Tijdens het seminar met als thema "Gegevensbeveiliging en netwerkbeveiliging in het tijdperk van nationale ontwikkeling" dat op 25 september in de krant Nhan Dan werd gehouden, wezen deskundigen op de risico's en aanbevelingen voor gegevensbescherming en netwerkbeveiliging in Vietnam.
Gegevensbeveiliging is net zo belangrijk als het beschermen van territoriale soevereiniteit .
Tijdens het seminar zei de heer Pham Dai Duong, lid van het Centraal Comité van de Partij en adjunct-hoofd van de Centrale Commissie voor Beleid en Strategie, dat digitale transformatie tegenwoordig alomtegenwoordig is en een onvermijdelijke trend van deze tijd wordt. Digitale transformatie is nauw verbonden met vele sectoren, zoals de digitale overheid, de digitale economie , enzovoort. Data is hierbij een zeer belangrijke factor en wordt beschouwd als een nationaal bezit.
De heer Pham Dai Duong benadrukte dat databeveiliging dezelfde betekenis heeft als het beschermen van territoriale soevereiniteit op zee en te land. De centrale overheid hecht altijd belang aan het beschermen van de soevereiniteit in cyberspace en beschouwt dit als een continue en onlosmakelijk onderdeel van het waarborgen van de nationale veiligheid.

Data wordt beschouwd als een nationaal strategisch bezit, dus we hebben strategieën nodig om dataveiligheid en netwerkbeveiliging te waarborgen. De Partij en de Staat zijn van mening dat bij het waarborgen van netwerkveiligheid en dataveiligheid bij beleidsvorming een omslag nodig is van passief-defensief denken naar proactieve en actieve identificatie van risico's in een vroeg stadium en proactieve maatregelen.
De heer Duong zei dat dit een zeer belangrijke factor is in de bescherming van gegevensbeveiliging, en dat het niet alleen de verantwoordelijkheid is van overheidsinstanties, maar ook van bedrijven en burgers – de personen die gegevens rechtstreeks gebruiken en exploiteren. "Waar de wet vroeger alleen stopte bij preventie, is het met de snelle ontwikkeling van technologie vandaag de dag noodzakelijk om de rol van leiderschap en proactieve oriëntatie te benadrukken."
De heer Ngo Tuan Anh, hoofd van de afdeling Databeveiliging van de National Data Association ( Ministerie van Openbare Veiligheid ), gaf aan dat datadeling de belangrijkste component van het systeem is. Veel lekken komen voort uit zeer basale kwetsbaarheden, voornamelijk in de configuratie, opslag en back-up.

"Allereerst is het een configuratieprobleem. We stellen ons voor dat gegevens in een "huis" staan, maar niet zorgvuldig zijn afgesloten. Er zijn systemen die zeer belangrijke informatie bevatten, maar zwakke wachtwoorden gebruiken, standaardconfiguraties hebben of direct aan het internet zijn blootgesteld. Wanneer een dienst op internet wordt gezet, zijn er na een paar minuten wereldwijd automatische scan- en exploittools. Daarom kunnen veel systemen, zelfs met een klein lek, illegaal worden benaderd", aldus de heer Tuan Anh.
Een ander risico, aldus de heer Ngo Tuan Anh, is de wijdverspreide opslagsituatie. Veel units slaan te veel formulieren en onnodige gegevens op, wat leidt tot hogere opslagkosten en een groter risico. Wanneer het opslagsysteem wordt gecompromitteerd, kan het volledige datablok worden blootgesteld. In het kader van de onlangs aangenomen wet inzake de bescherming van persoonsgegevens is de opslagunit wettelijk aansprakelijk wanneer er risico's ontstaan.
Volgens de heer Tuan Anh kan geen enkel systeem 100% veiligheid garanderen. Onderzoeken tonen aan dat als een slechterik een motief heeft om aan te vallen, de kans op succes zeer hoog is wanneer het systeem zwakke punten heeft. Daarom zijn meerlagige verdedigingsmaatregelen noodzakelijk, waarbij back-up als een van de belangrijkste factoren wordt beschouwd.
