Co říkají VPBank a 9Pay o kybernetickém bezpečnostním incidentu, ke kterému došlo v CIC?

Odpoledne 12. září vydala Vietnam Prosperity Joint Stock Commercial Bank ( VPBank ) oznámení týkající se kybernetického bezpečnostního incidentu, k němuž došlo ve Vietnamském národním centru pro informace o úvěrech (CIC).

Vietnamské centrum pro reakci na kybernetické nouzové situace (VNCERT) dříve oznámilo první výsledky, které ukazují na známky narušení osobních údajů.

Podle VPBank provádějí banky, včetně VPBank, hlášení údajů do CIC v souladu s předpisy Státní banky. Banka potvrdila, že některé důležité informace o zákaznících nejsou do systému CIC zasílány, ale jsou ve VPBank uchovávány jako důvěrné.

Tato data zahrnují přihlašovací údaje do systému elektronického bankovnictví (uživatelské jméno, heslo, biometrické údaje); informace o debetních a kreditních kartách (číslo karty, kód CVV/CCC).

V oznámení VPBank se uvádí, že systém elektronického bankovnictví banky splňuje mezinárodní bezpečnostní standardy, jako je ISO 27001 a PCI DSS. Transakce jsou chráněny několika vrstvami, včetně biometrického ověřování, OTP a SmartOTP.

Podle VPBank jsou kódy OTP/SmartOTP jednorázová data, nejsou ukládána a lze je sdělit pouze v případě, že je zákazník přímo sdílí nebo je zařízení převzato.

V současné době Odbor kybernetické bezpečnosti a prevence high-tech kriminality (A05) spolu s funkčními jednotkami Státní banky a podniky kybernetické bezpečnosti koordinují zavádění technických a odborných opatření k reakci, ověření a zajištění bezpečnosti systému.

VPBank doporučuje klientům, aby sledovali informace z oficiálních zdrojů, vyhýbali se panice a byli ostražití vůči podvodníkům, kteří incident zneužívají. Banka zdůrazňuje, že zločinci si nemohou z tohoto incidentu přímo přivlastnit majetek, ale mohou informace využít k šíření malwaru a vytváření falešných scénářů.

Zákazníci by proto neměli instalovat aplikace z neoficiálních zdrojů a v žádném případě by neměli nikomu poskytovat kódy OTP/SmartOTP, a to ani lidem, kteří se vydávají za bankovní zaměstnance.

V souvislosti s tímto incidentem společnost 9Pay rovněž potvrdila, že nesdílela ani nepředávala žádné údaje společnosti 9Pay a jejích zákazníků společnosti CIC. Všechny osobní údaje, informace o kartách a transakční údaje zákazníků využívajících služby 9Pay tedy výše uvedeným incidentem nebyly ovlivněny.

Tato jednotka potvrdila, že systém 9Pay uplatňuje přísná bezpečnostní opatření, včetně: neustálého dodržování zákonů na ochranu osobních údajů a standardů PCI DSS k zajištění bezpečnosti informací o kartách v souladu s předpisy Státní banky; šifrování všech platebních informací a osobních identifikačních údajů; čtvrtletního periodického hodnocení a přezkumu; každoročního nezávislého hodnocení mezinárodními organizacemi.

Společnost 9Pay získala zejména certifikaci PCI DSS úrovně 1 – nejvyšší a nejpřísnější úroveň standardu zabezpečení dat v odvětví platebních karet, která zajišťuje, že všechny transakce prostřednictvím platební brány 9Pay splňují mezinárodní bezpečnostní standardy. Jako fintech společnost specializující se na digitální platební platformy obsluhuje 9Pay denně stovky tisíc zákazníků a transakcí. Společnost 9Pay si je vědoma důležitosti zabezpečení platebních dat a vždy proaktivně kontroluje všechny činnosti ukládání, přenosu, ochrany a používání osobních údajů v celém procesu provozování produktů a služeb.

Vietnamská státní banka dne 12. září informovala, že obdržela od Vietnamského centra pro úvěrové informace (CIC) zprávu o incidentu týkajícím se úvěrových informací v CIC.

Státní banka neprodleně nařídila CIC, aby záležitost naléhavě podala a úzce spolupracovala s příslušnými státními orgány na ověření a řešení a zároveň zajistila nepřetržitý a hladký provoz CIC.

Zdroj: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp