Yêu cầu công ty chứng khoán xây dựng kế hoạch ứng phó sự cố an toàn bảo mật
Công văn mới đây của UBCKNN yêu cầu các công ty chứng khoán, quản lý quỹ xây dựng kế hoạch ứng phó sự cố an toàn bảo mật, tình huống cấp bách đối với hệ thống giao dịch chứng khoán trực tuyến.
Ủy ban Chứng khoán Nhà nước (UBCKNN) vừa ban hành Công văn số 3351/UBCK-CNTT yêu cầu các công ty chứng khoán, công ty quản lý quỹ tăng cường bảo đảm an toàn thông tin mạng phục vụ các hoạt động giao dịch chứng khoán. Đây là văn bản tiếp theo Công văn số 1837/UBCK-CNTT ngày 25/3/2024 của UBCKNN về việc cảnh báo bảo mật hệ thống giao dịch chứng khoán trực tuyến.
Theo đó, để tăng cường bảo đảm an toàn thông tin mạng, có biện pháp ứng phó với những tình huống cấp bách, bảo đảm an ninh, an toàn hệ thống giao dịch và quyền lợi cho nhà đầu tư, UBCKNN đã đưa ra 4 yêu cầu.
Trong đó, các công ty chứng khoán, công ty quản lý quỹ sẽ phải tổ chức kiểm tra, đánh giá an toàn thông tin cho hệ thống thông tin theo quy định tại Điều 11, Điều 12 Thông tư số 12/2022/TT-BTTTT ngày 12/8/2022 của Bộ Thông tin và Truyền thông và Nghị định số 85/2016/NĐ-CP của Chính phủ.
Thứ hai, UBCKNN cũng đề nghị các công ty đảm bảo tuân thủ quy định về an toàn hệ thống thông tin theo cấp độ và triển khai các biện pháp bảo vệ đáp ứng yêu cầu an toàn thông tin theo các nội dung quy định tại Điều 19 Nghị định số 85/2016/NĐ-CP; Điều 9, Điều 10 Thông tư số 12/2022/TT-BTTTT và tiêu chuẩn quốc gia TCVN 11930:2017.
Công ty chứng khoán, quản lý quỹ sẽ xây dựng kế hoạch ứng phó sự cố an toàn bảo mật, tình huống cấp bách đối với hệ thống giao dịch chứng khoán trực tuyến. Cuối cùng, UBCKNN yêu cầu phải tổ chức thực hiện tuyên truyền, phố biến nâng cao nhận thức về an toàn thông tin cho các cán bộ, nhân viên của mình.
Trước đó, vào cuối tháng 3/20224, sự cố tấn công nghiêm trọng vào hệ thống công nghệ thông tin của VNDirect đã khiến các nhà đầu tư là khách hàng của CTCK này “đóng băng” các hoạt động giao dịch trong một tuần.
Ngay sau sự cố tấn công mạng tại CTCK hồi cuối tháng 3, Cục An toàn Thông tin thuộc Bộ Thông tin Truyền thông đã có yêu cầu gửi các CTCK phải có báo cáo về tình hình triển khai đảm bảo an toàn thông tin theo cấp độ và đảm bảo an toàn thông tin theo mô hình 4 lớp.
Theo công văn gửi công ty chứng khoán, việc không triển khai bảo đảm an toàn hệ thống thông tin theo cấp độ là vi phạm quy định pháp luật và bị xử phạt hành chính theo Điều 88 và Điều 89 Nghị định số 15/2020/NĐ-CP ngày 03/02/2020 của Chính phủ quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử.
Đây là nghĩa vụ báo cáo theo quy định tại Luật đầu tư năm 2020 và Nghị định 85/2016/NĐ-CP yêu cầu các hệ thống thông tin cung cấp dịch vụ chứng khoán cần triển khai bảo đảm an toàn hệ thống thông tin theo cấp độ. Mức xử phạt hành chính đối với các vi phạm này hiện tại khá thấp. Tuy nhiên, đối với các công ty hoạt động trong lĩnh vực cung cấp dịch vụ tài chính, danh tiếng, uy tín và sự tin tưởng của khách hàng bị tổn hại là vấn đề nghiêm trọng.
