
Ủy ban Chứng khoán Hồng Kông công bố báo cáo an ninh mạng, các công ty Web3 được cấp phép cần phải xem
Tuyển chọn TechFlowTuyển chọn TechFlow

Ủy ban Chứng khoán Hồng Kông công bố báo cáo an ninh mạng, các công ty Web3 được cấp phép cần phải xem
Công ty Web3 được cấp phép nên ứng phó với vấn đề an ninh mạng như thế nào?
Bài viết: Iris
An toàn mạng luôn là "nỗi đau thấu xương" của ngành Web3.
Theo dữ liệu từ đội ngũ an ninh SlowMist, trong tháng 1 năm 2025, các sự cố an ninh và lừa đảo đã gây ra tổn thất gần 100 triệu USD, và đây chỉ là phần nổi của tảng băng trôi về thiệt hại trong ngành. Mỗi năm, các dự án và người dùng cá nhân mất hàng tỷ, ít cũng lên tới vài tỷ USD do các vấn đề an ninh mạng.
Do đó, an ninh mạng cho các dự án Web3 luôn là yếu tố then chốt.

Ngày 6 tháng 2 năm 2025, Ủy ban Chứng khoán và Hợp đồng Tương lai Hồng Kông (SFC) đã công bố báo cáo "Báo cáo Kiểm tra Chủ đề An ninh Mạng cho Các Công ty Được Cấp Phép 2023/24", trong đó nêu rõ: đối với các công ty được cấp phép, điều quan trọng là phải nhận thức rằng an ninh mạng không chỉ đơn thuần là trách nhiệm của bộ phận công nghệ thông tin. Thực tế, các nhà quản lý cấp cao của công ty được cấp phép đóng vai trò then chốt trong việc giám sát và thực hiện các biện pháp an ninh mạng mạnh mẽ nhằm bảo vệ tổ chức khỏi những mối đe dọa không ngừng biến đổi.
Vậy thì, các công ty Web3 được cấp phép nên ứng phó như thế nào với các vấn đề an ninh mạng?
Bài viết này, luật sư ManQin sẽ phân tích báo cáo của Ủy ban Chứng khoán Hồng Kông, làm nổi bật các điểm chính và cung cấp một số chiến lược tham khảo.
Nhà quản lý cấp cao là người chịu trách nhiệm đầu tiên
Trước đây, chúng ta thường đổ lỗi cho vấn đề an ninh của dự án/sản phẩm lên đội IT của công ty, cho rằng họ mới là người chịu trách nhiệm chính.
Tuy nhiên, trong khuôn khổ quản lý của Ủy ban Chứng khoán Hồng Kông (SFC), ban quản lý cấp cao của các công ty được cấp phép không chỉ là cốt lõi trong ra quyết định chiến lược mà còn là người chịu trách nhiệm đầu tiên về tuân thủ an ninh mạng, phải gánh vác trách nhiệm pháp lý cuối cùng nếu xảy ra sự cố an ninh mạng. SFC nhấn mạnh rõ ràng rằng tất cả các cá nhân sau đây đều thuộc phạm vi quản lý cấp cao và phải đảm nhận trách nhiệm giám sát an ninh mạng:
-
Các cán bộ phụ trách (Responsible Officers, RO)
-
Giám đốc điều hành và giám đốc không điều hành (Executive & Non-Executive Directors)
-
Người đứng đầu các bộ phận chức năng chủ chốt (Managers-in-Charge, MIC)
SFC Hồng Kông nhấn mạnh rằng an ninh mạng không chỉ đơn thuần là trách nhiệm của bộ phận IT mà còn là một phần thiết yếu của quản trị doanh nghiệp. Do đó, ban quản lý cấp cao phải đảm bảo công ty xây dựng và duy trì hệ thống kiểm soát an ninh mạng mạnh mẽ, đồng thời giám sát việc thực hiện các biện pháp an toàn ở cấp độ chiến lược. Trách nhiệm này không chỉ yêu cầu ban quản lý có nhận thức về rủi ro an ninh mạng mà còn cần đảm bảo doanh nghiệp thực hiện các biện pháp phù hợp để giảm thiểu các rủi ro này và đáp ứng các yêu cầu giám sát của SFC.
