Lovforslag om cybersikkerhet setter en stopper for slapp datainnsamling

Denne endringen fyller ikke bare juridiske hull, men setter også strenge tekniske barrierer, krever at organisasjonsledere har cybersikkerhetssertifisering og avslutter æraen med "enkel" datainnsamling av bedrifter.

Data blir et spørsmål om nasjonal overlevelse

På seminaret «Cybersecurity Law 2025: Et skritt fremover i å beskytte datasikkerhet» organisert av National Cybersecurity Association på ettermiddagen 24. november, var ekspertene enstemmig enige om at det gamle juridiske rammeverket hadde fullført sitt opprinnelige oppdrag, men ikke var omfattende nok til å møte den nåværende hastigheten på digital transformasjon.

Oberstløytnant Nguyen Dinh Do Thi, nestleder for avdelingen for cybersikkerhet (Avdeling for cybersikkerhet og forebygging og kontroll av høyteknologisk kriminalitet - Departementet for offentlig sikkerhet ) understreket endringen i statlig ledelsestenkning når man betrakter data som «blodet» i den digitale økonomien og identifiserer statens viktigste politikk for å sikre cybersikkerhet og datasikkerhet.

For det første, prioriter cybersikkerhet innen nasjonalt forsvar, sikkerhet, sosioøkonomi , vitenskap og teknologi, og utenrikssaker. For det andre, bygg et trygt cyberrom som ikke skader nasjonal sikkerhet og sosial orden.

For det tredje, fokuser ressursene på å bygge spesialiserte styrker, utvikle menneskelige ressurser av høy kvalitet og fremme forskning og utvikling av cybersikkerhetsteknologi . For det fjerde, oppmuntre organisasjoner og enkeltpersoner til å delta i håndtering av risikoer og koordinere med kompetente myndigheter. For det femte, prioriter bruken av produkter og tjenester fra den vietnamesiske cybersikkerhetsindustrien. For det sjette, styrk internasjonalt samarbeid for å beskytte cybersikkerhet.

Det haster med lovgivning om datasikkerhet som følge av at risikoen for datausikkerhet blir stadig mer alvorlig.

Oberst Thi påpekte at Vietnam alene i 2024 registrerte mer enn 600 000 cyberangrep, hvorav titusenvis var rettet mot statlige etatssystemer.

I tillegg har ransomware-angrep tvunget mange vietnamesiske bedrifter til å betale millioner av dollar i løsepenger for data, tilsvarende tilfeller i USA som kostet opptil 40 millioner dollar. Situasjonen med kjøp og salg av data skjer åpenlyst, typisk tilfellet med å demontere en gruppe personer som ulovlig kjøpte og solgte opptil 6 millioner personopplysninger i februar.

Vu Ngoc Son – leder for avdelingen for forskning, rådgivning, teknologiutvikling og internasjonalt samarbeid (National Cyber ​​Security Association), deler samme syn og vurderte at tillegget av konseptet «datasikkerhet» er en stor suksess for lovforslaget, som setter data i sentrum for sikkerhetsarbeidet.

Ifølge Son vil den nye forskriften skape en streng screeningprosess, som deler markedet inn i to distinkte grupper: «ekte» enheter og «falske» enheter.

Tidligere kunne enheter fritt samle inn og lagre data uten å investere i sikkerhet. Lovforslaget forventes imidlertid å sette en stopper for denne situasjonen. De enhetene som ikke sikrer infrastruktur og cybersikkerhetsløsninger, vil ikke få lov til å samle inn og lagre data.

Herr Son sammenlignet data med penger, folk setter bare inn penger i banker som oppfyller beskyttelsesstandarder, og på samme måte vil de ikke gi data til organisasjoner som mangler kapasitet til å sikre sikkerhet.

«Denne endringen vil anspore til fremveksten av en ny økonomisk sektor: databransjen, ved siden av cybersikkerhetsbransjen. Bedrifter som ikke er kvalifisert til å beskytte dataene sine selv, må gå over til å kjøpe tjenester, koble seg til nasjonale databaser eller delta i anerkjente datautvekslinger i stedet for å samle dem inn selv.»

Dette bidrar til å optimalisere sosiale ressurser, redusere desentraliserte investeringskostnader og begrense lekkasjerisiko, la Son til.

