Mewajibkan perusahaan efek untuk segera memperbaiki celah dan kelemahan sebelum 15 April

Sore ini, 27 Maret, Departemen Keamanan Informasi (Kementerian Informasi dan Komunikasi) mengirimkan surat kepada perusahaan sekuritas mengenai penguatan keamanan informasi jaringan untuk sistem informasi.

Menurut Bapak Tran Dang Khoan, Wakil Direktur Departemen Keamanan Informasi, akhir-akhir ini sejumlah sistem perusahaan sekuritas mengalami insiden keamanan informasi jaringan, yang mengakibatkan kerusakan serius pada bisnis sekuritas, menimbulkan kepanikan, dan memengaruhi kepercayaan terhadap keamanan bursa saham di Vietnam pada khususnya dan pasar keuangan pada umumnya.

Dalam menyelenggarakan fungsi pengelolaan keamanan informasi jaringan negara, Departemen Keamanan Informasi meminta perusahaan sekuritas untuk mengkaji dan mengatur pelaksanaan penjaminan keamanan informasi jaringan terhadap sistem informasi yang dikelolanya, dengan tugas pokok sebagai berikut.

Oleh karena itu, perusahaan efek perlu menyelenggarakan peninjauan, inspeksi, dan penilaian untuk memastikan keamanan informasi sistem informasi yang dikelolanya dan segera menerapkan langkah-langkah untuk mengatasi risiko, kerentanan, dan kelemahan dalam sistem informasi, khususnya sistem informasi manajemen rekening nasabah yang melayani transaksi efek daring. Hal ini harus diselesaikan sebelum tanggal 15 April.

Selain itu, perusahaan efek mengkaji dan menyelenggarakan pelaksanaan jaminan keamanan informasi sesuai jenjang yang ditetapkan dalam Peraturan Pemerintah Nomor 85/2016/ND-CP tentang Jaminan Keamanan Sistem Informasi Sesuai Jenjang dan Surat Edaran Kementerian Informasi dan Komunikasi Nomor 12/2022/TT-BTTTT.

Mematuhi ketentuan perundang-undangan dan memperkuat jaminan keamanan sistem informasi secara berjenjang, terutama dalam hal penyelenggaraan statistik dan pengklasifikasian sistem informasi yang dikelola; menyusun rencana pelaksanaan dan penyelesaian ketentuan jaminan keamanan sistem informasi secara berjenjang (berdasarkan perkembangan bulanan); memastikan 100% sistem informasi yang beroperasi telah memiliki izin edar tingkat keamanan sistem informasi paling lambat bulan September, dan melaksanakan sepenuhnya rencana jaminan keamanan informasi sesuai dokumen usulan tingkat yang telah disetujui paling lambat bulan Desember 2024.

Menyelenggarakan pelaksanaan tugas penjaminan keamanan informasi yang efektif, substansial, teratur dan berkesinambungan sesuai model 4 lapis, khususnya meningkatkan kapasitas lapisan pemantauan dan perlindungan profesional serta memelihara koneksi dan berbagi informasi yang berkesinambungan dan stabil dengan Pusat Pemantauan Keamanan Siber Nasional (Departemen Keamanan Informasi); memprioritaskan penggunaan produk, solusi dan layanan keamanan informasi jaringan yang diproduksi atau dikuasai oleh perusahaan Vietnam.

Berburu ancaman dan segera mendeteksi tanda-tanda intrusi

Selain itu, perusahaan efek perlu menyusun rencana tanggap insiden terhadap sistem informasi yang dikelolanya sebagaimana diamanatkan dalam Surat Edaran Kementerian Komunikasi dan Informatika Nomor 20/2017/TT-BTTTT tentang koordinasi dan tanggap insiden keamanan informasi jaringan secara nasional; membuat rencana pencadangan sistem dan data penting secara berkala untuk melakukan pemulihan segera jika terjadi serangan enkripsi data, serta melaporkan insiden tersebut kepada Departemen Keamanan Informasi sebagaimana diamanatkan; berperan serta dalam jaringan tanggap insiden keamanan informasi jaringan nasional.

Lakukan perburuan ancaman secara berkala untuk segera mendeteksi tanda-tanda intrusi sistem. Untuk sistem yang ditemukan memiliki kerentanan keamanan serius, segera lakukan perburuan ancaman setelah memperbaiki kerentanan untuk menentukan kemungkinan intrusi sebelumnya.

Periksa dan perbarui patch keamanan informasi untuk sistem penting sesuai dengan peringatan dari Departemen Keamanan Informasi dan lembaga serta organisasi terkait; periksa, evaluasi, dan tinjau secara berkala untuk segera mendeteksi kerentanan dan kelemahan keamanan informasi yang ada dalam sistem.

Departemen Keamanan Informasi meminta perusahaan untuk mengadakan tinjauan, menetapkan kontak khusus, dan melaporkan hasil implementasi ke Departemen Keamanan Informasi sebelum tanggal 15 April untuk sintesis dan pelaporan ke otoritas yang berwenang.