Hơn nữa, các yêu cầu tuân thủ an ninh mạng không chỉ giới hạn ở kiểm soát kỹ thuật mà còn liên quan đến việc hình thành văn hóa doanh nghiệp. Ban quản lý doanh nghiệp cần tích cực thúc đẩy đào tạo nâng cao nhận thức an toàn, xây dựng chế độ trách nhiệm an ninh và tạo dựng văn hóa “ưu tiên an ninh mạng” bên trong doanh nghiệp. Chỉ khi ban quản lý thực sự coi an ninh mạng là một phần quan trọng trong quản lý rủi ro doanh nghiệp, các công ty Web3 được cấp phép mới có thể vận hành an toàn và ổn định trong môi trường đe dọa mạng phức tạp và luôn biến đổi.
Lỗ hổng an ninh nội bộ dễ bị bỏ qua nhất
Các sự cố an ninh trong ngành Web3 diễn ra liên tục, nhưng nhiều cuộc tấn công bắt nguồn không phải từ kỹ thuật hacker cao siêu mà từ những thiếu sót trong quản lý an ninh của chính các công ty được cấp phép.
Ủy ban Chứng khoán Hồng Kông (SFC) trong báo cáo chỉ ra rằng nhiều công ty được cấp phép vẫn tồn tại hai lỗ hổng quan trọng trong quản lý an ninh mạng. Những lỗ hổng này thường trở thành điểm đột phá cho các cuộc tấn công của hacker, trực tiếp đe dọa dữ liệu khách hàng, an toàn giao dịch và thậm chí dẫn đến rủi ro tuân thủ.
Sử dụng phần mềm hết hạn
Việc các công ty Web3 được cấp phép tiếp tục sử dụng phần mềm đã hết hạn là một lỗ hổng an ninh mạng lớn được SFC Hồng Kông đặc biệt chú ý trong báo cáo.
Vì các phần mềm này không còn nhận được bản cập nhật bảo mật, bản vá hay hỗ trợ kỹ thuật từ nhà cung cấp, các lỗ hổng mới phát hiện sẽ không được sửa chữa, điều này tạo cơ hội cho tội phạm mạng – chúng có thể lợi dụng những điểm yếu này để thực hiện các cuộc tấn công phần mềm độc hại, dẫn đến rò rỉ dữ liệu và xâm nhập hệ thống.
Để giảm thiểu rủi ro này, các công ty Web3 phải thực hiện quy trình quản lý vòng đời phần mềm có cấu trúc và do ban quản lý trực tiếp chịu trách nhiệm đánh giá rủi ro tài sản phần mềm. Trong trường hợp áp dụng được, công ty có thể cân nhắc thực hiện các biện pháp sau trong hoạt động kinh doanh:
-
Xây dựng cơ chế cập nhật phần mềm. Duy trì danh sách cập nhật tất cả phần mềm và hệ điều hành trong công ty, xác định trước các phần mềm sắp hết hạn và thiết lập quy trình đánh giá định kỳ.
-
Lên kế hoạch nâng cấp trước. Chủ động lên kế hoạch nâng cấp hoặc thay thế trước khi nhà cung cấp chính thức ngừng hỗ trợ, nhằm đảm bảo tính liên tục trong hoạt động kinh doanh, tránh gián đoạn đột ngột.
-
Thực hiện các biện pháp giảm nhẹ tạm thời. Áp dụng các biện pháp kiểm soát an ninh cho các hệ thống chưa thể nâng cấp ngay lập tức, ví dụ như hạn chế quyền truy cập, cách ly mạng.
