הצעת חוק בנושא אבטחת סייבר שמה קץ לאיסוף נתונים רשלני

שינוי זה לא רק ממלא פערים משפטיים אלא גם קובע חסמים טכניים מחמירים, מחייב ראשי ארגונים להיות בעלי הסמכת אבטחת סייבר ומסיים את עידן איסוף הנתונים ה"קל" על ידי עסקים.

נתונים הופכים לעניין של הישרדות לאומית

בסמינר "חוק אבטחת הסייבר 2025: צעד קדימה בהגנה על אבטחת מידע" שאורגן על ידי האיגוד הלאומי לאבטחת סייבר אחר הצהריים של ה-24 בנובמבר, הסכימו מומחים פה אחד כי המסגרת המשפטית הישנה השלימה את ייעודה הראשוני אך אינה מקיפה מספיק כדי לעמוד בקצב הנוכחי של הטרנספורמציה הדיגיטלית.

סגן אלוף נגוין דין דו טי, סגן ראש מחלקת אבטחת הסייבר (מחלקת אבטחת הסייבר ומניעה ובקרה של פשעי היי-טק - משרד הביטחון הציבורי ) הדגיש את השינוי בחשיבה הניהולית של המדינה כאשר רואים בנתונים את "הדם" של הכלכלה הדיגיטלית ומזהים את המדיניות המרכזית של המדינה להבטחת אבטחת הסייבר ואבטחת המידע.

ראשית, יש לתת עדיפות לאבטחת סייבר בתחומי ההגנה הלאומית, הביטחון, הכלכלה החברתית, המדע והטכנולוגיה וענייני החוץ. שנית, יש לבנות מרחב סייבר בטוח שאינו פוגע בביטחון הלאומי ובסדר החברתי.

שלישית, למקד משאבים בבניית כוחות מיוחדים, פיתוח משאבי אנוש איכותיים וקידום מחקר ופיתוח של טכנולוגיית אבטחת סייבר. רביעית, לעודד ארגונים ויחידים להשתתף בטיפול בסיכונים ולתאם עם הרשויות המוסמכות. חמישית, לתעדף את השימוש במוצרים ושירותים של תעשיית אבטחת הסייבר הוייטנאמית. שישית, לחזק את שיתוף הפעולה הבינלאומי להגנה על אבטחת הסייבר.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 1 — סגן אלוף נגוין דין דו טי, סגן ראש מחלקת אבטחת סייבר, מחלקת אבטחת סייבר ומניעת פשעי טכנולוגיה עילית (צילום: NCA).

הדחיפות של חקיקת אבטחת מידע נובעת מהעובדה שהסיכון לחוסר אבטחה הולך וגובר בחומרה.

קולונל טי ציין כי בשנת 2024 לבדה, וייטנאם רשמה יותר מ-600,000 מתקפות סייבר, מתוכן עשרות אלפים כוונו נגד מערכות סוכנויות ממשלתיות.

בנוסף, מתקפות כופר אילצו עסקים וייטנאמים רבים לשלם מיליוני דולרים כופר עבור נתונים, בדומה למקרים בארה"ב שעלו עד 40 מיליון דולר. הסיטואציה של קנייה ומכירה של נתונים מתרחשת בגלוי, בדרך כלל במקרה של פירוק קבוצת אנשים שקנו ומכרו באופן בלתי חוקי עד 6 מיליון נתונים אישיים בפברואר.

מר וו נגוק סון - ראש מחלקת המחקר, הייעוץ, פיתוח הטכנולוגיה ושיתוף הפעולה הבינלאומי (האיגוד הלאומי לאבטחת סייבר), שחולק את אותה דעה, העריך כי הוספת המושג "אבטחת מידע" היא הצלחה גדולה של הצעת החוק, המציבה את הנתונים במרכז עבודת האבטחה.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 2 — מר וו נגוק סון, ראש מחקר, ייעוץ, פיתוח טכנולוגי ושיתוף פעולה בינלאומי, האיגוד הלאומי לאבטחת סייבר (צילום: NCA).

לדברי מר סון, הרגולציה החדשה תיצור תהליך סינון קפדני, שיפריד את השוק לשתי קבוצות נפרדות: יחידות "אמיתיות" ויחידות "מזויפות".

בעבר, גופים יכלו לאסוף ולאחסן נתונים בחופשיות מבלי להשקיע באבטחה. עם זאת, הצעת החוק צפויה לשים קץ למצב זה. גופים שלא יבטיחו תשתית ופתרונות אבטחת סייבר לא יורשו לאסוף ולאחסן נתונים.

מר סון השווה נתונים לכסף, אנשים מפקידים כסף רק בבנקים שעומדים בתקני הגנה, ובאופן דומה, הם לא יספקו נתונים לארגונים שאין להם את היכולת להבטיח אבטחה.

"שינוי זה ידרבן את הופעתו של מגזר כלכלי חדש: תעשיית הנתונים, לצד תעשיית אבטחת הסייבר. עסקים שאינם מוסמכים להגן על הנתונים שלהם בעצמם יצטרכו לעבור לרכישת שירותים, התחברות למאגרי מידע לאומיים או השתתפות בבורסות נתונים מכובדות במקום לאסוף אותם בעצמם."

"זה עוזר לייעל את המשאבים החברתיים, להפחית את עלויות ההשקעה המבוזרות ולהגביל את סיכוני הדליפה", הוסיף מר סון.

