บริษัทหลักทรัพย์ต้องแก้ไขช่องโหว่และจุดอ่อนทันทีก่อนวันที่ 15 เมษายน

บ่ายวันนี้ 27 มี.ค. กรมความมั่นคงปลอดภัยสารสนเทศ (กระทรวงสารสนเทศและการสื่อสาร) ได้ส่งหนังสือแจ้งไปยังบริษัทหลักทรัพย์ เรื่อง การเสริมสร้างความมั่นคงปลอดภัยสารสนเทศเครือข่ายสำหรับระบบสารสนเทศ

Yêu cầu các công ty chứng khoán khắc phục ngay lỗ hổng, điểm yếu trước ngày 15.4- Ảnh 1. — นักลงทุนจำนวนมากที่เปิดบัญชีซื้อขายกับบริษัทหลักทรัพย์ VNDIRECT กำลังนั่งอยู่บนถ่านร้อนหลังจากที่ระบบถูกโจมตีทางไซเบอร์ และพวกเขาไม่สามารถซื้อขายได้

นายทราน ดัง กวน รองผู้อำนวยการฝ่ายความมั่นคงปลอดภัยสารสนเทศ กล่าวว่า ในช่วงที่ผ่านมา ระบบของบริษัทหลักทรัพย์หลายแห่งประสบปัญหาความมั่นคงปลอดภัยสารสนเทศบนเครือข่าย ก่อให้เกิดความเสียหายร้ายแรงต่อธุรกิจหลักทรัพย์ ก่อให้เกิดความตื่นตระหนก และกระทบต่อความเชื่อมั่นด้านความปลอดภัยของตลาดหลักทรัพย์ในเวียดนามโดยเฉพาะ และตลาดการเงินโดยรวม

กรมความปลอดภัยสารสนเทศ ทำหน้าที่บริหารจัดการสถานะความปลอดภัยข้อมูลเครือข่าย โดยขอให้บริษัทหลักทรัพย์ตรวจสอบและจัดระเบียบการดำเนินการเพื่อให้มั่นใจถึงความปลอดภัยข้อมูลเครือข่ายสำหรับระบบสารสนเทศที่บริษัทหลักทรัพย์บริหารจัดการ โดยมีหน้าที่หลักดังต่อไปนี้

ดังนั้น บริษัทหลักทรัพย์จึงจำเป็นต้องจัดให้มีการตรวจสอบ ตรวจสอบ และประเมินผล เพื่อให้มั่นใจถึงความปลอดภัยของข้อมูลในระบบสารสนเทศที่อยู่ภายใต้การบริหารจัดการ และดำเนินมาตรการทันทีเพื่อแก้ไขความเสี่ยง จุดอ่อน และจุดอ่อนในระบบสารสนเทศ โดยเฉพาะอย่างยิ่งระบบสารสนเทศสำหรับการจัดการบัญชีลูกค้าที่ให้บริการธุรกรรมหลักทรัพย์ออนไลน์ ซึ่งต้องดำเนินการให้เสร็จสิ้นก่อนวันที่ 15 เมษายน

นอกจากนี้ บริษัทหลักทรัพย์จะทบทวนและจัดระเบียบการดำเนินการตามหลักประกันความปลอดภัยของข้อมูลตามระดับที่กำหนดไว้ในพระราชกฤษฎีกาฉบับที่ 85/2016/ND-CP ของ รัฐบาล ว่าด้วยการรับรองความปลอดภัยของระบบสารสนเทศตามระดับและหนังสือเวียนที่ 12/2022/TT-BTTTT ของกระทรวงสารสนเทศและการสื่อสาร