-
Thực hiện đánh giá điểm yếu định kỳ. Các công ty được cấp phép có thể xây dựng cơ chế giám sát an ninh liên tục để đảm bảo các rủi ro phần mềm được nhận diện và xử lý kịp thời.
Bên cạnh đó, ban quản lý cấp cao của các công ty Web3 cần đảm bảo đội IT có đủ nguồn lực để quản lý hiệu quả vòng đời phần mềm, ngăn ngừa rủi ro không đáng có cho dữ liệu khách hàng và tài sản tài chính do không nâng cấp các hệ thống quan trọng.
Những điểm yếu trong thuật toán mã hóa
Thuật toán mã hóa là tuyến phòng thủ cốt lõi nhằm bảo vệ dữ liệu khách hàng, đảm bảo an toàn giao dịch và tuân thủ các yêu cầu quản lý. Tuy nhiên, trong báo cáo, Ủy ban Chứng khoán Hồng Kông (SFC) chỉ ra rằng một số công ty được cấp phép vẫn đang dựa vào các thuật toán mã hóa lỗi thời hoặc yếu kém, khiến thông tin tài chính nhạy cảm và dữ liệu cá nhân đối mặt với rủi ro an ninh mạng rất cao, chẳng hạn như rò rỉ dữ liệu, truy cập trái phép vào tài khoản.
Dưới đây là các lỗ hổng mã hóa chính mà SFC liệt kê:
-
Sử dụng các thuật toán lỗi thời như MD5, SHA-1 hoặc các phiên bản cũ của RSA, những thuật toán này dễ bị đe dọa bởi các cuộc tấn công mật mã hiện đại.
-
Chiều dài khóa không đủ, ví dụ như khóa RSA dưới 2048 bit hoặc khóa AES dưới 128 bit, khiến việc bẻ khóa bằng phương pháp vũ lực khả thi hơn.
-
Quản lý khóa không đúng cách, ví dụ như tái sử dụng khóa trong nhiều môi trường khác nhau, không luân chuyển khóa định kỳ hoặc lưu trữ khóa mã hóa ở nơi không an toàn.
Để giảm thiểu các rủi ro này, các công ty Web3 được cấp phép có thể triển khai các giao thức mã hóa phù hợp với tiêu chuẩn ngành nhằm tăng cường khả năng bảo vệ dữ liệu và đảm bảo tuân thủ các yêu cầu của SFC, bao gồm:
-
Sử dụng các thuật toán mã hóa mạnh như AES-256, đảm bảo dữ liệu lưu trữ tĩnh và dữ liệu truyền tải đều được bảo vệ mức độ cao.
-
Nâng cấp lên hệ thống khóa an toàn hơn, ví dụ như sử dụng mật mã đường cong elliptic (ECC) thay cho RSA, vừa cung cấp độ an toàn cao hơn vừa giảm nhu cầu về độ dài khóa, nâng cao hiệu suất tính toán.
-
Mã hóa đầu cuối (E2EE), đảm bảo dữ liệu luôn được mã hóa trong suốt quá trình truyền tải, ngăn chặn các cuộc tấn công trung gian hoặc truy cập trái phép.
-
Tăng cường cơ chế quản lý khóa, tránh sử dụng cùng một khóa trong nhiều môi trường, thay đổi khóa định kỳ và đảm bảo lưu trữ khóa đạt tiêu chuẩn an ninh cao nhất (ví dụ như mô-đun bảo mật phần cứng HSM).
-
Kiểm toán mật mã định kỳ, ít nhất một lần mỗi năm tiến hành rà soát tuân thủ mã hóa, đảm bảo mọi biện pháp mã hóa đều phù hợp với tiêu chuẩn ngành và yêu cầu quản lý mới nhất.
