Statsbanken krever grundig korrigering av sårbarheter i informasjonssystemer

Ovennevnte forespørsel ble sendt av Statsbanken 11. september til kredittinstitusjoner, leverandører av betalingsformidlingstjenester, leverandører av kredittinformasjonstjenester, innskuddsforsikring, Vietnam National Payment Joint Stock Company og National Credit Information Center (CIC), etter en hendelse med tegn på datatyveri hos CIC.

Statsbanken sa at de mottok advarsler fra myndigheter og rapporter fra medlemmer av Banking Information Technology Security Incident Response Network om nettkriminelle som øker målrettede angrep, utnytter sårbarheter og svakheter i applikasjoner og informasjonsteknologiinfrastruktur.

Derfor ba direktøren for avdelingen for informasjonsteknologi (State Bank) enhetene om å styrke informasjonssystemsikkerheten og datasikkerheten.

Ledere av disse bankene og bedriftene må være oppmerksomme på informasjonssikkerhet i cyberspace og være ansvarlige overfor loven og sentralbanksjefen dersom det oppstår tap av nettverkssikkerhet, datalekkasje eller statshemmeligheter i enhetene de administrerer.

Enhetene må grundig og raskt utbedre smutthull og svakheter som fortsatt finnes i informasjonssystemene. Samtidig må enhetene oppgradere og erstatte systemer som fortsatt bruker utdaterte operativsystemer og applikasjoner som ikke lenger støttes av produsenten.

Statsbanken krever at banker og betalingsformidlere ... raskt oppdaterer sikkerhetsoppdateringer for alle enheter i systemet, spesielt servere, applikasjoner, nettverksenheter og nettverkssikkerhet. Tjenesteporter på serveren sikrer at bare nødvendige tjenester åpnes.

I tillegg nevnte lederen for IT-avdelingen en rekke andre oppgaver for å forbedre systemsikkerheten og datasikkerheten, som tilgangsrettigheter for systemadministrasjon for tjenestemenn, flerfaktorautentisering ved tilgang til administrasjon av servere, applikasjoner og nettverksenheter, viktig nettverkssikkerhet, forebygging av datatap, kryptert lagring av informasjon og data (ikke offentlig informasjon og data)...

Enheter må også vurdere informasjonssikkerhet med tjenester levert av tredjeparter, forhindre og stoppe hackere fra å utnytte tredjeparts sikkerhetssårbarheter for å trenge inn i enhetens system (forsyningskjedeangrep).

I tillegg må enheter i bransjen regelmessig gjennomgå trusler mot informasjonssystemer, oppdatere etterretning om pågående og kommende trusler for å proaktivt og effektivt kunne reagere på cyberangrep, samt ha planer og scenarioer for respons. Viktige data og applikasjoner må sikkerhetskopieres i henhold til forskrifter og instruksjoner fra Statsbanken, og sikre gjenoppretting når det er nødvendig.

Kvelden 11. september opplyste VNCERT-senteret under avdelingen for cybersikkerhet og forebygging og kontroll av høyteknologisk kriminalitet – Ministry of Public Security at de hadde mottatt en rapport om en «cybersikkerhetshendelse og tegn på brudd på personopplysninger» som fant sted ved National Credit Information Center (CIC) 10. september.

Denne enheten har koordinert med bedrifter som tilbyr nettverksinformasjonssikkerhetstjenester og CIC, funksjonelle enheter i statsbanken, for å verifisere hendelser, responsteknikker, samle inn data og bevis.

«Resultatene av de første verifiseringene viser tegn på nettkriminalitetsangrep og inntrenging for å stjele personopplysninger. Mengden data som er ulovlig tilegnet telles og avklares kontinuerlig», heter det i kunngjøringen.

Nylig har en rekke organisasjoner og bedrifter i Vietnam blitt ofre for cyberangrep. I fjor ble VnDirect, PVOIL og VNPost angrepet av hackere som krypterte dataene deres og krevde løsepenger, noe som påvirket driften deres.

Vietnams nasjonale kredittinformasjonssenter (CIC) underlagt statsbanken utfører funksjoner innen penge- og banksektoren og er godt kjent for sin rolle i å støtte kredittinstitusjoner i forretningsdrift og hjelpe låntakere med å få tilgang til kredittkilder.