Yêu cầu công ty chứng khoán báo cáo bảo đảm an toàn thông tin mạng trước 15/4

Các hệ thống thông tin cung cấp dịch vụ chứng khoán cần triển khai bảo đảm an toàn hệ thống thông tin theo cấp độ quy định tại Nghị định số 85/2016.

TIN LIÊN QUAN

Chia sẻ tại cuộc Tọa đàm "Bảo mật thông tin trong lĩnh vực chứng khoán" tổ chức sáng ngày 9/4, ông Lê Công Phú, Phó giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Vncert, Bộ Thông tin và Truyền thông) cho biết, Cục An toàn Thông tin Bộ Thông tin Truyền thông đã có yêu cầu gửi công ty chứng khoán (CTCK) phải có báo cáo trước 15/4 về tình hình triển khai đảm bảo an toàn thông tin theo cấp độ và đảm bảo an toàn thông tin theo mô hình 4 lớp. Cụ thể, bốn lớp này bao gồm lực lượng bảo vệ tài chỗ, được kiểm tra đánh giá bởi tổ chức chuyên nghiệp, được giám sát bởi tổ chức chuyên nghiệp và cuối cùng là kết nối tới Trung tâm Giám sát An toàn Không gian mạng quốc gia.

Cũng theo ông Phú, thời gian vừa qua, Cục An toàn Thông tin đã đôn đốc thực hiện, nhóm các cơ quan nhà nước đã làm khá tốt. Tuy Tuy nhiên, nhóm doanh nghiệp và định chế tài chính chưa thực sự tốt.

“Chúng tôi chưa có khảo sát với các công ty chứng khoán về khả năng phòng chống tấn công mạng hiện tại. Tuy nhiên, sau sự cố tấn công mạng xảy ra tại VNDirect vừa rồi, chúng tôi nhận thấy các công ty chứng khoán nói riêng và doanh nghiệp nói chung phần lớn chưa tuân thủ thông tin về an toàn thông tin mạng theo cấp độ”, ông Phú cho hay.

Ông Lê Công Phú, Phó giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Vncert) Ảnh: Trọng Hiếu.

Căn cứ quy định tại mục 25 Phụ lục IV Luật đầu tư năm 2020 và khoản 2 Điểm b khoản 2 Điều 9 Nghị định 85/2016/NĐ-CP, các hệ thống thông tin cung cấp dịch vụ chứng khoán cần triển khai bảo đảm an toàn hệ thống thông tin theo cấp độ quy định tại Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ và Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ trưởng Bộ Thông tin và Truyền thông.

Do vậy, theo công văn gửi công ty chứng khoán, việc không triển khai bảo đảm an toàn hệ thống thông tin theo cấp độ là vi phạm quy định pháp luật và bị xử phạt hành chính theo Điều 88 và Điều 89 Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.

Cùng đó, ông Phú cũng nhấn mạnh chế tài xử phạt việc không tuân thủ quy định về an toàn thông tin hiện nay hiện khá nhẹ, thực tế có thể thấy thấp hơn thiệt hại khi xảy ra.

Dù vậy, sự việc không mong muốn như tại VNDirect vừa qua nếu xảy ra số tiền phạt có thể ít nhưng danh tiếng, uy tín ảnh hưởng rất lớn. Thời gian tới, các mức phạt có thể xem xét tăng nặng và yêu cầu doanh nghiệp đảm bảo an toàn thông tin mạng.

Nghị định về xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng đã được lấy ý kiến thời gian qua và dự kiến sớm được ban hành. Trong đó, liên quan đến vi phạm trong việc bảo vệ dữ liệu cá nhân, mức xử phạt hành chính đang được đề xuất có thể lên tới 5% tổng doanh thu năm tài chính liền trước, thậm chí tước quyền sử dụng giấy phép kinh doanh 1-3 tháng.

Ông Ngô Tuấn Anh - Tổng giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch Hiệp hội An toàn thông tin Việt Nam Ảnh: Trọng Hiếu.

Theo ông Ngô Tuấn Anh, Tổng giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch Hiệp hội An toàn thông tin Việt Nam, quy định về đảm bảo an toàn thông tin hiện đã có tại thông tư với các hướng dẫn khá rõ, mức độ yêu cầu khác nhau với tuỳ từng cấp độ.

"Ví dụ, với công ty chứng khoán là cấp độ 3, việc vận hành quản lý, kỹ thuật như thế nào đã được nêu ra. Các đơn vị nên tuân thủ khi tham chiếu vào trường hợp cụ thể của mình. Khi thực hiện đúng quy định pháp luật, đảm bảo tuân thủ, để tránh có thêm rủi ro bị xử lý do vi phạm không tuân thủ quy định pháp luật", ông Tuấn Anh cũng nhấn mạnh.

Chia sẻ về kinh nghiệm của các quốc gia, theo ông Trần Minh Quân, chuyên gia bảo mật cấp cao của PwC , nghiên cứu cho thấy đa số các quốc gia như Anh, Mỹ đều thành lập một đơn vị chuyên trách đề rà soát, thống kê trong quốc gia về bảo mật an ninh mạng. Từ đó, đưa ra hình thức bảo vệ trong đó có cả khung an toàn bảo mật, hỗ trợ 1 đơn vị khi bị tấn công mà không biết làm thế nào. Đội đặc nhiệm này đưa các thông tin lên cổng thông tin, gửi báo cáo tới các đơn vị để đưa cảnh báo nhằm củng cố an toàn thông tin và để các đơn vị biết khi đã bị tin tặc tấn công phải có bước để khôi phục cụ thể.