Попередження про зростання тенденції атак на шифрування даних

У разі виявлення ризиків, вразливостей та слабких місць необхідно негайно вжити заходів щодо їх усунення, особливо для інформаційних систем, які зберігають та обробляють персональну інформацію та дані особистого характеру.

Департамент інформаційної безпеки (ATTT, Міністерство інформації та зв'язку) щойно опублікував документ, у якому вимагає від спеціалізованих підрозділів ІТ та ATTT міністерств, галузей та місцевих органів влади; державних корпорацій та груп; фінансових та банківських організацій; а також підприємств, що працюють у поштовому секторі та секторі електронної комерції, переглянути та вдосконалити рішення мережевої безпеки для інформаційних систем. Зокрема, надаючи пріоритет рішенням для моніторингу та раннього попередження.

Завдяки моніторингу та спостереженню за кіберпростором, Департамент інформаційної безпеки виявив зростаючу тенденцію до кібератак, особливо атак програм-вимагачів. Нещодавно низка інформаційних систем установ, організацій та підприємств у В'єтнамі зазнала атак, що спричинило перебої в роботі та матеріальну шкоду, а також шкоду іміджу установ, організацій та підприємств, а також заходів щодо забезпечення національної безпеки в кіберпросторі.

У такій ситуації Департамент інформаційної безпеки рекомендує установам, організаціям та підприємствам переглянути та впровадити рішення для забезпечення інформаційної безпеки мережі інформаційних систем, надаючи пріоритет рішенням для моніторингу та раннього попередження; проводити перевірки та оцінки для забезпечення інформаційної безпеки інформаційних систем, що перебувають під їхнім управлінням. У разі виявлення ризиків, вразливостей та слабких місць необхідно негайно вжити заходів щодо усунення недоліків, особливо для інформаційних систем, які зберігають та обробляють персональну інформацію та персональні дані.

Ці завдання мають бути виконані до 15 квітня. Водночас, організувати виконання пов'язаних завдань відповідно до Директиви Прем'єр-міністра № 09/CT-TTg від 23 лютого 2024 року щодо дотримання законодавчих норм та посилення безпеки інформаційних систем за рівнями, зокрема щодо організації статистики та класифікації інформаційних систем, що перебувають під управлінням; розробити план завершення нормативних актів щодо забезпечення безпеки інформаційних систем за рівнями (відповідно до щомісячного прогресу), забезпечивши, щоб 100% інформаційних систем, що працюють, були затверджені на рівень безпеки інформаційних систем не пізніше вересня 2024 року, та повністю впровадити план забезпечення інформаційної безпеки відповідно до затвердженого файлу пропозицій щодо рівнів не пізніше грудня 2024 року.

Департамент інформаційної безпеки також звернувся до установ, організацій та підприємств з проханням ефективно, суттєво, регулярно та безперервно впроваджувати роботу з інформаційної безпеки відповідно до 4-рівневої моделі, зокрема покращувати можливості професійного рівня моніторингу та захисту, підтримувати безперервні та стабільні зв'язки та обмін інформацією з Національним центром моніторингу кібербезпеки при Департаменті інформаційної безпеки; пріоритезувати використання продуктів, рішень та послуг інформаційної безпеки, вироблених або освоєних в'єтнамськими підприємствами; періодично проводити пошук загроз для оперативного виявлення ознак вторгнення в систему.

Для систем, у яких виявлено серйозні вразливості безпеки, після виправлення вразливості необхідно негайно провести пошук загроз, щоб визначити можливість попереднього вторгнення; перевірити та оновити патчі інформаційної безпеки для важливих систем відповідно до попереджень Департаменту інформаційної безпеки та відповідних установ і організацій...

Департамент інформаційної безпеки просить організації та підприємства переглянути, призначити контактних осіб для професійного обміну та повідомити про результати впровадження Департаменту інформаційної безпеки до 20 квітня для узагальнення та звітування перед компетентними органами.

ТРАН БІНХ