ปฏิบัติตามกฎหมายและเสริมสร้างการประกันความปลอดภัยระบบสารสนเทศตามระดับโดยเฉพาะการจัดระเบียบสถิติและการจัดประเภทระบบสารสนเทศภายใต้การจัดการ พัฒนาแผนการดำเนินการและดำเนินการตามระเบียบการประกันความปลอดภัยระบบสารสนเทศตามระดับให้เสร็จสมบูรณ์ (ตามความคืบหน้ารายเดือน) ให้แน่ใจว่าระบบสารสนเทศที่ปฏิบัติงาน 100% จะต้องได้รับการอนุมัติระดับความปลอดภัยของระบบสารสนเทศภายในเดือนกันยายนเป็นอย่างช้าที่สุด และปฏิบัติตามแผนประกันความปลอดภัยสารสนเทศให้ครบถ้วนตามเอกสารข้อเสนอระดับที่ได้รับอนุมัติภายในเดือนธันวาคม 2567 เป็นอย่างช้าที่สุด

จัดระเบียบการดำเนินงานด้านการรับรองความปลอดภัยของข้อมูลอย่างมีประสิทธิผล มีสาระสำคัญ สม่ำเสมอ และต่อเนื่องตามแบบจำลอง 4 ชั้น โดยเฉพาะอย่างยิ่งการปรับปรุงความสามารถของชั้นการตรวจสอบและการป้องกันระดับมืออาชีพ และการรักษาการเชื่อมต่อและการแบ่งปันข้อมูลอย่างต่อเนื่องและเสถียรกับศูนย์ติดตามความปลอดภัยทางไซเบอร์แห่งชาติ (แผนกความปลอดภัยข้อมูล) ให้ความสำคัญกับการใช้ผลิตภัณฑ์ โซลูชัน และบริการด้านความปลอดภัยของข้อมูลเครือข่ายที่ผลิตหรือเชี่ยวชาญโดยองค์กรของเวียดนาม

ค้นหาภัยคุกคาม ตรวจจับสัญญาณการบุกรุกอย่างทันท่วงที

นอกจากนี้ บริษัทหลักทรัพย์ต้องพัฒนาแผนรับมือเหตุการณ์ระบบสารสนเทศที่ตนบริหารจัดการ ตามที่กำหนดไว้ในหนังสือเวียนที่ 20/2560/TT-BTTTT ของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ว่าด้วยการประสานงานและตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศเครือข่ายทั่วประเทศ; จัดทำแผนสำรองระบบและข้อมูลสำคัญเป็นระยะๆ เพื่อกู้คืนอย่างทันท่วงทีเมื่อเกิดการโจมตีการเข้ารหัสข้อมูล และรายงานเหตุการณ์ไปยังกรมความมั่นคงปลอดภัยสารสนเทศตามที่กำหนด; มีส่วนร่วมในเครือข่ายระดับชาติเพื่อตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศเครือข่าย

ดำเนินการค้นหาภัยคุกคามเป็นระยะเพื่อตรวจจับสัญญาณการบุกรุกระบบอย่างทันท่วงที สำหรับระบบที่ตรวจพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรง ให้ดำเนินการค้นหาภัยคุกคามทันทีหลังจากแก้ไขช่องโหว่ เพื่อตรวจสอบความเป็นไปได้ของการบุกรุกก่อนหน้านี้

ตรวจสอบและอัปเดตแพตช์ความปลอดภัยข้อมูลสำหรับระบบที่สำคัญตามคำเตือนจากฝ่ายความปลอดภัยข้อมูลและหน่วยงานและองค์กรที่เกี่ยวข้อง ตรวจสอบ ประเมิน และทบทวนเป็นระยะเพื่อตรวจจับช่องโหว่และจุดอ่อนด้านความปลอดภัยข้อมูลที่มีอยู่ในระบบอย่างทันท่วงที

กรมความปลอดภัยสารสนเทศขอให้บริษัทต่างๆ จัดทำการตรวจสอบ กำหนดศูนย์กลางสำหรับการแลกเปลี่ยนข้อมูลระดับมืออาชีพ และรายงานผลการดำเนินการให้กรมความปลอดภัยสารสนเทศทราบก่อนวันที่ 15 เมษายน เพื่อสรุปและรายงานให้หน่วยงานที่มีอำนาจหน้าที่ทราบ

ลิงค์ที่มา