Devlet Bankası'nın bilgi sistemi zafiyetlerinin kapsamlı bir şekilde düzeltilmesi gerekiyor

Devlet Bankası tarafından 11 Eylül'de kredi kuruluşlarına, ödeme aracılık hizmeti sağlayıcılarına, kredi bilgi hizmeti sağlayıcılarına, Mevduat Sigortası'na, Vietnam Ulusal Ödeme Anonim Şirketi'ne ve Ulusal Kredi Bilgi Merkezi'ne (CIC) yapılan talep, CIC'de veri hırsızlığı belirtileri görülmesi üzerine gündeme geldi.

Devlet Bankası, siber suçluların hedefli saldırıları artırdığı, uygulamalardaki ve bilgi teknolojisi altyapısındaki güvenlik açıklarını ve zayıflıkları istismar ettiği yönünde yetkililerden uyarılar ve Bankacılık Bilgi Teknolojileri Güvenlik Olaylarına Müdahale Ağı üyelerinden raporlar aldığını belirtti.

Bunun üzerine Bilgi Teknolojileri Dairesi Başkanı (Devlet Bankası), birimlerden bilgi sistemleri güvenliğinin ve veri güvenliğinin güçlendirilmesini talep etti.

Bu banka ve işletmelerin yöneticilerinin siber uzaydaki bilgi güvenliğine dikkat etmeleri ve yönettikleri birimlerde ağ güvenliği ve emniyetinde bir kayıp, veri sızıntısı veya devlet sırlarının ifşa olması durumunda kanun ve Vali önünde sorumluluk almaları gerekiyor.

Birimlerin, bilgi sistemlerindeki açıkları ve zayıflıkları kapsamlı ve hızlı bir şekilde gidermeleri gerekmektedir. Aynı zamanda, üreticiler tarafından artık desteklenmeyen eski işletim sistemleri ve uygulamaları kullanan sistemleri yükseltmeleri ve değiştirmeleri gerekmektedir.

Devlet Bankası, bankaların ve ödeme aracılarının... sistemdeki tüm cihazlar, özellikle sunucular, uygulamalar, ağ cihazları ve ağ güvenliği için güvenlik yamalarını derhal güncellemelerini zorunlu kılmaktadır. Sunucudaki servis portları, yalnızca gerekli servislerin açılmasını sağlar.

Ayrıca, Bilgi Teknolojileri Daire Başkanı tarafından sistem güvenliğini ve veri güvenliğini artırmaya yönelik bir dizi başka görevden bahsedildi; bunlar arasında, görevliler için sistem yönetimi erişim hakları, sunucular, uygulamalar ve ağ cihazlarının yönetimine erişimde çok faktörlü kimlik doğrulama, önemli ağ güvenliği, veri kaybının önlenmesi, bilgi ve verilerin (kamuya açık olmayan bilgi ve veriler) şifreli olarak depolanması...

Birimlerin ayrıca üçüncü taraflarca sağlanan hizmetlerle bilgi güvenliğini değerlendirmesi, üçüncü taraf güvenlik açıklarından yararlanarak birimin sistemine sızan bilgisayar korsanlarının (tedarik zinciri saldırıları) önlenmesi ve durdurulması gerekmektedir.

Ayrıca, sektör birimlerinin bilgi sistemlerindeki tehditleri düzenli olarak gözden geçirmesi, siber saldırılara proaktif ve etkili bir şekilde yanıt verebilmek için mevcut ve gelecekteki tehditlere ilişkin istihbarat bilgilerini güncellemesi ve müdahale planları ve senaryoları hazırlaması gerekmektedir. Önemli veriler ve uygulamalar, Devlet Bankası'nın düzenleme ve talimatlarına uygun olarak yedeklenmeli ve gerektiğinde kurtarılabilmesi sağlanmalıdır.

11 Eylül akşamı, Kamu Güvenliği Bakanlığı Siber Güvenlik ve Yüksek Teknoloji Suç Önleme ve Kontrol Dairesi'ne bağlı VNCERT Merkezi, 10 Eylül'de Ulusal Kredi Bilgi Merkezi'nde (KİK) meydana gelen "siber güvenlik olayı ve kişisel veri ihlali belirtileri"ne ilişkin bir rapor aldığını bildirdi.

Bu birim, Devlet Bankası'nın işlevsel birimleri olan ağ bilgi güvenliği hizmetleri veren işletmeler ve CIC ile koordinasyon sağlayarak olayları doğrulamak, müdahale tekniklerini belirlemek, veri ve kanıt toplamak amacıyla faaliyet göstermektedir.

Duyuruda, "İlk doğrulama sonuçları, siber suç saldırıları ve kişisel verileri çalma amaçlı izinsiz girişlere dair işaretler gösteriyor. Yasadışı yollarla ele geçirilen veri miktarı sürekli olarak sayılıyor ve netleştiriliyor" denildi.

Son zamanlarda, Vietnam'daki birçok kuruluş ve işletme siber saldırıların kurbanı oldu. Geçtiğimiz yıl, VnDirect, PVOIL ve VNPost, verilerini şifreleyip fidye talep eden bilgisayar korsanlarının saldırısına uğradı ve bu durum operasyonlarını etkiledi.

Devlet Bankası bünyesindeki Vietnam Ulusal Kredi Bilgi Merkezi (CIC), para ve bankacılık sektörlerinde faaliyet göstermekte olup, kredi kuruluşlarının ticari faaliyetlerine destek olma ve borçluların kredi kaynaklarına erişimini kolaylaştırma rolüyle tanınmaktadır.