پیش‌نویس قانون امنیت سایبری به جمع‌آوری سهل‌انگارانه داده‌ها پایان می‌دهد

این تغییر نه تنها خلاهای قانونی را پر می‌کند، بلکه موانع فنی سختگیرانه‌ای را نیز ایجاد می‌کند، روسای سازمان‌ها را ملزم به داشتن گواهینامه امنیت سایبری می‌کند و به دوران جمع‌آوری «آسان» داده‌ها توسط کسب‌وکارها پایان می‌دهد.

داده‌ها به موضوع بقای ملی تبدیل می‌شوند

در سمینار «قانون امنیت سایبری ۲۰۲۵: گامی به جلو در حفاظت از امنیت داده‌ها» که توسط انجمن ملی امنیت سایبری در بعدازظهر ۲۴ نوامبر برگزار شد، کارشناسان به اتفاق آرا توافق کردند که چارچوب قانونی قدیمی ماموریت اولیه خود را به پایان رسانده است اما به اندازه کافی جامع نیست تا با سرعت فعلی تحول دیجیتال مطابقت داشته باشد.

سرهنگ دوم نگوین دین دو تی، معاون رئیس اداره امنیت سایبری (اداره امنیت سایبری و پیشگیری و کنترل جرایم پیشرفته - وزارت امنیت عمومی ) بر تغییر در تفکر مدیریت دولتی هنگام در نظر گرفتن داده‌ها به عنوان "خون" اقتصاد دیجیتال و شناسایی سیاست‌های کلیدی دولت در تضمین امنیت سایبری و امنیت داده‌ها تأکید کرد.

اول، اولویت دادن به امنیت سایبری در دفاع ملی، امنیت، اقتصاد -اجتماعی، علم و فناوری و امور خارجه. دوم، ایجاد یک فضای سایبری امن که به امنیت ملی و نظم اجتماعی آسیب نرساند.

سوم، تمرکز منابع بر ایجاد نیروهای متخصص، توسعه منابع انسانی باکیفیت و ترویج تحقیق و توسعه فناوری امنیت سایبری. چهارم، تشویق سازمان‌ها و افراد به مشارکت در مدیریت خطرات و هماهنگی با مقامات ذیصلاح. پنجم، اولویت‌بندی استفاده از محصولات و خدمات صنعت امنیت سایبری ویتنام. ششم، تقویت همکاری‌های بین‌المللی برای حفاظت از امنیت سایبری.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 1 — سرهنگ دوم نگوین دین دو تی، معاون رئیس اداره امنیت سایبری، اداره امنیت سایبری و پیشگیری از جرایم پیشرفته (عکس: NCA).

فوریت قانون‌گذاری امنیت داده‌ها از این واقعیت ناشی می‌شود که خطر ناامنی به طور فزاینده‌ای جدی است.

سرهنگ تی خاطرنشان کرد که تنها در سال ۲۰۲۴، ویتنام بیش از ۶۰۰ هزار حمله سایبری ثبت کرده است که ده‌ها هزار مورد از آنها سیستم‌های سازمان‌های دولتی را هدف قرار داده‌اند.

علاوه بر این، حملات باج‌افزاری بسیاری از کسب‌وکارهای ویتنامی را مجبور به پرداخت میلیون‌ها دلار باج برای داده‌ها کرده است، مشابه مواردی در ایالات متحده که تا ۴۰ میلیون دلار هزینه داشته است. وضعیت خرید و فروش داده‌ها آشکارا اتفاق می‌افتد، به طور معمول مورد انحلال گروهی از افراد که به طور غیرقانونی تا ۶ میلیون داده شخصی را در ماه فوریه خرید و فروش می‌کردند.

آقای وو نگوک سون - رئیس دپارتمان تحقیقات، مشاوره، توسعه فناوری و همکاری‌های بین‌المللی (انجمن ملی امنیت سایبری) - با همین دیدگاه، اضافه شدن مفهوم «امنیت داده‌ها» را موفقیت بزرگی برای این لایحه ارزیابی کرد و گفت که داده‌ها را در مرکز کار امنیتی قرار می‌دهد.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 2 — آقای وو نگوک سون، رئیس تحقیقات، مشاوره، توسعه فناوری و همکاری‌های بین‌المللی، انجمن ملی امنیت سایبری (عکس: NCA).