Tijdens de discussie vertelde de heer Nguyen Le Thanh, oprichter en uitvoerend voorzitter van Verichains Security Company, dat systemen normaal gesproken vaak worden aangevallen door zwakke plekken, die te wijten kunnen zijn aan een te oud systeem, een onzorgvuldige configuratie of beveiligingsfouten. Soms komen deze zwakke plekken voort uit onjuiste autorisatie, gebruikersfouten of systeembeheerfouten.
Aanvallers zullen eerst op zoek gaan naar deze fouten en zwakke punten in een databasebeheersysteem om aan te vallen. Als de systeemelementen goed zijn opgebouwd en beheerd, zullen ze blijven zoeken naar zwakke punten die moeilijker te beschermen zijn.
Op dit moment worden gebruikers en beheerders het doelwit van aanvallers. Afhankelijk van hun capaciteiten en bewustzijn van persoonlijke veiligheid, kan iedereen zijn eigen informatie beheren, beschermen en beveiligen.
Een ander probleem is het fenomeen van frauduleuze personen en bedrijven die parttime medewerkers of medewerkers werven. Na een tijdje in dienst te zijn, infiltreren deze personen het informatiesysteem van de gebruiker en raakt de gebruiker zonder het te weten besmet met malware. "Er zijn gevallen bekend van mensen die solliciteerden naar een baan bij een organisatie, en na een tijdje in dienst te zijn geweest, werden hun persoonsgegevens aangevallen", onthulde de heer Thanh.
Tot slot, aldus de heer Thanh, kunnen de subjecten en organisaties die het datasysteem infiltreren, aanvallen van derden uitvoeren. Dit zijn partners die vaak producten, diensten en oplossingen leveren die verband houden met het systeem. Om een informatiesysteem te bouwen, moeten we technologie gebruiken die door meerdere partijen wordt aangeboden en soms kunnen we niet alles beheersen en controleren. Elke derde partij kan nalatig zijn en dit is een kans voor de bovengenoemde subjecten om aan te vallen.

Volgens deze expert zijn aanvallen door derden talrijker en effectiever dan aanvallen door gebruikers en directe aanvallen op kwetsbaarheden in systemen.
Dit toont aan dat technologische autonomie om de afhankelijkheid van derden te verminderen, enorm belangrijk is. Dat is echter niet eenvoudig. Het bouwen van een systeem vereist namelijk veel stappen, de deelname van veel verschillende componenten en het is erg lastig voor ons om het geheel zelf te bouwen.
De heer Thanh is van mening dat het noodzakelijk is om vast te stellen dat geen enkel systeem absoluut veilig is. "Momenteel zijn de meeste moderne cybersecurity-aanvalseenheden zeer systematisch georganiseerd en opereren ze zeer systematisch. Ze hebben motivatie, doelen en ruime financiële middelen. Daarom moeten we anders denken en bepalen welke 'middelen' het belangrijkst en noodzakelijkst zijn in het gehele informatiesysteem. Van daaruit moeten we andere beschermingsmaatregelen nemen, zodat in geval van een incident het dataverlies beperkt blijft, de hoeveelheid verloren informatie niet te waardevol is en geen ernstige schade veroorzaakt", aldus de heer Thanh.
We hebben een algemeen ingenieur nodig voor data governance en cybersecurity
De heer Pham Dai Duong, lid van het Centraal Comité van de Partij en adjunct-hoofd van de Centrale Commissie voor Beleid en Strategie, zei dat gegevensbescherming twee elementen vereist: ten eerste bescherming door technologie, infrastructuur en processen – oftewel technische oplossingen; ten tweede bescherming door het rechtssysteem. We hebben al veel wetten, zoals de wet op cyberbeveiliging, de wet op de bescherming van persoonsgegevens,... en de komende tijd zal de Nationale Assemblee de desbetreffende wetten blijven herzien en verbeteren.