Xét về mặt tuân thủ, việc sử dụng mã hóa yếu không chỉ là sơ suất trong quản lý kỹ thuật mà còn có thể dẫn đến rủi ro quản lý nghiêm trọng. Tại Hồng Kông, các quy định như Điều lệ Bảo vệ Dữ liệu Cá nhân (Quyền riêng tư) đặt ra yêu cầu nghiêm ngặt về trách nhiệm bảo vệ dữ liệu đối với các tổ chức tài chính, trong khi các tiêu chuẩn an ninh dữ liệu toàn cầu (như ISO 27001, NIST) cũng không ngừng nâng cao ngưỡng tuân thủ về công nghệ mã hóa.
Do đó, nếu các công ty Web3 được cấp phép không thực hiện các biện pháp mã hóa đủ mạnh, một khi xảy ra rò rỉ dữ liệu hoặc truy cập trái phép, họ có thể phải đối mặt với trách nhiệm pháp lý, khủng hoảng niềm tin từ khách hàng, thậm chí là hình phạt từ cơ quan quản lý. Đồng thời, với tư cách là ban quản lý cấp cao của công ty, họ cũng phải coi an ninh mã hóa là một phần thiết yếu trong công tác tuân thủ cốt lõi của doanh nghiệp, đảm bảo chiến lược mã hóa có thể liên tục được tối ưu hóa theo các tiêu chuẩn an ninh ngành và các mối đe dọa mạng mới nổi, được thực hiện hiệu quả nhằm bảo vệ an toàn dữ liệu khách hàng và vận hành lâu dài, tuân thủ của doanh nghiệp.
Các mối đe dọa an ninh mạng bên ngoài và cách ứng phó
Bên cạnh các lỗ hổng nội bộ, các mối nguy hiểm an ninh bên ngoài đối với Web3 còn phổ biến hơn, điển hình là các trang web lừa đảo và các vụ lừa đảo airdrop.
Do đó, Ủy ban Chứng khoán Hồng Kông (SFC) trong báo cáo nhấn mạnh rằng các công ty được cấp phép phải áp dụng các chiến lược an ninh chủ động hơn để đối phó với các mối đe dọa tấn công mạng ngày càng gia tăng. Đặc biệt trong môi trường kinh doanh Web3, do tiền bạc, hợp đồng và tài sản số được số hóa ở mức độ cao, các thách thức an ninh mạng mà các tổ chức tài chính truyền thống phải đối mặt được khuếch đại thêm ở các công ty Web3.
Dưới đây là một số lĩnh vực rủi ro cao mà Ủy ban Chứng khoán đặc biệt quan tâm, cùng với các chiến lược phòng thủ có mục tiêu:
Tấn công lừa đảo (phishing)
Đây có lẽ là phương thức gian lận phổ biến nhất và có tỷ lệ thành công cao nhất trong ngành Web3.
Đối với các công ty Web3, lừa đảo mạng không chỉ đơn giản là hành vi gian lận mà còn có thể là điểm khởi đầu cho các cuộc tấn công quy mô lớn hơn. Đặc biệt trong lĩnh vực Web3, lừa đảo mạng thường là bước mở đầu cho việc mất tiền, khai thác lỗ hổng hợp đồng thông minh, ủy quyền độc hại hoặc thậm chí rò rỉ khóa riêng. Bằng cách giả mạo trang web giao dịch, gửi các liên kết dApp gian lận hoặc mạo danh đội ngũ chính thức, hacker dụ dỗ người dùng tiết lộ thông tin nhạy cảm mà không hề hay biết, cuối cùng dẫn đến tổn thất tài chính nghiêm trọng và khủng hoảng an ninh.
Để giảm thiểu các mối đe dọa này, các công ty Web3 phải vượt qua việc đào tạo nhận thức cơ bản, khuyến nghị áp dụng chiến lược phòng thủ đa tầng, bao gồm:
Cổng an toàn email nâng cao (SEG)
Các bộ lọc email truyền thống không còn đủ khả năng đối phó với các cuộc tấn công lừa đảo ngày càng phức tạp. SFC chỉ ra rằng các công ty được cấp phép cần triển khai cổng an toàn email nâng cao (SEG) để phát hiện và ngăn chặn các cuộc tấn công email lừa đảo. Ví dụ, khuyến nghị triển khai các giải pháp an toàn email dựa trên AI để phát hiện tên miền giả mạo, tệp đính kèm đáng ngờ, liên kết độc hại. Các công cụ này cũng nên tích hợp thông tin tình báo về mối đe dọa theo thời gian thực để ngăn chặn các hoạt động lừa đảo mới nổi.
