حماية البيانات الشخصية والتنظيمية من الثغرات الأمنية

علق الفريق أول نجوين مينه تشينه، مدير إدارة الأمن السيبراني (A05، وزارة الأمن العام )، نائب الرئيس الدائم للجمعية الوطنية للأمن السيبراني: إن وضع الهجمات والاستيلاء وتداول البيانات الشخصية والتنظيمية عبر الشبكة معقد، ويتغير بسرعة، ويستخدم العديد من الأساليب الإجرامية، مع السيناريوهات والاتجاهات عند تنفيذ الهجمات السيبرانية.

في فيتنام، في الأشهر الستة الأولى من عام 2024، كان هناك 2364 اسم نطاق احتيالي يستهدف المستخدمين وعملاء المؤسسات الكبيرة، بزيادة قدرها 1.2 مرة مقارنة بالفترة نفسها في عام 2023؛ 496 صفحة مزيفة، تستخدم بشكل غير قانوني العلامات التجارية للمؤسسات الكبيرة في فيتنام، بزيادة قدرها 4 مرات مقارنة بالفترة نفسها في عام 2023؛ 495000 هجوم DDoS بأشكال مختلفة.

تعرضت بيانات بحجم 3 تيرابايت لهجوم ببرمجيات فدية، وقُدِّر إجمالي الأضرار بأكثر من 10 ملايين دولار أمريكي. وعلى وجه الخصوص، تسبب هجوم مجموعة Lockbit على شركة VNDirect للأوراق المالية، والهجمات على مواقع شركات فيتنام للنفط (PVOil)، ومؤسسة البريد والاتصالات للتأمين (PTI)، وشركة IPA للاستثمار، وشركة IPA لإدارة صناديق الاستثمار المحدودة (IPAAM)، في أضرار جسيمة للشركة.

أحد الأسباب الرئيسية للمشكلة المذكورة أعلاه هو وجود ثغرات أمنية تُسرّب المعلومات والبيانات من العديد من المؤسسات والأفراد. في الأشهر الستة الأولى من عام ٢٠٢٤، سجّل نظام الرصد الفني التابع لإدارة أمن المعلومات ( وزارة المعلومات والاتصالات ) ٩٠,٠٣٣ ثغرة أمنية معلوماتية في الهيئات والمؤسسات في فيتنام. وارتفع عدد الحوادث الخطيرة التي تعاملت معها الإدارة بنسبة ٦٠٪ تقريبًا مقارنةً بعام ٢٠٢٣.

سجلت شركة فيتيل للأمن السيبراني (VCS) 46 تسريبًا للمعلومات، شملت نحو 13 مليون سجل بيانات عملاء للبيع، و12.3 جيجابايت من الشيفرة المصدرية، و16 جيجابايت من البيانات. كما تم اكتشاف نحو 17 ألف ثغرة أمنية جديدة، أكثر من نصفها ثغرات أمنية عالية المستوى وخطيرة، منها 71 ثغرة أمنية تتعلق بمئات الملايين من الحسابات ومعلومات العملاء المسربة من مؤسسات وشركات في فيتنام.

يُعدّ تسريب المعلومات الشخصية، مثل رقم الهاتف والاسم الكامل والعنوان ورقم بطاقة الهوية ورقم الحساب، أمرًا شائعًا للغاية. لا يقتصر الأمر على تلقي رسائل احتيال وروابط مزيفة، بل يتعرضون أيضًا للمضايقات من خلال مكالمات هاتفية تعرض خدمات متنوعة.

وقال السيد نجوين فان هونغ، وهو مسؤول متقاعد في شوان لا (منطقة تاي هو، هانوي)، إنه يتلقى في كثير من الأحيان مكالمات هاتفية تدعوه للاستثمار في الأسهم، أو إعطائه قسائم لرحلات العطلات، أو دعوته لتجربة النبيذ أو الحصول على مكافآت من الشركات... وقال إنه قبل بضع سنوات، أجرى صفقة لشراء شقة، وربما بسبب ذلك، تسربت معلوماته الشخصية.

السبب الرئيسي لتسرب المعلومات هو إهمال المستخدمين الذين لا يدركون حماية البيانات الشخصية أو لا يتخذون تدابير الحماية الكافية، أو ينشرون معلومات شخصية علنًا على الفضاء الإلكتروني أو يتعرضون لتسرب البيانات الشخصية أثناء عملية نقل المعلومات أو تخزينها أو تبادلها.

