ในงานสัมมนา "การรักษาความปลอดภัยข้อมูลในภาคหลักทรัพย์" ที่จัดขึ้นในช่วงเช้าของวันที่ 9 เมษายนที่ผ่านมา นายเล กง ฟู รองผู้อำนวยการศูนย์รับมือสถานการณ์ฉุกเฉินไซเบอร์สเปซเวียดนาม (Vncert กระทรวงสารสนเทศและการสื่อสาร ) กล่าวว่า กรมรักษาความปลอดภัยข้อมูล กระทรวงสารสนเทศและการสื่อสาร ได้ขอให้บริษัทหลักทรัพย์รายงานการดำเนินการรักษาความปลอดภัยข้อมูลตามระดับและแบบจำลอง 4 ชั้น ก่อนวันที่ 15 เมษายนนี้ โดยเฉพาะอย่างยิ่งทั้ง 4 ชั้นนี้ ได้แก่ กำลังพลรักษาความปลอดภัยในสถานที่ ซึ่งได้รับการประเมินโดยองค์กรวิชาชีพ เฝ้าระวังโดยองค์กรวิชาชีพ และสุดท้ายเชื่อมโยงกับศูนย์ติดตามความปลอดภัยทางไซเบอร์แห่งชาติ

นายฟู เปิดเผยว่า ล่าสุด กรมการรักษาความปลอดภัยข้อมูลได้เร่งรัดให้ดำเนินการ และกลุ่มหน่วยงานของรัฐก็ดำเนินการได้ค่อนข้างดี อย่างไรก็ตามกลุ่มธุรกิจและสถาบันการเงินยังไม่ดีนัก

“เราไม่ได้สำรวจบริษัทหลักทรัพย์เกี่ยวกับความสามารถในการป้องกันการโจมตีทางไซเบอร์ในปัจจุบัน อย่างไรก็ตาม หลังจากเหตุการณ์การโจมตีทางไซเบอร์ที่ VNDirect เมื่อไม่นานนี้ เราพบว่าบริษัทหลักทรัพย์ส่วนใหญ่โดยเฉพาะและธุรกิจโดยทั่วไปไม่ได้ปฏิบัติตามข้อมูลเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ในทุกระดับ” นายฟูกล่าว

นายเล กง ฟู รองผู้อำนวยการศูนย์ตอบสนองเหตุฉุกเฉินทางไซเบอร์เวียดนาม (Vncert) ภาพโดย: Trong Hieu

ภายใต้บทบัญญัติของมาตรา 25 ภาคผนวก IV ของกฎหมายการลงทุน พ.ศ. 2563 และข้อ 2 จุด b ข้อ 2 มาตรา 9 แห่งพระราชกฤษฎีกา 85/2016/ND-CP ระบบสารสนเทศที่ให้บริการด้านหลักทรัพย์จะต้องรับประกันความปลอดภัยของระบบสารสนเทศตามระดับที่กำหนดไว้ในพระราชกฤษฎีกาหมายเลข 85/2016/ND-CP ลงวันที่ 1 กรกฎาคม 2559 ของรัฐบาลว่าด้วยการรับประกันความปลอดภัยของระบบสารสนเทศตามระดับ และหนังสือเวียน 12/2022/TT-BTTTT ลงวันที่ 12 สิงหาคม 2565 ของรัฐมนตรีว่าการกระทรวงสารสนเทศและการสื่อสาร

ดังนั้น ตามเอกสารราชการที่ส่งถึงบริษัทหลักทรัพย์ การไม่รักษาความปลอดภัยของระบบสารสนเทศตามระดับถือเป็นการฝ่าฝืนกฎหมายและอาจถูกลงโทษทางปกครองตามมาตรา 88 และ 89 แห่งพระราชกฤษฎีกาฉบับที่ 15/2020/ND-CP ลงวันที่ 3 กุมภาพันธ์ 2020 ของรัฐบาลที่ควบคุมการคว่ำบาตรการฝ่าฝืนทางปกครองในด้านไปรษณีย์ โทรคมนาคม คลื่นความถี่วิทยุ เทคโนโลยีสารสนเทศ และธุรกรรมทางอิเล็กทรอนิกส์

ในขณะเดียวกัน นายฟู ยังเน้นย้ำด้วยว่า มาตรการลงโทษปัจจุบันสำหรับผู้ที่ไม่ปฏิบัติตามกฎข้อบังคับด้านความปลอดภัยข้อมูลนั้นไม่รุนแรงมากนัก และในความเป็นจริงแล้ว ถือว่าน้อยกว่าความเสียหายที่เกิดขึ้น