Triển khai cơ chế xác thực mạnh
Vì lừa đảo mạng chủ yếu nhắm vào thông tin đăng nhập, do đó các doanh nghiệp Web3 phải thực thi bắt buộc xác thực đa yếu tố (MFA) trên mọi hệ thống quan trọng, đặc biệt là trong các môi trường liên quan đến nền tảng giao dịch, quản lý khóa riêng, truy cập ví nóng và các hệ thống tuân thủ. Đồng thời, cần hạn chế tối đa quyền của tài khoản người dùng, áp dụng nguyên tắc quyền hạn tối thiểu (PoLP), nhằm giới hạn tác động mà cuộc tấn công lừa đảo có thể gây ra.
Đào tạo nhân viên định kỳ và kiểm tra mô phỏng lừa đảo
Nhân viên là hàng rào đầu tiên, nhưng việc đào tạo an toàn đơn thuần thường khó thay đổi thói quen hành vi của nhân viên. Vì vậy, khuyến nghị các công ty Web3 có thể thực hiện hai bước: (1) Đào tạo định kỳ về nhận thức an ninh mạng cho nhân viên, tập trung vào các rủi ro đặc thù trong lĩnh vực dịch vụ tài chính và tài sản số, đảm bảo nhân viên có thể nhận diện và báo cáo các nỗ lực lừa đảo phức tạp; (2) Tiến hành định kỳ các bài tập mô phỏng lừa đảo, từ đó phân tích, đánh giá nhận thức an ninh và phản ứng của nhân viên, từ đó cải thiện các giao thức phản ứng sự cố.
Xây dựng cơ chế phản ứng nhanh và ứng phó khẩn cấp
Các công ty Web3 nên xây dựng quy trình chuẩn hóa để báo cáo các nỗ lực lừa đảo, đảm bảo hành động nhanh chóng điều tra và giảm thiểu mối đe dọa, tránh để tình hình leo thang. Ví dụ, khi xảy ra sự cố lừa đảo, doanh nghiệp cần nhanh chóng cô lập các tài khoản hoặc hệ thống bị ảnh hưởng và ngay lập tức kích hoạt quy trình ứng phó khẩn cấp, bao gồm thu hồi phê duyệt hợp đồng độc hại, đóng băng tài sản bị ảnh hưởng, đồng thời thông báo cho các cơ quan quản lý và khách hàng liên quan. Ngoài ra, mọi vụ xâm nhập lừa đảo thành công đều phải kích hoạt việc rà soát điều tra và cập nhật chính sách an ninh nội bộ.
Thông báo an toàn giao dịch và ký kết
Trong bối cảnh Web3, các trang web độc hại và dApp (ứng dụng phi tập trung) có thể dụ dỗ người dùng ký các hợp đồng thông minh độc hại. Do đó, doanh nghiệp nên thực hiện cơ chế xác nhận giao dịch an toàn, ví dụ như cung cấp lời giải thích chi tiết về quyền hạn hợp đồng thông minh trong giao diện ví và khuyến khích người dùng sử dụng công cụ mô phỏng để xác minh hành vi giao dịch trước khi ủy quyền.
Đối với các công ty Web3 xử lý giao dịch tài sản ảo, tài sản token hóa và các loại DeFi, rủi ro lừa đảo mạng đã vượt xa hình thức lừa đảo email truyền thống. Hacker không còn giới hạn ở việc gửi email độc hại hoặc trang web lừa đảo, mà còn sử dụng các thủ đoạn kỹ thuật xã hội tinh vi hơn như giả mạo thông tin chính thức, dụ dỗ người dùng phê duyệt hợp đồng thông minh độc hại, thậm chí giả mạo yêu cầu ký ví, từ đó vượt qua các biện pháp bảo vệ an ninh thông thường, trực tiếp chiếm quyền kiểm soát tài sản ảo của người dùng.
