Tăng cường bảo đảm an toàn thông tin mạng và hoạt động liên tục đối với hệ thống thông tin

Ngân hàng Nhà nước cho biết, trong quá trình theo dõi, thu thập thông tin về tình hình an toàn an ninh mạng trên thế giới và tại Việt Nam, NHNN nhận được cảnh báo từ các cơ quan chức năng, báo cáo từ các thành viên Mạng lưới ứng cứu sự cố an ninh công nghệ thông tin (CNTT) ngành Ngân hàng về việc tội phạm mạng gia tăng tấn công vào các hệ thống thông tin của các đơn vị thuộc các lĩnh vực trọng yếu quốc gia như tài chính, ngân hàng, năng lượng...

Đặc biệt, tội phạm mạng khai thác các lỗ hổng, điểm yếu của ứng dụng, hạ tầng CNTT của đơn vị để tấn công, phát tán mã độc tống tiền (ransomware). Để phòng ngừa, ngăn chặn các cuộc tấn công mạng, bảo đảm an toàn cho hoạt động của các đơn vị trong ngành, NHNN đề nghị các đơn vị tăng cường triển khai thực hiện các công việc sau:

Thứ nhất, quán triệt và thực hiện nghiêm các quy định của Nhà nước và ngành Ngân hàng về bảo đảm an ninh, an toàn hệ thống thông tin ngành Ngân hàng. Nghiêm túc thực hiện các yêu cầu triển khai tại các công văn, thông báo về các chiến dịch tấn công mạng, các loại mã độc mới, các lỗ hổng an ninh bảo mật đối với các hệ thống thông tin đã được NHNN (Cục CNTT) và các đơn vị chức năng cảnh báo. Quán triệt nguyên tắc thủ trưởng các đơn vị phải quan tâm chỉ đạo công tác bảo đảm an toàn thông tin trên không gian mạng và chịu trách nhiệm trước pháp luật và Thống đốc NHNN nếu để xảy ra mất an toàn, an ninh mạng, lộ lọt bí mật nhà nước tại đơn vị mình quản lý.

Thứ hai, hoàn thành phân loại các hệ thống thông tin theo cấp độ và triển khai đầy đủ phương án bảo đảm an toàn thông tin cho từng hệ thống thông tin theo quy định tại Nghị định 85/2016/NĐ-CP ngày 1/7/2016 của Chính phủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ, Thông tư 12/2022/TT-BTTTT ngày 12/8/2022 quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP và Thông tư 09/2020/TT-NHNN ngày 21/10/2020 của NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.

Thứ ba, rà soát thiết kế hệ thống và chính sách an ninh mạng bảo đảm các hệ thống thông tin quan trọng được thiết kế, lắp đặt ở phân vùng mạng riêng, được thiết lập chính sách an ninh mạng chặt chẽ để kiểm soát các kết nối, truy cập mạng nhằm phòng tránh sự cố bị tấn công trên diện rộng, tấn công leo thang đặc quyền trong hệ thống thông tin của đơn vị.

Thứ tư, rà soát việc cấp quyền truy cập quản trị hệ thống thông tin cho các cán bộ quản trị hệ thống, bảo đảm việc phân quyền theo đúng chức năng, nhiệm vụ được giao. Triển khai áp dụng xác thực đa yếu tố khi truy cập quản trị các máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng.

Thứ năm, thường xuyên kiểm tra, đánh giá an toàn thông tin và quản lý rủi ro an toàn thông tin định kỳ theo quy định. Khắc phục triệt để, kịp thời các lỗ hổng, điểm yếu còn tồn tại trên các hệ thống thông tin. Xây dựng phương án và thực hiện nâng cấp, thay thế các hệ thống thông tin còn sử dụng hệ điều hành, ứng dụng có phiên bản lạc hậu không còn được hỗ trợ từ nhà sản xuất.

Thứ sáu, rà soát công tác sao lưu dữ liệu dự phòng, bảo đảm hoạt động liên tục của các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống có xử lý thông tin cá nhân của khách hàng theo các yêu cầu quy định tại Thông tư 09/2020/TT-NHNN và hướng dẫn tại Công văn 1524/NHNN-CNTT ngày 8/3/2023 của NHNN, đáp ứng các yêu cầu tối thiểu:

(i) Thực hiện sao lưu tự động phù hợp với tần suất thay đổi của dữ liệu và theo nguyên tắc dữ liệu hoạt động trong ngày phải được khôi phục đầy đủ đến thời điểm phát sinh rủi ro đối với hệ thống thông tin, kể cả tình huống bị tấn công mã hóa dữ liệu xảy ra tại cả trung tâm dữ liệu chính và trung tâm dữ liệu dự phòng;

(ii) Lưu trữ dữ liệu sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực lắp đặt hệ thống thông tin nguồn, chậm nhất là trong ngày làm việc tiếp theo.

(iii) Định kỳ kiểm tra, phục hồi dữ liệu sao lưu từ phương tiện lưu trữ ngoài tối thiểu 1 năm/lần.

(iv) Thực hiện chuyển đổi hoạt động giữa hệ thống thông tin chính và hệ thống thông tin dự phòng theo quy định tại Thông tư 09/2020/TT0NHNN, bảo đảm hệ thống dự phòng có thể thay thế hoạt động của hệ thống chính trong khoảng thời gian quy định (4 giờ đối với các hệ thống thông tin từ cấp độ 3 trở lên).

Thứ bảy, rà soát và triển khai các biện pháp bảo vệ dữ liệu cá nhân theo đúng quy định tại Nghị định 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân.

Thứ tám, xây dựng và tổ chức diễn tập phương án ứng cứu sự cố an toàn thông tin trong trường hợp bị tấn công bằng mã độc tống tiền.

Thứ chín, tổ chức nguồn lực và triển khai giải pháp giám sát an toàn thông tin cho toàn hệ thống mạng; định kỳ săn lùng các mối nguy hại để kịp thời phát hiện sớm các dấu hiệu hệ thống bị tấn công, xâm nhập.

Thứ mười, rà soát, kiểm tra bảo đảm sẵn sàng các phương án, kịch bản xử lý khủng hoảng khi xảy ra sự có an toàn thông tin mạng theo hướng dẫn tại Công văn số 6049/NHNN-CNTT ngày 24/8/2020 của NHNN để kịp thời triển khai các giải pháp kỹ thuật phòng chống và truyền thông phù hợp trong trường hợp phát sinh sự cố.

Mười một, tăng cường tuyên truyền, phổ biến nâng cao nhận thức về an toàn thông tin cho các cán bộ nhân viên tại đơn vị.

Mười hai, phối hợp chặt chẽ với các cơ quan chức năng Bộ Công an (Cục An ninh mạng và phòng chống tội phạm công nghệ cao), Bộ TT&TT (Cục An toàn thông tin) trong việc ngăn ngừa, đấu tranh với tội phạm mạng tấn công vào hệ thống thông tin của ngành Ngân hàng và tội phạm lừa đảo, chiếm đoạt tài sản trên không gian mạng.

Công văn nêu rõ, trường hợp phát hiện sự cố an toàn thông tin mạng xảy ra, đơn vị phải báo cáo về NHNN (thông qua Cục CNTT) trong vòng 24 giờ kể từ thời điểm phát hiện sự cố (qua hộp thư điện tử: antt@sbv.gov.vn; số điện thoại: 084.8595983).