Ảnh: Yonhap

Ủy ban Dịch vụ Tài chính Hàn Quốc (FSC) ngày 2/7 cho biết sẽ miễn xử phạt đối với các sự cố CNTT mức nhẹ phát sinh trong quá trình tổ chức tài chính kiểm thử hoặc triển khai bản vá để ứng phó rủi ro bảo mật từ AI thế hệ mới, nếu đáp ứng đầy đủ các điều kiện đề ra.

Theo FSC, ngày 30/6, cơ quan này đã tổ chức cuộc họp ủy ban xem xét miễn trừ trách nhiệm và thông qua biện pháp miễn trừ đối với các sự cố CNTT phát sinh trong quá trình kiểm thử và vá lỗi bảo mật AI. Cùng với đó, FSC cũng ban hành tài liệu “Hướng dẫn ứng phó rủi ro bảo mật AI thế hệ mới trong lĩnh vực tài chính”.

Động thái này được đưa ra sau cuộc họp tham vấn về ứng phó rủi ro bảo mật từ AI hiệu năng cao diễn ra ngày 22/5. FSC cho biết đã lấy ý kiến từ ngành tài chính, Cơ quan Giám sát Tài chính và Cơ quan An ninh Tài chính, đồng thời tiếp thu góp ý từ nhóm cố vấn kỹ thuật khu vực tư nhân gồm các chuyên gia AI, an ninh và pháp lý để hoàn thiện phương án.

Phạm vi miễn trừ áp dụng cho các hoạt động kiểm thử bảo mật nhằm mục đích phòng vệ, như quét lỗ hổng, quét cổng và thử xâm nhập tự động bằng AI. Ngoài ra, chính sách cũng bao gồm việc triển khai khẩn cấp các bản vá đối với lỗ hổng đã được FSC, Cơ quan Giám sát Tài chính và Cơ quan An ninh Tài chính công bố. Việc vá hệ điều hành, phần mềm và các thay đổi tương đương đối với thiết bị CNTT cũng thuộc diện xem xét.

Việc miễn trừ sẽ được đánh giá tổng hợp dựa trên mức độ nhẹ của sự cố CNTT, khả năng chuẩn bị biện pháp khôi phục nhanh và mức độ thực hiện các biện pháp bảo vệ người tiêu dùng.

FSC cho biết sự cố CNTT mức nhẹ là trường hợp không có yếu tố cố ý, thiệt hại tài chính dưới 100 triệu won và thời gian gián đoạn hệ thống không quá 4 giờ. Với các vụ việc liên quan đến rò rỉ thông tin khách hàng, ngưỡng xem xét là dưới 10.000 bản ghi, không bao gồm dữ liệu tín dụng cá nhân.

Để được miễn trừ, tổ chức tài chính phải lập kế hoạch triển khai trước khi thử nghiệm, có biện pháp ngăn thiệt hại lan rộng và bảo đảm tính liên tục của dịch vụ. Các phương án khôi phục hoặc thay thế có thể gồm rollback, kill switch, cô lập mô-đun dịch vụ, failover và xử lý thủ công.

Biện pháp bảo vệ người tiêu dùng cũng là điều kiện bắt buộc. Theo đó, tổ chức tài chính phải thông báo trước trên website hoặc qua tin nhắn về thời gian kiểm thử hay vá lỗi, đối tượng bị ảnh hưởng, nội dung triển khai và kênh dịch vụ thay thế. Đồng thời, đơn vị này cũng phải chuẩn bị và thực hiện phương án hỗ trợ nếu khách hàng phát sinh thiệt hại.

Phạm vi miễn trừ bao gồm cả chế tài đối với tổ chức và cá nhân, chế tài nhân sự và tiền phạt hành chính. Tuy nhiên, nếu xảy ra rò rỉ dữ liệu tín dụng cá nhân, các chế tài theo Luật Thông tin tín dụng vẫn được áp dụng, không phụ thuộc vào biện pháp miễn trừ lần này.

Song song với biện pháp miễn trừ, FSC đã phát hành bộ hướng dẫn ứng phó dành cho khối tài chính và cho biết sẽ thiết lập cơ chế phối hợp ứng phó chung trên toàn ngành.

Cơ quan này cũng có kế hoạch thúc đẩy chia sẻ thông tin rủi ro, xây dựng quy tắc phát hiện chung và kiểm tra chuỗi cung ứng ở cấp độ toàn ngành, lấy Viện Nghiên cứu An ninh AI Tài chính làm trung tâm. FSC đồng thời khuyến nghị áp dụng mô hình bảo mật zero trust và phân đoạn mạng để ngăn nguy cơ xâm nhập lan nhanh vào hệ thống nội bộ.

Theo FSC, bộ hướng dẫn nêu ra các biện pháp tham khảo và mô hình thực hành tốt trong bảo mật; việc không tuân thủ sẽ không dẫn tới chế tài hay bất lợi. Cơ quan này cho biết sẽ tiếp tục cập nhật hướng dẫn dựa trên kết quả kiểm thử AI phục vụ mục đích an ninh.

FSC nhấn mạnh bối cảnh rủi ro bảo mật liên quan đến AI thế hệ mới trong và ngoài nước đang thay đổi nhanh chóng. Vì vậy, biện pháp lần này nhằm giảm bớt lo ngại của các tổ chức tài chính và khuyến khích họ chủ động tăng cường năng lực bảo mật. FSC cũng kêu gọi ngành tài chính siết chặt quản trị tài nguyên CNTT, đẩy mạnh phát hiện lỗ hổng và triển khai bản vá kịp thời.

Từ khóa

#FSC #AI thế hệ mới #bảo mật AI #tổ chức tài chính #sự cố CNTT #kiểm thử bảo mật #bản vá bảo mật
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.