Выступая на семинаре «Информационная безопасность в секторе ценных бумаг», состоявшемся утром 9 апреля, г-н Ле Конг Фу, заместитель директора Вьетнамского центра реагирования на чрезвычайные ситуации в киберпространстве (Vncert, Министерство информации и коммуникаций ), сообщил, что Департамент информационной безопасности Министерства информации и коммуникаций потребовал от компаний, работающих в сфере ценных бумаг, до 15 апреля предоставить отчет о реализации информационной безопасности по уровням и информационной безопасности в соответствии с 4-уровневой моделью. В частности, эти четыре уровня включают в себя силы безопасности на местах, которые оцениваются профессиональными организациями, контролируются профессиональными организациями и, наконец, связаны с Национальным центром мониторинга кибербезопасности.

По словам г-на Фу, недавно Департамент информационной безопасности настоятельно рекомендовал внедрить эту меру, и группа государственных агентств добилась значительных успехов. Однако ситуация в группе предприятий и финансовых учреждений не очень хорошая.

«Мы не опрашивали компании, работающие с ценными бумагами, об их текущих возможностях предотвращения кибератак. Однако после недавнего инцидента с кибератакой на VNDirect мы обнаружили, что большинство компаний, работающих с ценными бумагами, в частности, и предприятий в целом не соблюдают требования по кибербезопасности на всех уровнях», — сказал г-н Фу.

Г-н Ле Конг Фу, заместитель директора Вьетнамского центра реагирования на чрезвычайные ситуации в киберпространстве (Vncert) Фото: Тронг Хьеу.

В соответствии с положениями раздела 25 приложения IV Закона об инвестициях 2020 года и пункта 2 пункта b пункта 2 статьи 9 Постановления 85/2016/ND-CP информационные системы, предоставляющие услуги по ценным бумагам, должны обеспечивать безопасность информационных систем в соответствии с уровнями, предписанными в Постановлении правительства № 85/2016/ND-CP от 1 июля 2016 года об обеспечении безопасности информационных систем в соответствии с уровнями и Циркуляре 12/2022/TT-BTTTT от 12 августа 2022 года Министра информации и коммуникаций.

Таким образом, согласно официальному сообщению, направленному в компанию по ценным бумагам, необеспечение безопасности информационной системы в соответствии с уровнем является нарушением закона и влечет за собой административную ответственность в соответствии со статьями 88 и 89 Постановления Правительства № 15/2020/ND-CP от 3 февраля 2020 года, регулирующего санкции за административные правонарушения в сфере почты, телекоммуникаций, радиочастот, информационных технологий и электронных транзакций.

В то же время г-н Фу также подчеркнул, что действующие санкции за несоблюдение правил информационной безопасности довольно мягкие и в действительности могут считаться ниже ущерба в случае его возникновения.

Однако если произойдет неожиданный инцидент, подобный недавнему инциденту в VNDirect, штраф может быть небольшим, но репутация и престиж будут сильно затронуты. В ближайшее время может быть рассмотрен вопрос об увеличении штрафов и предъявлении компаниям требований по обеспечению безопасности сетевой информации.

Недавно были рассмотрены и, как ожидается, вскоре будет издан Указ об административных санкциях за правонарушения в области кибербезопасности. В частности, за нарушения в области защиты персональных данных предлагается административный штраф в размере до 5% от общей выручки за предыдущий финансовый год или даже отзыв лицензии на осуществление деятельности на срок от 1 до 3 месяцев.

Г-н Нго Туан Ань — генеральный директор компании SCS Cyber ​​Security, вице-президент Вьетнамской ассоциации информационной безопасности. Фото: Trong Hieu.

По словам г-на Нго Туан Аня, генерального директора компании SCS Cyber ​​Security Company, вице-президента Ассоциации информационной безопасности Вьетнама, положения об обеспечении информационной безопасности теперь доступны в циркуляре с достаточно четкими инструкциями, различными уровнями требований в зависимости от каждого уровня.

«Например, для компании по ценным бумагам на уровне 3 были изложены управленческие и технические операции. Подразделения должны соблюдать их при рассмотрении своих конкретных случаев. При правильном применении правовых норм обеспечьте соблюдение, чтобы избежать дополнительных рисков привлечения к ответственности из-за несоблюдения правовых норм», — также подчеркнул г-н Туан Ань.

По словам г-на Чан Минь Куана, старшего эксперта по безопасности PwC, в отношении обмена опытом стран исследования показывают, что большинство стран, таких как Великобритания и США, создали специализированное подразделение для анализа и составления национальной статистики по кибербезопасности. Исходя из этого, предоставьте форму защиты, которая включает в себя структуру безопасности, поддерживающую подразделение в случае нападения и незнания того, что делать. Эта целевая группа размещает информацию на портале, рассылает отчеты подразделениям для выдачи предупреждений с целью усиления информационной безопасности и информирования подразделений о том, что в случае атаки хакеров они должны предпринять определенные шаги для восстановления.