Daarnaast bevat Resolutie 57/NQ-TW een implementatieplan, inclusief Plan nr. 01 over strategische technologieën, om de autonomie te vergroten en kerntechnologieën voor databeveiliging onder de knie te krijgen. Het consistente standpunt is om van passieve verdediging over te stappen op proactieve vroege risico-identificatie, proactieve preventie en respons.
Volgens Dr. Phan Van Hung, adjunct-hoofdredacteur van de krant Nhan Dan, ontbreken er "algemene ingenieurs" op het gebied van gegevensbeheer en netwerkbeveiliging om een harmonieuze en synchrone combinatie te realiseren.

Met de mogelijkheid om onbeperkt te kopiëren, worden data een belangrijk productiemiddel, uiterst belangrijk in de digitale economie. Wat betreft beheer is het noodzakelijk om een synchroon rechtssysteem op te bouwen en te institutionaliseren, gericht op het leiden van de wet, het creëren van eerlijkheid, het beschermen van kwetsbare groepen en het reguleren in overeenstemming met de doelstellingen van de staat.
Volgens Dr. Phan Van Hung moet de wet de eigendomsrechten van individuen en de rechten van de staat specificeren, een kader creëren voor voorwaardelijke gegevensuitwisseling en openbare en private gegevens combineren. Er zullen geschillen ontstaan die de wet niet kan oplossen, dus het Openbaar Ministerie en de rechterlijke macht moeten precedenten creëren om het rechtssysteem en het bestuur effectief op elkaar af te stemmen.
Vanuit het perspectief van een cybersecurity-expert zei de heer Ngo Tuan Anh: "Op basis van praktische lessen is het noodzakelijk om te focussen op drie soorten oplossingen: het aanscherpen van de beveiligingsconfiguratie voordat diensten op internet worden gezet; het beheren, classificeren en beperken van onnodige gegevensopslag; het opzetten van een proces voor vroege detectie, isolatie, herstel en juridische coördinatie wanneer incidenten zich voordoen. Dit zijn essentiële stappen om de belangrijkste activa van de organisatie te beschermen: gegevens."
De heer Tuan Anh zei ook dat de National Data Association bezig is met het ontwikkelen van een reeks basisnormen met betrekking tot gegevensbeveiliging. Naar verwachting zal de reeks normen in de nabije toekomst ter beoordeling aan afdelingen en afdelingen worden voorgelegd ter ondersteuning van de publicatie en toepassing ervan, in de eerste plaats aan de leden, en zo de naleving ervan verbeteren.
Een andere belangrijke kwestie is de proactieve ontwikkeling van cybersecurityoplossingen. Binnenlandse afdelingen en bedrijven werken samen met de National Cyber Security Association aan de ontwikkeling van een nationaal ecosysteem voor cybersecurityproducten. Er zijn namelijk veel aanwijzingen dat buitenlandse technologieproducten risico's met zich meebrengen, omdat er kwetsbaarheden kunnen zijn, opzettelijk of onopzettelijk, waardoor gegevens kunnen worden geëxtraheerd en verzonden.
"Er zijn gevallen bekend waarin bepaalde beveiligingssystemen die in Vietnam zijn geïmplementeerd, per ongeluk gegevens door buitenlandse infrastructuur lieten gaan voordat ze werden opgeslagen. Dit verhoogt het risico op datalekken. Om de gegevensbeveiliging te waarborgen, moeten we ons daarom richten op standaardisatie, naleving en het bevorderen van de ontwikkeling van beveiligings- en veiligheidsoplossingen die in Vietnam zelf worden ontwikkeld", benadrukte de vertegenwoordiger van de National Data Association.
Bron: https://www.vietnamplus.vn/huong-di-nao-de-dam-bao-an-ninh-du-lieu-trong-ky-nguyen-moi-cua-viet-nam-post1064101.vnp
Reactie (0)