אימות פנים אינו מספיק כדי להילחם בזיוף עמוק

מר טראן קונג קווין לאן - סגן המנהל הכללי של הבנק המסחרי המשותף של וייטנאם לתעשייה ומסחר (Vietinbank) אמר כי כיום 99% מהעסקאות בבנק זה מתבצעות דרך ערוצים דיגיטליים.

כדי לעמוד בדרישות החדשות, VietinBank פרסה מודל אבטחה רב-שכבתי, תוך יישום אימות בן 4 שכבות המופעל כעת:

שכבה 1 ו-2: שם משתמש/סיסמה וקוד OTP.

כיתה 3: ביומטריה (פנים).

שכבה 4: אימות באמצעות כרטיס זיהוי אזרח עם שבב בטכנולוגיית NFC (טכנולוגיית תקשורת אלחוטית לטווח קצר).

מר לאן הדגיש את תפקידה של שכבת ההגנה הרביעית במאבק בהונאות זהות (Deepfake). לדוגמה, בהעברות כספים מעל מיליארד וונד, המערכת דורשת מהמשתמשים לסרוק את תעודות הזהות האזרחיות המוטמעות בשבב שלהם לצורך אימות, במקום להסתמך רק על פניהם.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 3 — מר טראן קונג קווין לאן, סגן המנהל הכללי של VietinBank, שיתף בדיון (צילום: NCA).

ראוי לציין, שכאשר לקוחות מחליפים את מכשירי הטלפון שלהם - התנהגות בעלת סיכון גבוה - הבנק מיישם גם אימות NFC כדי להבטיח אותנטיות.

מלבד הפתרון הטכני, מר לאן ציין את האתגרים התפעוליים העיקריים שמציב הצעת החוק:

סיווג נתונים: בנקים חייבים לבצע סיווג ותיוג נתונים עבור מיליוני עסקאות מדי יום. נתונים ביומטריים, נתונים פיננסיים ונתונים התנהגותיים חייבים להיות בעלי מנגנוני הגנה והרשאות גישה שונות.

דיווח על אירועים תוך 24 שעות: הדרישה לדווח על אירועי סייבר תוך 24 שעות עם תוכנית תגובה מעמיסה עומס עצום על תהליך התגובה.

"אל תסמוך על אף אחד" זו ההגנה הבטוחה ביותר

בנוגע לתשתית הרשת, מר לה קונג טרונג, ראש חטיבת אבטחת הרשת (MobiFone), הציג את יישום ארכיטקטורת Zero Trust - חוסר אמון באף אחד - כדי לעמוד בתקני אבטחת רשת חדשים.

מודל זה מבוסס על 5 עמודי תווך: זהות, מכשיר, רשת, אפליקציה ונתונים. כל גישה חייבת לעבור אימות מחדש באופן רציף.

נקודה מרכזית נוספת היא בקרת סיכוני שרשרת האספקה.

"מוביפון מקדמת את אסטרטגיית האוטונומיה הטכנולוגית שלה, ייצור עצמי של התקני אבטחת רשת כגון חומות אש ופתרונות זיהוי "Made in Vietnam" כדי להימנע מתלות בצדדים שלישיים", שיתף מר טרונג.

נציג MobiFone העריך מאוד גם את העובדה שחוק אבטחת הסייבר עוקב מקרוב אחר תקני TCVN 11423 בנושא אבטחת סייבר, ומסייע לעסקים לקבל מדדים כמותיים ספציפיים (15 דרישות למערכות סוכנויות ממשלתיות, 18 דרישות למערכות לאומיות חשובות) כדי לפרוס פתרונות טכניים.

Dự thảo Luật An ninh mạng chấm dứt tình trạng thu thập dữ liệu dễ dãi - 4 — מר לה קונג טרונג, ראש מחלקת אבטחת הסייבר של MobiFone (צילום: NCA).

נקודת פריצת דרך חדשה בחוק אבטחת הסייבר משנת 2025, אותה הדגיש במיוחד מר וו נגוק סון, היא הדרישה למנהיג.

בניגוד לחוק הישן שקבע רק אחריות כללית, הצעת החוק דורשת מראש הארגון להיות בעל ידע והסמכה בניהול אבטחת סייבר. מר סון אמר שזהו צעד חשוב לשינוי התרבות הארגונית, משום שאם המנהיג לא מבין, הוא לא יוכל לקבל החלטות השקעה יעילות.

"משתמשי האינטרנט צריכים גם לשנות את גישתם מ"הנאה" ל"אחריות". שיתוף נתונים אישיים ברשלנות וללא שליטה זה כמו להשאיר נכסים ללא הגנה, ובכך לעודד בעקיפין פעילות פלילית", הוסיף מר סון.

מר סון, ששיתף את ניסיונו הבינלאומי, ציין את המודל של דרום קוריאה - המדינה שבעבר הייתה המותקפת ביותר על ידי מתקפות סייבר בעולם. דרום קוריאה בנתה מערכת הסמכה אוניברסלית לאבטחת סייבר מבית הספר היסודי ועד לרמת התואר השני.

"הודות לאימון יסודי זה, לעם ולאנשי צוות קוריאנים יש כישורי הגנה טובים מאוד, היוצרים 'מגן' איתן למדינה כאשר לכל הצדדים יש ידע והשקעה באבטחת סייבר", ציין מר סון.

מקור: https://dantri.com.vn/cong-nghe/du-thao-luat-an-ninh-mang-cham-dut-tinh-trang-thu-thap-du-lieu-de-dai-20251124225636608.htm