Do đó, chiến lược chống lừa đảo của các công ty Web3 không thể dừng lại ở việc đào tạo nhận thức an toàn cơ bản, mà cần bao gồm quản lý an toàn ví, kiểm tra tương tác hợp đồng thông minh và cơ chế xác minh giao dịch nghiêm ngặt, nhằm giảm thiểu rủi ro tiềm tàng ở mức tối đa.
An ninh truy cập từ xa
Làm việc từ xa đã trở thành trạng thái bình thường của các doanh nghiệp Web3, nhưng đồng thời cũng làm tăng bề mặt tấn công mạng. Nếu quản lý truy cập từ xa không tốt, hacker có thể truy cập vào các hệ thống cốt lõi thông qua thông tin đăng nhập yếu, kết nối chưa được mã hóa hoặc thiết bị bị xâm nhập, gây ra các nguy cơ an ninh nghiêm trọng.
Để đảm bảo an ninh truy cập từ xa, khuyến nghị các doanh nghiệp Web3 có thể thực hiện các biện pháp sau:
-
Thực thi bắt buộc xác thực đa yếu tố (MFA), đặc biệt khi truy cập bảng điều khiển quản lý, hệ thống lưu trữ khóa riêng và nền tảng giao dịch tài chính.
-
Sử dụng kiến trúc không tin tưởng (ZTA), đảm bảo mọi yêu cầu truy cập đều được xác minh nghiêm ngặt, chứ không chỉ dựa vào danh sách trắng IP hoặc VPN.
-
Giám sát nhật ký truy cập từ xa, nhận diện các mẫu truy cập bất thường, ví dụ như thời gian, vị trí địa lý hoặc thiết bị đăng nhập bất thường.
-
Mã hóa mọi kết nối từ xa, sử dụng mã hóa đầu cuối (E2EE) và VPN cấp doanh nghiệp, ngăn chặn các cuộc tấn công trung gian.
Những nguy cơ tiềm ẩn từ các nhà cung cấp dịch vụ IT bên thứ ba
Việc sử dụng các nhà cung cấp dịch vụ IT bên thứ ba mang lại những yếu tố an ninh mạng bổ sung cần xem xét. Doanh nghiệp phải thực hiện kiểm tra kỹ lưỡng để đánh giá tình trạng an ninh của nhà cung cấp. Bao gồm việc xem xét các chính sách an ninh của họ, tìm hiểu quy trình ứng phó sự cố và đảm bảo họ tuân thủ các yêu cầu quản lý liên quan. Thiết lập nghĩa vụ hợp đồng rõ ràng về bảo vệ dữ liệu và đánh giá an ninh định kỳ có thể giảm thêm rủi ro liên quan đến các nhà cung cấp bên thứ ba.
Nhiều doanh nghiệp Web3 phụ thuộc vào các nhà cung cấp bên thứ ba để cung cấp các dịch vụ như lưu trữ đám mây, xác thực, kiểm toán hợp đồng thông minh và xử lý thanh toán. Tuy nhiên, nếu chính nhà cung cấp có lỗ hổng an ninh, họ có thể trở thành điểm đột phá cho các cuộc tấn công của hacker.
Để giảm rủi ro từ các cuộc tấn công chuỗi cung ứng, các doanh nghiệp Web3 được cấp phép có thể thực hiện:
-
Thực hiện kiểm tra an ninh kỹ lưỡng, đánh giá mức độ an ninh mạng, chính sách xử lý dữ liệu, quy trình ứng phó sự cố và chứng nhận tuân thủ (như ISO 27001 hoặc SOC 2) của nhà cung cấp.
