Cơ quan Giám sát Tài chính Hàn Quốc (FSS) cho biết sẽ đẩy mạnh kiểm tra việc thực hiện các kiểm soát IT cơ bản trong ngành tài chính trong nửa cuối năm nay, trong bối cảnh các sự cố hệ thống và vụ việc xâm nhập đang liên tiếp xảy ra. Trọng tâm giám sát là phòng ngừa sự cố tài chính điện tử, củng cố năng lực ứng phó và phục hồi của các tổ chức tài chính.

Ngày 29/6, FSS cho biết cơ quan này đã tổ chức trực tuyến cuộc họp về ứng phó rủi ro CNTT trong lĩnh vực tài chính với sự tham gia của 491 tổ chức và doanh nghiệp tài chính có cung cấp dịch vụ tài chính điện tử.

Cuộc họp nhằm chia sẻ kết quả thanh tra tại chỗ và giám sát thường xuyên trong nửa đầu năm, đồng thời thông báo định hướng kiểm tra cho nửa cuối năm. Thành phần tham gia gồm các tổ chức trong lĩnh vực ngân hàng, bảo hiểm, đầu tư tài chính, ngân hàng tiết kiệm, tài chính tiêu dùng, thông tin tín dụng, tài chính hợp tác và doanh nghiệp tài chính điện tử.

Theo FSS, kết quả rà soát trong nửa đầu năm cho thấy một số đơn vị vẫn còn yếu ở các khâu kiểm soát IT cơ bản như quản lý thay đổi chương trình và quản lý hiệu suất. Cơ quan này yêu cầu các đơn vị khẩn trương khắc phục lỗ hổng phát sinh trong hệ điều hành và thiết bị, siết quản lý quyền truy cập vào dữ liệu của hệ thống quan trọng, đồng thời kiểm tra tính toàn vẹn của dữ liệu sao lưu.

An toàn của hệ thống cấp điện tại trung tâm dữ liệu cũng nằm trong diện kiểm tra trọng điểm. FSS yêu cầu các đơn vị định kỳ rà soát tình trạng quản lý bộ lưu điện UPS, máy phát điện dự phòng và thiết bị phòng cháy chữa cháy, đồng thời kiểm tra cơ chế ứng phó cháy, trong đó có việc kịp thời thay thế ắc quy dự phòng đã xuống cấp.

Ngăn chặn truy cập trái phép qua mạng không dây cũng là một nội dung được nhấn mạnh. Theo FSS, các đơn vị cần kiểm tra khả năng phát sinh thiết bị hoặc điểm truy cập không dây trái phép khi đưa thiết bị vào hệ thống, rà soát việc vận hành mạng không dây trái phép, đồng thời tăng cường giám sát các dấu hiệu bất thường trên máy chủ và thiết bị đầu cuối.

Trong nửa cuối năm, FSS sẽ ưu tiên kiểm tra mức độ tuân thủ các kiểm soát IT cơ bản, song song với việc kiểm tra hoạt động của hệ thống cấp điện phục vụ phòng cháy tại các trung tâm dữ liệu.

Cơ quan này nhận định nhiều sự cố tài chính điện tử gần đây bắt nguồn từ việc không tuân thủ các kiểm soát cơ bản, như phân tích tác động chưa đầy đủ khi thay đổi chương trình, thiết bị vận hành không ổn định, thiếu năng lực xử lý hoặc áp dụng sai chính sách tường lửa.

FSS cũng sẽ rà soát việc tuân thủ nghĩa vụ bảo mật thông tin đối với phần mềm quản trị văn phòng và hỗ trợ nghiệp vụ dựa trên điện toán đám mây. Cụ thể, cơ quan này dự kiến kiểm tra việc thực hiện các yêu cầu liên quan đến ngoại lệ tách mạng đối với SaaS, vốn được cho phép trong một số trường hợp theo quy định chi tiết sửa đổi của quy định giám sát tài chính điện tử.

Các nội dung kiểm tra gồm đánh giá của Viện An ninh Tài chính Hàn Quốc, biện pháp bảo vệ thiết bị truy cập và việc đánh giá định kỳ 6 tháng một lần đối với tình hình thực thi kiểm soát an toàn thông tin.

FSS nhấn mạnh rằng trong bối cảnh các quy định được nới lỏng theo xu hướng chuyển đổi sang AI, vai trò của hệ thống kiểm soát nội bộ IT ngày càng quan trọng để các tổ chức tài chính tự rà soát và cải thiện điểm yếu. Cơ quan này cho biết sẽ cung cấp tư vấn phòng ngừa sự cố cho các tổ chức thường xuyên phát sinh sự cố tài chính điện tử, đồng thời hỗ trợ công cụ tự chẩn đoán đối với kiểm soát IT cơ bản.

FSS cũng cho biết sẽ xem xét áp dụng các biện pháp khuyến khích, như giảm mức xử phạt, đối với những tổ chức chủ động và thực hiện đầy đủ việc tự khắc phục. Ngược lại, các trường hợp khắc phục mang tính hình thức hoặc tiếp tục tái diễn sự cố tương tự sẽ bị xử lý nghiêm.