به گفته آقای سون، این آیین‌نامه جدید یک فرآیند غربالگری سختگیرانه ایجاد خواهد کرد و بازار را به دو گروه مجزا تقسیم می‌کند: واحدهای «واقعی» و واحدهای «جعلی».

پیش از این، نهادها می‌توانستند آزادانه داده‌ها را بدون سرمایه‌گذاری در امنیت جمع‌آوری و ذخیره کنند. با این حال، انتظار می‌رود این لایحه به این وضعیت پایان دهد. آن دسته از نهادهایی که زیرساخت‌ها و راه‌حل‌های امنیت سایبری را تضمین نمی‌کنند، اجازه جمع‌آوری و ذخیره داده‌ها را نخواهند داشت.

آقای سان داده‌ها را به پول تشبیه کرد، مردم فقط در بانک‌هایی پول واریز می‌کنند که استانداردهای حفاظتی را رعایت می‌کنند و به همین ترتیب، آنها داده‌ها را در اختیار سازمان‌هایی که فاقد ظرفیت تضمین امنیت هستند، قرار نمی‌دهند.

«این تغییر، ظهور یک بخش اقتصادی جدید را تحریک خواهد کرد: صنعت داده، در کنار صنعت امنیت سایبری. کسب‌وکارهایی که صلاحیت محافظت از داده‌های خود را ندارند، باید به جای جمع‌آوری داده‌ها توسط خودشان، به خرید خدمات، اتصال به پایگاه‌های داده ملی یا شرکت در تبادلات داده معتبر روی آورند.»

آقای سان افزود: «این امر به بهینه‌سازی منابع اجتماعی، کاهش هزینه‌های سرمایه‌گذاری غیرمتمرکز و محدود کردن خطرات نشت کمک می‌کند.»

احراز هویت با چهره برای مبارزه با دیپ فیک کافی نیست

آقای تران کونگ کویین لان - معاون مدیر کل بانک سهامی تجاری ویتنام برای صنعت و تجارت (Vietinbank) گفت که در حال حاضر ۹۹ درصد از تراکنش‌های این بانک از طریق کانال‌های دیجیتال انجام می‌شود.

برای برآورده کردن الزامات جدید، VietinBank یک مدل امنیتی چند لایه را مستقر کرده است و احراز هویت ۴ لایه‌ای را که در حال حاضر اعمال می‌شود، به کار می‌گیرد:

لایه ۱ و ۲: نام کاربری/رمز عبور و کد OTP.

کلاس ۳: بیومتریک (چهره).

لایه ۴: احراز هویت از طریق کارت شناسایی شهروندی مجهز به تراشه با استفاده از فناوری NFC (فناوری ارتباط بی‌سیم برد کوتاه).

آقای لان بر نقش لایه چهارم حفاظتی در مبارزه با جعل هویت (Deepfake) تأکید کرد. به عنوان مثال، با انتقال پول بیش از ۱ میلیارد دانگ ویتنام، این سیستم از کاربران می‌خواهد که کارت‌های شناسایی شهروندی مجهز به تراشه خود را برای تأیید اسکن کنند، به جای اینکه فقط به چهره آنها تکیه کنند.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 3 — آقای تران کونگ کویین لان، معاون مدیر کل VietinBank، در این بحث شرکت کرد (عکس: NCA).

نکته قابل توجه این است که وقتی مشتریان دستگاه‌های تلفن خود را تغییر می‌دهند - که یک رفتار پرخطر است - بانک همچنین از احراز هویت NFC برای اطمینان از اصالت استفاده می‌کند.