-
Làm rõ nghĩa vụ hợp đồng, đảm bảo nhà cung cấp chịu trách nhiệm về bảo vệ dữ liệu, ứng phó sự cố và kiểm toán an ninh.
-
Đánh giá an ninh nhà cung cấp định kỳ, ví dụ yêu cầu nhà cung cấp cung cấp báo cáo an ninh mới nhất và thực hiện kiểm thử thâm nhập để đảm bảo cơ sở hạ tầng của họ không có lỗ hổng nghiêm trọng.
Các mối đe dọa an ninh đám mây
Điện toán đám mây đã trở thành cơ sở hạ tầng cốt lõi của các doanh nghiệp Web3, tuy nhiên, việc cấu hình sai bộ nhớ đám mây, dữ liệu chưa được mã hóa và quyền truy cập mở quá mức có thể khiến hacker dễ dàng đánh cắp thông tin nhạy cảm.
Để đảm bảo an ninh đám mây, khuyến nghị các doanh nghiệp Web3 có thể thực hiện:
-
Triển khai kiểm soát truy cập nghiêm ngặt, sử dụng kiểm soát truy cập dựa trên vai trò (RBAC), hạn chế quyền truy cập vào dữ liệu nhạy cảm.
-
Mã hóa dữ liệu ở trạng thái tĩnh và trong quá trình truyền tải, đảm bảo mọi dữ liệu khách hàng lưu trữ trên đám mây đều được mã hóa bằng AES-256, ngăn ngừa rò rỉ dữ liệu.
-
Thực hiện kiểm toán an ninh đám mây định kỳ, xác định các cấu hình sai và rủi ro tiềm tàng, tránh các vấn đề phổ biến như S3 Bucket cho phép truy cập công khai.
Đồng thời, các doanh nghiệp Web3 cũng cần hiểu mô hình trách nhiệm chung về an ninh đám mây, nắm rõ những khía cạnh an ninh nào do nhà cung cấp đám mây quản lý và những khía cạnh nào là trách nhiệm của doanh nghiệp.
Tóm tắt của Luật sư ManQin
Báo cáo của SFC một lần nữa nhấn mạnh rằng an ninh mạng không chỉ là vấn đề kỹ thuật mà còn là khâu cốt lõi trong vận hành tuân thủ của các công ty được cấp phép. Bất kể là trách nhiệm trực tiếp của ban quản lý, hay phòng thủ an ninh nội bộ và ứng phó với các mối đe dọa bên ngoài, các doanh nghiệp Web3 được cấp phép đều phải xây dựng chiến lược an ninh mạng bền vững và vững chắc lâu dài để đáp ứng yêu cầu quản lý, bảo vệ an toàn tài sản khách hàng.
Đáng chú ý hơn, ngày 7 tháng 2, SFC tuyên bố dự kiến sẽ rà soát toàn diện các yêu cầu và tiêu chuẩn an ninh mạng hiện tại vào năm 2025, đồng thời xây dựng một khung an ninh mạng toàn ngành, cung cấp hướng dẫn tuân thủ rõ ràng hơn cho tất cả các công ty Web3 được cấp phép, giúp họ quản lý rủi ro an ninh mạng hiệu quả hơn.
Do đó, các công ty Web3 được cấp phép càng cần chuẩn bị sớm để đảm bảo có thể nhanh chóng thích nghi khi yêu cầu quản lý được nâng cấp. Đồng thời, luật sư ManQin khuyến nghị dù có được cấp phép hay không, các doanh nghiệp Web3 đều nên chủ động đánh giá kiến trúc an ninh mạng hiện tại, hoàn thiện cơ chế quản trị nội bộ và tăng cường kết nối tuân thủ, nhằm giảm thiểu rủi ro vận hành do điều chỉnh tuân thủ trong tương lai và nâng cao năng lực cạnh tranh trên thị trường.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News














