva k administraci systému pro úředníky, vícefaktorové ověřování při přístupu ke administraci serverů, aplikací a síťových zařízení, důležité zabezpečení sítě, prevence ztráty dat, šifrované ukládání informací a dat (ne veřejných informací a dat)...

Jednotky musí také posoudit informační bezpečnost se službami poskytovanými třetími stranami, zabránit hackerům ve zneužití bezpečnostních zranitelností třetích stran k proniknutí do systému jednotky (útoky na dodavatelský řetězec).

Kromě toho musí jednotky v tomto odvětví pravidelně kontrolovat hrozby v informačních systémech, aktualizovat informace o probíhajících a nadcházejících hrozbách, aby mohly proaktivně a efektivně reagovat na kybernetické útoky, a také mít plány a scénáře pro reakci. Důležitá data a aplikace musí být zálohovány v souladu s předpisy a pokyny Státní banky a v případě potřeby zajištěna jejich obnova.

Večer 11. září oznámilo centrum VNCERT spadající pod Odbor kybernetické bezpečnosti a prevence a kontroly kriminality v oblasti high-tech Ministerstva veřejné bezpečnosti , že 10. září obdrželo hlášení o „kybernetickém bezpečnostním incidentu a známkách narušení bezpečnosti osobních údajů“, k němuž došlo v Národním centru pro informace o úvěrech (CIC).

Tato jednotka koordinovala činnost s podniky poskytujícími služby síťové informační bezpečnosti a CIC, funkčními jednotkami Státní banky, za účelem ověřování incidentů, technik reakce, shromažďování dat a důkazů.

„Výsledky počátečního ověření ukazují známky kybernetických útoků a narušení bezpečnosti za účelem krádeže osobních údajů. Množství nelegálně získaných dat je průběžně počítáno a objasňováno,“ uvádí se v oznámení.

V poslední době se řada organizací a podniků ve Vietnamu stala obětí kybernetických útoků. V loňském roce byly společnosti VnDirect, PVOIL a VNPost napadeny hackery, kteří zašifrovali jejich data a vymáhali za ně výkupné, což ovlivnilo jejich provoz.

Vietnamské národní centrum pro informace o úvěrech (CIC) v rámci Státní banky vykonává funkce v měnovém a bankovním sektoru a je dobře známé svou rolí v podpoře úvěrových institucí v jejich obchodních operacích a pomoci dlužníkům s přístupem k úvěrovým zdrojům.