У звіті, нещодавно надісланому кредитним установам, платіжним посередникам, постачальникам послуг кредитної інформації, Корпорації страхування депозитів, Національній платіжній корпорації В'єтнаму (Napas) та Національному центру кредитної інформації (CIC), Департамент інформаційних технологій (Державний банк - SBV) звернувся до цих підрозділів з проханням оцінити інформаційну безпеку та оперативно усунути існуючі вразливості системи.

Агентство заявило, що отримало попередження від органів влади та повідомлення від членів Мережі реагування на інциденти безпеки банківських інформаційних технологій про те, що кіберзлочинці почастішали цілеспрямовані атаки, використовуючи вразливості та слабкі місця в додатках та інфраструктурі інформаційних технологій.

Департамент інформаційних технологій рекомендує підрозділам посилити безпеку інформаційних систем та захист даних.

Відповідно, керівникам банків та підприємств необхідно звертати увагу на інформаційну безпеку в кіберпросторі та нести відповідальність перед законом та головою правління, якщо в підрозділах, що перебувають під їхнім управлінням, відбувається втрата безпеки мережі, витік даних або державної таємниці.

Кібербезпека.jpg
Ілюстративне фото.

Підрозділам необхідно ретельно та оперативно виправляти існуючі лазівки та слабкі місця. Водночас, підрозділам необхідно оновлювати та замінювати системи, які досі використовують застарілі операційні системи та програми, що більше не підтримуються виробником.

Державний банк вимагає від банків та платіжних посередників... оперативно оновлювати патчі безпеки для всіх пристроїв у системі, особливо серверів, програм, мережевих пристроїв та засобів мережевої безпеки. Сервісні порти на сервері забезпечують відкриття лише необхідних служб.

Департамент інформаційних технологій також вимагає від вищезазначених банків та підприємств, під час надання співробітникам доступу до системного адміністрування, використовувати багатофакторну автентифікацію під час доступу до адміністрування серверів, програм та мережевих пристроїв, що важливо для безпеки мережі, запобігання втраті даних та шифрування зберігання інформації та даних (не публічної інформації та даних)...

Підрозділи також повинні оцінювати інформаційну безпеку за допомогою послуг, що надаються третіми сторонами, запобігати та зупиняти хакерів від використання вразливостей безпеки третіх сторін для проникнення в систему підрозділу (атаки на ланцюг поставок).

Підрозділи галузі повинні регулярно переглядати загрози інформаційним системам, оновлювати розвідувальні дані про поточні та майбутні загрози, щоб проактивно та ефективно реагувати на кібератаки, а також мати плани та сценарії реагування.

Важливі дані та програми необхідно резервувати відповідно до правил та інструкцій Державного банку, забезпечуючи їх відновлення за потреби.

Раніше, ввечері 11 вересня, Центр VNCERT при Департаменті кібербезпеки та запобігання високотехнологічним злочинам ( Міністерство громадської безпеки ) повідомив, що отримав повідомлення про інцидент у сфері кібербезпеки з ознаками порушення безпеки персональних даних, який стався в CIC 10 вересня.

Цей підрозділ координував свою діяльність з підприємствами, що надають послуги інформаційної безпеки мереж, та CIC, функціональними підрозділами Державного банку, для перевірки інцидентів, методів реагування, збору даних та доказів.

Джерело: https://vietnamnet.vn/ngan-hang-nha-nuoc-yeu-cau-va-lo-hong-ngan-tan-cong-mang-sau-su-co-cic-2441838.html