آقای لان علاوه بر راه‌حل فنی، به چالش‌های عملیاتی عمده ناشی از این لایحه اشاره کرد:

طبقه‌بندی داده‌ها: بانک‌ها باید هر روز طبقه‌بندی و برچسب‌گذاری داده‌ها را برای میلیون‌ها تراکنش انجام دهند. داده‌های بیومتریک، داده‌های مالی و داده‌های رفتاری باید مکانیسم‌های حفاظتی و مجوزهای دسترسی متفاوتی داشته باشند.

گزارش حوادث ۲۴ ساعته: الزام گزارش حوادث امنیت سایبری ظرف ۲۴ ساعت به همراه یک برنامه پاسخگویی، فشار زیادی را بر فرآیند پاسخگویی وارد می‌کند.

«به هیچ‌کس اعتماد نکن» امن‌ترین راهِ محافظت است

در خصوص زیرساخت شبکه، آقای لو کونگ ترونگ، رئیس واحد امنیت شبکه (MobiFone)، کاربرد معماری Zero Trust - عدم اعتماد به کسی - را برای برآورده کردن استانداردهای جدید امنیت شبکه ارائه کرد.

این مدل بر اساس ۵ رکن کنترل می‌شود: هویت، دستگاه، شبکه، برنامه و داده‌ها. هر دسترسی باید به طور مداوم مجدداً احراز هویت شود.

نکته کلیدی دیگر، کنترل ریسک‌های زنجیره تأمین است.

آقای ترانگ به اشتراک گذاشت: «موبی‌فون در حال ارتقای استراتژی استقلال فناوری خود، تولید مستقل دستگاه‌های امنیت شبکه مانند فایروال‌ها و راه‌حل‌های شناسایی «ساخت ویتنام» است تا از وابستگی به اشخاص ثالث جلوگیری کند.»

نماینده MobiFone همچنین از این واقعیت که لایحه امنیت سایبری از استانداردهای TCVN 11423 در مورد امنیت سایبری پیروی می‌کند و به مشاغل کمک می‌کند تا اقدامات کمی خاصی (15 الزام برای سیستم‌های آژانس‌های دولتی، 18 الزام برای سیستم‌های مهم ملی) برای استقرار راه‌حل‌های فنی داشته باشند، بسیار قدردانی کرد.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 4 — آقای لو کونگ ترونگ، رئیس بخش امنیت سایبری موبی‌فون (عکس: NCA).

نکته‌ی جدید و مهمی که آقای وو نگوک سون به ویژه بر آن تأکید کرد، الزام رهبر است.

برخلاف قانون قدیمی که فقط مسئولیت‌های عمومی را تصریح می‌کرد، این لایحه رئیس سازمان را ملزم به داشتن دانش و گواهینامه در مدیریت امنیت سایبری می‌کند. آقای سان گفت که این گامی مهم برای تغییر فرهنگ سازمانی است، زیرا اگر رهبر درک نکند، نمی‌تواند تصمیمات سرمایه‌گذاری مؤثری بگیرد.

آقای سان افزود: «کاربران اینترنت همچنین باید طرز فکر خود را از «لذت» به «مسئولیت» تغییر دهند. به اشتراک گذاشتن بی‌دقت و بدون کنترل اطلاعات شخصی مانند رها کردن دارایی‌ها بدون محافظت است و به طور غیرمستقیم فعالیت‌های مجرمانه را تشویق می‌کند.»

آقای سان با به اشتراک گذاشتن تجربیات بین‌المللی، به مدل کره جنوبی - کشوری که زمانی بیشترین حملات سایبری را در جهان داشت - اشاره کرد. کره جنوبی یک سیستم صدور گواهینامه امنیت سایبری جهانی از دبستان تا سطح تحصیلات تکمیلی ایجاد کرده است.

آقای سان اشاره کرد: «به لطف این آموزش کامل، مردم و پرسنل کره مهارت‌های دفاعی بسیار خوبی دارند و وقتی همه طرف‌ها دانش و سرمایه‌گذاری در امنیت سایبری داشته باشند، یک «سپر» محکم برای کشور ایجاد می‌کنند.»

منبع: https://dantri.com.vn/cong-nghe/du-thao-luat-an-ninh-mang-cham-dut-tinh-trang-thu-thap-du-lieu-de-dai-20251124225636608.htm