越南國家銀行(央行)11日發布通知,要求各家信用機構、第三方支付服務商、信用資訊服務機構、存款保險公司、越南國家支付股份公司,以及國家信用資訊中心(CIC),全面檢視資安狀況,並立即修補資訊系統中存在的漏洞。此舉源於日前發生於 CIC 的疑似資料外洩事件。
越南央行指出,近期接獲相關部門警示以及銀行業資安應急網路的回報,發現網路犯罪日益針對金融業進行「有預謀攻擊」,鎖定應用程式與 IT 基礎設施的弱點加以滲透。
因此,央行資訊科技司強調,各單位必須高度重視資訊安全與數據保護,若因管理不當導致發生網路攻擊、資料外洩、甚至涉及國家機密流失,相關銀行與企業高層將依法追責,並需向央行行長負責。
主要要求包括:
* 立即修補漏洞:全面修復資訊系統中已知的弱點。
* 淘汰過時系統:更新或更換仍在使用過時作業系統或應用程式的系統,避免使用廠商已停止支援的軟體。
* 及時安裝安全更新:確保所有設備(特別是伺服器、應用程式、網路與資安設備)安裝最新安全修補程式,並僅開放必要的伺服器端口。
* 強化管理措施:限制系統管理權限,對伺服器、應用程式及關鍵資安設備的管理存取需採多因素驗證。
* 資料安全與備份:強化防止資料外洩措施,非公開資訊須加密存放,重要資料及應用程式需依央行規範進行備份,確保可在事故後恢復。
* 供應鏈防護:針對第三方服務進行資安評估,防止駭客透過供應鏈弱點滲透。
* 威脅監控與應急預案:持續監控潛在威脅,並及時更新威脅情報,建立完整應急計畫與演練。
同日,越南公安部下屬的 國家網路安全應急中心(VNCERT) 證實,已接獲關於 9月10日 CIC 出現「網路安全事故及個人資料外洩跡象」的報告。目前 VNCERT 已與 CIC、央行相關部門及資安企業合作,展開技術應對、證據蒐集與事故調查。
初步結果顯示,確有駭客入侵並竊取個人資料,具體遭竊數據規模仍在統計與確認中。
值得注意的是,近年來多家越南企業成為勒索病毒攻擊目標,例如 VnDirect、PVOIL、VNPost 都曾遭到駭客加密資料並勒索贖金,導致營運受影響。