إن الأنشطة العادية في مجال النسخ الاحتياطي للبيانات؛ مثل الإصلاح والبيع وتصفية الأجهزة التي تحتوي على معلومات شخصية مثل الهواتف المحمولة وأجهزة الكمبيوتر والأقراص الصلبة وما إلى ذلك، حتى لو قام المستخدمون بحذف البيانات بعناية، لا تزال تشكل خطر الكشف.

بالنسبة للمؤسسات والشركات، يعود ذلك إلى ثغرات في الأنظمة والتطبيقات والبرمجيات؛ والتراخي في الالتزام باللوائح وانضباط المعلومات في بيئة الشبكات؛ وثغرات في سياسات أمن معلومات العملاء. بل إن هناك شركات تُقدم معلومات عملائها عمدًا إلى جهات خارجية لأغراض غير مشروعة.

تُحذّر وزارة الأمن العام من وجود ثلاث فئات رئيسية من عمليات الاحتيال على الإنترنت: تقليد العلامات التجارية، وسرقة الحسابات، ومجموعات أخرى تضم 24 نوعًا من الاحتيال. وعلّق خبير الأمن السيبراني، نغو مينه هيو (Hieu PC)، قائلاً إن السبب الرئيسي لتسريب المعلومات هو نقص المعرفة، ونقص التدابير والإجراءات اللازمة لحماية البيانات، وضعف الرقابة على جمع المعلومات ومعالجتها وتخزينها واستغلالها.

وفقًا للسيد فو شوان نجوين، رئيس مجلس إدارة شركة IGB المساهمة، المتخصصة في البرمجيات والتكنولوجيا، لمنع تسرب المعلومات، تحتاج الشركات إلى تنفيذ التدابير التالية: المصادقة متعددة العوامل (MFA) وإدارة الوصول، مما يضمن أن الأشخاص المصرح لهم فقط لديهم حق الوصول إلى المعلومات الحساسة؛ تشفير البيانات أثناء التخزين والنقل؛ التشفير من البداية إلى النهاية لضمان أن المستلمين المعينين فقط يمكنهم فك تشفير المعلومات وقراءتها؛ المراقبة المستمرة والكشف المبكر عن الاختراقات باستخدام تقنيات مثل أنظمة اكتشاف الاختراق (IDS) وأنظمة منع الاختراق (IPS)؛ تدريب وتحسين مهارات الأمان للموظفين على تحديد هوية التصيد (الاحتيال عبر البريد الإلكتروني)، ومهارات الأمان الأساسية وإجراءات معالجة المعلومات للمساعدة في تقليل مخاطر التسرب من العوامل البشرية.

على وجه الخصوص، يجب نسخ البيانات احتياطيًا بانتظام تحسبًا لأي حوادث أمنية أو فقدان للبيانات. وقد طبقت IGB معايير الأمان الدولية ISO/IEC 2700I، باستخدام تشفير SSL/TLS لجميع الاتصالات عبر الإنترنت.

اقترحت الجمعية الوطنية للأمن السيبراني بناء منصة لربط ومشاركة معلومات الأمن السيبراني، مما يساعد المنظمات على الاستجابة بشكل استباقي للحوادث، ومراقبة أدوات وتقنيات الهجوم الإجرامي الجديدة، وتوفير تحذيرات مبكرة من التهديدات، ودعم اتخاذ القرارات الاستراتيجية؛ ومساعدة المنظمات على حماية الأصول الرقمية والحفاظ على سلامة البيانات وأمنها.

أطلقت الجمعية أيضًا تطبيق nTrust المجاني لمكافحة الاحتيال للهواتف الذكية، والذي يُساعد على كشف علامات الاحتيال من خلال التحقق من أرقام الهواتف، وأرقام الحسابات، وروابط المواقع الإلكترونية، ورموز الاستجابة السريعة (QR code). يحتوي برنامج nTrust على أكثر من مليون سجل مُتحقق، جُمعت من مصادر بيانات وزارة الأمن العام، ووزارة المعلومات والاتصالات، وبنك الدولة الفيتنامي، ومنظمات الأمن السيبراني الأعضاء في الجمعية.

في 8 أكتوبر، أطلقت الجمعية رسميًا برنامج تدريب خبراء حماية البيانات الشخصية التابع لجمعية VnDPO. سيتلقى المتدربون تدريبًا مكثفًا، حيث تُشكل فترة التدريب 60% من إجمالي مدة البرنامج. وبحلول يونيو 2024، حجبت إدارة أمن المعلومات (وزارة الاتصالات وتكنولوجيا المعلومات) 3170 موقعًا إلكترونيًا للاحتيال الإلكتروني، مما وفّر الحماية لأكثر من 10 ملايين شخص من المواقع الإلكترونية الاحتيالية وغير القانونية.