อย่างไรก็ตาม หากเกิดเหตุการณ์ที่ไม่คาดคิดเช่นที่ VNDirect เกิดขึ้นเมื่อไม่นานนี้ ค่าปรับอาจน้อย แต่ชื่อเสียงและเกียรติยศจะได้รับผลกระทบเป็นอย่างมาก ในอนาคตอันใกล้นี้ ค่าปรับอาจได้รับการพิจารณาให้เพิ่มขึ้น และธุรกิจต่างๆ อาจจำเป็นต้องให้ความสำคัญกับการรักษาความปลอดภัยข้อมูลบนเครือข่าย

เมื่อไม่นานนี้ ได้มีการหารือเกี่ยวกับพระราชกฤษฎีกาเกี่ยวกับการลงโทษทางปกครองสำหรับการละเมิดในสาขาวิชาการรักษาความปลอดภัยทางไซเบอร์ และคาดว่าจะประกาศใช้ในเร็วๆ นี้ โดยเฉพาะอย่างยิ่ง ในกรณีละเมิดการคุ้มครองข้อมูลส่วนบุคคล อาจมีการลงโทษทางปกครองสูงสุดถึง 5% ของรายได้รวมของปีงบประมาณก่อนหน้า หรืออาจถึงขั้นเพิกถอนใบอนุญาตประกอบธุรกิจเป็นเวลา 1-3 เดือนก็ได้

คุณโง ตวน อันห์ ผู้อำนวยการทั่วไป บริษัท SCS Cyber ​​​​Security รองประธานสมาคมความปลอดภัยข้อมูลเวียดนาม ภาพโดย: Trong Hieu

นาย Ngo Tuan Anh กรรมการผู้จัดการใหญ่บริษัท SCS Cyber ​​​​Security และรองประธานสมาคมความปลอดภัยข้อมูลเวียดนาม กล่าวว่า ขณะนี้มีระเบียบข้อบังคับเกี่ยวกับการรับรองความปลอดภัยข้อมูลใน รูปแบบหนังสือเวียนพร้อม คำแนะนำที่ชัดเจน โดยมีข้อกำหนดที่แตกต่างกันไปในแต่ละระดับ

“ตัวอย่างเช่น บริษัทหลักทรัพย์ที่ระดับ 3 ได้มีการกำหนดแนวทางการจัดการและการปฏิบัติงานทางเทคนิคไว้แล้ว หน่วยงานต่างๆ ควรปฏิบัติตามเมื่ออ้างถึงกรณีเฉพาะของตน เมื่อบังคับใช้กฎหมายอย่างถูกต้อง ควรปฏิบัติตามเพื่อหลีกเลี่ยงความเสี่ยงเพิ่มเติมที่อาจเกิดขึ้นจากการไม่ปฏิบัติตามกฎหมาย” นายตวน อันห์ ยังเน้นย้ำด้วย

จากการแบ่งปันประสบการณ์ของประเทศต่างๆ ตามคำกล่าวของนายทราน มินห์ ฉวน ผู้เชี่ยวชาญด้านความปลอดภัยอาวุโสของ PwC พบว่าผลการวิจัยพบว่าประเทศส่วนใหญ่ เช่น สหราชอาณาจักรและสหรัฐอเมริกา ได้จัดตั้งหน่วยงานเฉพาะทางขึ้นเพื่อตรวจสอบและรวบรวมสถิติระดับชาติเกี่ยวกับความปลอดภัยทางไซเบอร์ จากนั้นให้จัดทำรูปแบบการป้องกันที่รวมถึงกรอบการรักษาความปลอดภัย สนับสนุนหน่วยเมื่อถูกโจมตีและไม่ทราบว่าต้องทำอย่างไร หน่วยงานพิเศษนี้จะโพสต์ข้อมูลบนพอร์ทัล ส่งรายงานไปยังหน่วยงานต่างๆ เพื่อออกคำเตือนเพื่อเพิ่มความปลอดภัยด้านข้อมูล และแจ้งให้หน่วยงานต่างๆ ทราบว่าเมื่อถูกแฮกเกอร์โจมตี พวกเขาจะต้องดำเนินการตามขั้นตอนที่เฉพาะเจาะจงเพื่อกู้คืน