Ansiktsautentisering er ikke nok til å bekjempe deepfake

Tran Cong Quynh Lan – assisterende generaldirektør i Vietnam Joint Stock Commercial Bank for Industry and Trade (Vietinbank) sa at for tiden gjøres 99 % av transaksjonene i denne banken via digitale kanaler.

For å møte de nye kravene har VietinBank tatt i bruk en flerlags sikkerhetsmodell, som bruker den firelags autentiseringen som for øyeblikket brukes:

Lag 1 og 2: Brukernavn/passord og engangskode.

Klasse 3: Biometri (ansikt).

Lag 4: Autentisering via borgeridentifikasjonskort med chip ved bruk av NFC-teknologi (kortholdig trådløs kommunikasjonsteknologi).

Lan understreket rollen til det fjerde beskyttelseslaget i kampen mot identitetssvindel (Deepfake). For eksempel, med pengeoverføringer over 1 milliard VND, krever systemet at brukerne skanner sine chip-innebygde borger-ID-kort for verifisering, i stedet for å bare stole på ansiktene deres.

Det er verdt å merke seg at når kunder bytter telefonenheter – en høyrisikoatferd – bruker banken også NFC-autentisering for å sikre autentisitet.

I tillegg til den tekniske løsningen, påpekte Lan de største driftsutfordringene som lovforslaget medfører:

Dataklassifisering: Banker må utføre dataklassifisering og merking for millioner av transaksjoner hver dag. Biometriske data, økonomiske data og atferdsdata må ha ulike beskyttelsesmekanismer og tilgangsautorisasjoner.

24-timers hendelsesrapportering: Kravet om å rapportere cybersikkerhetshendelser innen 24 timer med en responsplan legger en enorm belastning på responsprosessen.

«Stol ikke på noen» er den sikreste beskyttelsen

Når det gjelder nettverksinfrastruktur, presenterte Le Cong Trung, leder for nettverkssikkerhetsavdelingen (MobiFone), bruken av nulltillitsarkitektur – å ikke stole på noen – for å møte nye standarder for nettverkssikkerhet.

Denne modellen styrer basert på fem søyler: Identitet, enhet, nettverk, applikasjon og data. Hver tilgang må kontinuerlig autentiseres på nytt.

Et annet viktig punkt er å kontrollere risikoer i forsyningskjeden.

«MobiFone promoterer sin strategi for teknologisk autonomi, egenproduserende nettverkssikkerhetsenheter som brannmurer og «Made in Vietnam»-identifikasjonsløsninger for å unngå avhengighet av tredjeparter», delte Trung.

MobiFone-representanten satte også stor pris på at lovforslaget om cybersikkerhet følger TCVN 11423-standardene for cybersikkerhet nøye, og hjelper bedrifter med å ha spesifikke kvantitative målinger (15 krav for statlige etatssystemer, 18 krav for viktige nasjonale systemer) for å distribuere tekniske løsninger.

Et nytt gjennombruddspunkt i cybersikkerhetsloven fra 2025 som herr Vu Ngoc Son spesielt vektla, er kravet til lederen.

I motsetning til den gamle loven, som bare fastsatte generelle ansvarsområder, krever lovforslaget at organisasjonslederen har kunnskap om og sertifisering innen cybersikkerhetsstyring. Son sa at dette er et viktig skritt for å endre organisasjonskulturen, fordi hvis lederen ikke forstår, kan han ikke ta effektive investeringsbeslutninger.

«Internettbrukere må også endre tankegangen sin fra «nytelse» til «ansvar». Å dele personopplysninger uforsiktig og uten kontroll er som å la eiendeler være ubeskyttet, noe som indirekte oppmuntrer til kriminell aktivitet», la Son til.

Son delte internasjonale erfaringer og viste til modellen Sør-Korea – landet som en gang var det landet i verden som ble mest angrepet av cyberangrep. Sør-Korea har bygget et universelt sertifiseringssystem for cybersikkerhet fra barneskolen til høyere utdanning.

«Takket være denne grundige opplæringen har koreanske folk og personell svært gode forsvarsevner, noe som skaper et solid «skjold» for landet når alle parter har kunnskap om og investeringer i cybersikkerhet», siterte Son.

Kilde: https://dantri.com.vn/cong-nghe/du-thao-luat-an-ninh-mang-cham-dut-tinh-trang-thu-thap-du-lieu-de-dai-20251124225636608.htm