Ngân hàng Nhà nước yêu cầu ngân hàng bảo mật dữ liệu, rà soát, khắc phục triệt để các lỗ hổng

• Các ngân hàng khẳng định không bị ảnh hưởng bởi sự cố CIC
• Ngân hàng Nhà nước: Dữ liệu CIC bị đánh cắp không bao gồm thông tin về tài khoản, thẻ tín dụng…
• CIC bị tấn công mạng: Chuyên gia khuyến cáo tới người dùng cá nhân

Ngân hàng Nhà nước (NHNN) vừa có công văn yêu cầu các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, trung gian thanh toán, các tổ chức cung cấp dịch vụ thông tin tín dụng, bảo hiểm tiền gửi, NAPAS, VAMC và CIC, tăng cường công tác đảm bảo an toàn thông tin.

Công văn được đưa ra sau sự cố Trung tâm Thông tin tín dụng quốc gia (CIC) bị tội phạm tấn công, đánh cắp dữ liệu.

Trong Công văn, NHNN cho biết, trong quá trình theo dõi, thu thập thông tin về tình hình an toàn an ninh mạng trong nước, NHNN nhận được cảnh báo từ các cơ quan chức năng, báo cáo từ các thành viên Mạng lưới ứng cứu sự cố an ninh công nghệ thông tin (CNTT) ngành Ngân hàng về việc tội phạm mạng gia tăng thực hiện tấn công có chủ đích, khai thác các lỗ hổng, điểm yếu của ứng dụng, hạ tầng công nghệ thông tin để thực hiện tấn công đánh cắp thông tin, dữ liệu.

Tội phạm tấn công mạng ngày càng tinh vi, phức tạp

Do đó, để chủ động phòng ngừa, ngăn chặn các cuộc tấn công đánh cắp thông tin, dữ liệu, bảo đảm an toàn cho hoạt động của các đơn vị trong ngành, NHNN đề nghị các đơn vị tăng cường triển khai thực hiện các công việc sau:

Quán triệt và thực hiện nghiêm các quy định của Nhà nước và ngành Ngân hàng về bảo đảm an ninh, an toàn hệ thống thông tin và bảo mật dữ liệu. Nghiêm túc thực hiện các yêu cầu triển khai tại các công văn, thông báo về các chiến dịch tấn công mạng, các loại mã độc mới, các lỗ hổng an ninh bảo mật đối với các hệ thống thông tin đã được NHNN (Cục CNTT) và các đơn vị chức năng cảnh báo.

Quán triệt nguyên tắc thủ trưởng các đơn vị phải quan tâm đặc biệt công tác bảo đảm an toàn thông tin trên không gian mạng và chịu trách nhiệm trước pháp luật và Thống đốc NHNN nếu để xảy ra mất an toàn, an ninh mạng, lộ lọt dữ liệu, bí mật nhà nước tại đơn vị mình quản lý.

NHNN yêu cầu các tổ chức tín dụng, đơn vị thường xuyên kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin định kỳ theo quy định. Khắc phục triệt để, kịp thời các lỗ hổng, điểm yếu còn tồn tại trên các hệ thống thông tin. Xây dựng phương án và thực hiện nâng cấp, thay thế các hệ thống thông tin còn sử dụng hệ điều hành, ứng dụng có phiên bản lạc hậu không còn được hỗ trợ từ nhà sản xuất.

Rà soát và cập nhật kịp thời các bản vá an ninh cho toàn bộ các thiết bị trong hệ thống đặc biệt: máy chủ, ứng dụng, thiết bị mạng, an ninh mạng.

Rà soát chính sách trên các thiết bị mạng, an ninh mạng; các cổng dịch vụ trên máy chủ bảo đảm chỉ mở những cổng dịch vụ cần thiết.

Rà soát việc cấp quyền truy cập quản trị hệ thống thông tin cho các cán bộ quản trị hệ thống, bảo đảm việc phân quyền tối thiểu theo đúng chức năng, nhiệm vụ được giao. Triển khai áp dụng xác thực đa yếu tố khi truy cập quản trị các máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng.

Triển khai đồng bộ các giải pháp phòng chống thất thoát dữ liệu. Thực hiện lưu trữ có mã hóa các thông tin, dữ liệu (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ.

Rà soát và triển khai các biện pháp bảo vệ dữ liệu cá nhân theo đúng quy định của pháp luật về bảo vệ dữ liệu cá nhân.

Thực hiện rà soát, đánh giá an toàn thông tin đối với các dịch vụ sử dụng của đối tác, bên thứ 3 để phòng ngừa và ngăn chặn việc tin tặc lợi dụng các lỗ hổng bảo mật của nhà cung cấp, bên thứ 3 để xâm nhập vào hệ thống của đơn vị (tấn công chuỗi cung ứng).

Tăng cường công tác theo dõi, kiểm tra, giám sát an toàn thông tin và hoạt động của các hệ thống tin quan trọng nhằm chủ động phát hiện sớm và xử lý kịp thời các cuộc tấn công có thể xảy ra.

Thường xuyên rà soát, sẵn sàng các mối đe dọa trên các hệ thống thông tin; cập nhật thông tin tình báo về các mối đe dọa đang và sẽ diễn ra để xây dựng các biện pháp phòng thủ chủ động, dự đoán và ứng phó hiệu quả với các cuộc tấn công mạng.

Rà soát, kiểm tra bảo đảm sẵn sàng các phương án, kịch bản ứng cứu sự cố và dự phòng thảm họa cho các hệ thống thông tin quan trọng, gồm: Thực hiện công tác sao lưu dữ liệu, ứng dụng quan trọng theo quy định và hướng dẫn của NHNN bảo đảm việc phục hồi khi cần thiết; chuẩn bị sẵn sàng phương án, kịch bản ứng cứu sự cố; chuẩn bị phương án xử lý khủng hoảng truyền thông.

Chú trọng tuyên truyền, đào tạo, tập huấn, nâng cao nhận thức của cán bộ nhân viên tại đơn vị về bảo đảm an ninh mạng, bảo vệ dữ liệu cá nhân, bảo đảm an toàn trong quá trình quản lý, sử dụng máy tính, tài khoản truy cập các hệ thống thông tin. Tuyên truyền tới khách hàng về bảo đảm an toàn thông tin trong quá trình sử dụng dịch vụ do đơn vị cung cấp trên không gian mạng.