ขอให้บริษัทหลักทรัพย์ทบทวนความเสี่ยงและเสริมสร้างความปลอดภัยระบบสารสนเทศ

วันที่ 15 เมษายน เป็นกำหนดเส้นตายที่บริษัทหลักทรัพย์จะต้องดำเนินการตรวจสอบและประเมินความปลอดภัยของข้อมูลให้เสร็จสิ้น และดำเนินมาตรการเพื่อเอาชนะความเสี่ยงและจุดอ่อนของระบบของตน รวมถึงระบบที่ให้บริการธุรกรรมหลักทรัพย์ออนไลน์

จากเหตุการณ์ระบบของบริษัทหลักทรัพย์ VNDIRECT ถูกโจมตีทางไซเบอร์ เมื่อวันที่ 24 มีนาคม 2563 ทำให้ไม่สามารถดำเนินกิจกรรมทางธุรกิจและธุรกรรมต่างๆ ของบริษัทผู้ลงทุนหลักทรัพย์จำนวนมากได้นั้น ในฐานะหน่วยงานบริหารจัดการความปลอดภัยข้อมูลเครือข่ายของรัฐ กรมความปลอดภัยข้อมูล (กระทรวงสารสนเทศและการสื่อสาร) เพิ่งออกเอกสารขอให้บริษัทหลักทรัพย์เสริมความแข็งแกร่งด้านความปลอดภัยของระบบสารสนเทศที่บริษัทบริหารจัดการอยู่

กรมรักษาความปลอดภัยสารสนเทศระบุว่า เหตุการณ์ทางไซเบอร์ที่เกิดขึ้นล่าสุดในระบบของบริษัทหลักทรัพย์บางแห่งได้สร้างความเสียหายร้ายแรงให้กับบริษัทหลักทรัพย์ ขณะเดียวกันก็สร้างความสับสนและส่งผลกระทบต่อความเชื่อมั่นของผู้ใช้ในความปลอดภัยของตลาดหลักทรัพย์ในเวียดนามโดยเฉพาะและตลาดการเงินโดยทั่วไปในระดับหนึ่ง

เพื่อให้มั่นใจถึงความปลอดภัยของระบบสารสนเทศของบริษัทหลักทรัพย์ กรมความมั่นคงปลอดภัยสารสนเทศจึงขอแนะนำให้บริษัทเหล่านี้มุ่งเน้นไปที่การดำเนินการตรวจสอบ ตรวจสอบ และประเมินผลการรับประกันความปลอดภัยของข้อมูลระบบสารสนเทศที่บริษัทบริหารจัดการอยู่ ตั้งแต่วันนี้จนถึงวันที่ 15 เมษายน และดำเนินการใช้มาตรการทันทีเพื่อเอาชนะความเสี่ยง จุดอ่อน และจุดอ่อนของระบบ โดยเฉพาะอย่างยิ่งกับระบบการจัดการบัญชีลูกค้าที่ให้บริการธุรกรรมหลักทรัพย์ออนไลน์

บริษัทหลักทรัพย์จำเป็นต้องทบทวนและจัดระเบียบการประกันความปลอดภัยระบบสารสนเทศตามระดับ โดยเฉพาะการจัดระเบียบสถิติและจำแนกประเภทระบบสารสนเทศภายใต้การบริหารจัดการของตน พัฒนาแผนการดำเนินการเพื่อปฏิบัติตามกฎระเบียบเกี่ยวกับการประกันความปลอดภัยระบบสารสนเทศตามระดับให้เสร็จสมบูรณ์

เป้าหมายคือการให้แน่ใจว่าระบบสารสนเทศปฏิบัติการ 100% ได้รับการอนุมัติระดับความปลอดภัยภายในเดือนกันยายนเป็นอย่างช้า และนำแผนประกันความปลอดภัยของข้อมูลไปปฏิบัติให้ครบถ้วนตามเอกสารข้อเสนอระดับที่ได้รับอนุมัติ

จัดระเบียบการดำเนินงานด้านการรับรองความปลอดภัยของข้อมูลที่มีประสิทธิภาพ มีสาระสำคัญ สม่ำเสมอ และต่อเนื่องตามแบบจำลอง 4 ชั้น โดยเฉพาะอย่างยิ่งการปรับปรุงความสามารถของชั้นการตรวจสอบและการป้องกันระดับมืออาชีพ และการรักษาการเชื่อมต่อและการแบ่งปันข้อมูลอย่างต่อเนื่องและเสถียรกับศูนย์ตรวจสอบความปลอดภัยทางไซเบอร์แห่งชาติของกระทรวงสารสนเทศและการสื่อสาร

ฝ่ายรักษาความปลอดภัยข้อมูลขอแนะนำว่า ควบคู่ไปกับการพัฒนาแผนการตอบสนองต่อเหตุการณ์สำหรับระบบสารสนเทศภายใต้การบริหารจัดการ บริษัทหลักทรัพย์จำเป็นต้องนำแผนสำรองระบบและข้อมูลสำคัญเป็นระยะๆ มาใช้เพื่อให้สามารถเรียกคืนข้อมูลได้อย่างทันท่วงทีเมื่อเกิดการโจมตีเข้ารหัสข้อมูล

ดำเนินการตรวจสอบและส่งเสริมการดำเนินกิจกรรมรับมือเหตุการณ์ด้านความปลอดภัยสารสนเทศเครือข่ายของเวียดนาม ตรวจหาภัยคุกคามเป็นระยะเพื่อตรวจจับสัญญาณการบุกรุกระบบได้อย่างทันท่วงที สำหรับระบบที่ตรวจพบช่องโหว่ด้านความปลอดภัยร้ายแรง หลังจากแก้ไขช่องโหว่แล้ว หน่วยงานจำเป็นต้องตรวจหาภัยคุกคามทันทีเพื่อประเมินความเป็นไปได้ของการบุกรุกก่อนหน้านี้

กรมความมั่นคงปลอดภัยสารสนเทศขอแนะนำให้บริษัทหลักทรัพย์ตรวจสอบและอัปเดตแพตช์รักษาความปลอดภัยสารสนเทศสำหรับระบบสำคัญๆ ตามคำเตือนจากกรมความมั่นคงปลอดภัยสารสนเทศและหน่วยงานและองค์กรที่เกี่ยวข้อง ขณะเดียวกัน ควรตรวจสอบ ประเมินผล และทบทวนเป็นระยะๆ เพื่อตรวจหาช่องโหว่และจุดอ่อนด้านความปลอดภัยสารสนเทศที่มีอยู่ในระบบอย่างทันท่วงที

ทราน บินห์