Auf dem Seminar „Informationssicherheit im Wertpapiersektor“, das am Morgen des 9. April stattfand, erklärte Herr Le Cong Phu, stellvertretender Direktor des Vietnam Cyberspace Emergency Response Center (Vncert, Ministerium für Information und Kommunikation ), dass die Abteilung für Informationssicherheit des Ministeriums für Information und Kommunikation Wertpapierfirmen aufgefordert habe, bis zum 15. April über die Umsetzung der Informationssicherheit nach Ebenen und der Informationssicherheit gemäß dem 4-Schichten-Modell Bericht zu erstatten. Konkret umfassen diese vier Ebenen Sicherheitskräfte vor Ort, die von Berufsverbänden bewertet, von Berufsverbänden überwacht und schließlich mit dem National Cyber ​​Security Monitoring Center verbunden werden.

Laut Herrn Phu hat das Ministerium für Informationssicherheit vor Kurzem auf die Umsetzung gedrängt, und die Gruppe staatlicher Behörden hat dabei recht gute Arbeit geleistet. Allerdings steht es um die Gruppe der Unternehmen und Finanzinstitute nicht wirklich gut.

„Wir haben Wertpapierfirmen nicht zu ihren aktuellen Fähigkeiten zur Abwehr von Cyberangriffen befragt. Nach dem jüngsten Cyberangriff auf VNDirect stellten wir jedoch fest, dass die meisten Wertpapierfirmen und Unternehmen im Allgemeinen die Informationen zur Cybersicherheit auf allen Ebenen nicht eingehalten haben“, sagte Herr Phu.

Herr Le Cong Phu, stellvertretender Direktor des Vietnam Cyber ​​Emergency Response Center (Vncert). Foto: Trong Hieu.

Gemäß den Bestimmungen in Abschnitt 25, Anhang IV des Investitionsgesetzes 2020 und Klausel 2, Punkt b, Klausel 2, Artikel 9 des Dekrets 85/2016/ND-CP müssen Informationssysteme, die Wertpapierdienstleistungen erbringen, die Informationssystemsicherheit gemäß den in Dekret Nr. 85/2016/ND-CP der Regierung vom 1. Juli 2016 zur Gewährleistung der Informationssystemsicherheit gemäß den Stufen und im Rundschreiben 12/2022/TT-BTTTT vom 12. August 2022 des Ministers für Information und Kommunikation vorgeschriebenen Stufen gewährleisten.

Daher stellt laut der offiziellen Mitteilung an das Wertpapierunternehmen die Nichtgewährleistung der Informationssystemsicherheit auf dem entsprechenden Niveau einen Gesetzesverstoß dar und unterliegt Verwaltungssanktionen gemäß Artikel 88 und 89 des Dekrets Nr. 15/2020/ND-CP vom 3. Februar 2020 der Regierung, das Sanktionen für Verwaltungsverstöße in den Bereichen Post, Telekommunikation, Funkfrequenzen, Informationstechnologie und elektronische Transaktionen regelt.

Gleichzeitig betonte Herr Phu auch, dass die derzeitigen Strafen für die Nichteinhaltung von Informationssicherheitsvorschriften recht milde seien und in Wirklichkeit als geringer angesehen werden könnten als der Schaden, der entsteht, wenn er eintritt.

Kommt es jedoch zu einem unerwarteten Vorfall wie dem kürzlich bei VNDirect, fällt die Strafe möglicherweise gering aus, der Ruf und das Ansehen des Unternehmens werden jedoch stark beeinträchtigt. In der kommenden Zeit ist mit einer Erhöhung der Geldbußen zu rechnen und Unternehmen müssen möglicherweise für die Sicherheit ihrer Netzwerkinformationen sorgen.

Die Verordnung über Verwaltungssanktionen bei Verstößen im Bereich der Cybersicherheit wurde vor Kurzem beraten und dürfte bald erlassen werden. Insbesondere bei Verstößen gegen den Schutz personenbezogener Daten könnte die vorgeschlagene Verwaltungsstrafe bis zu 5 % des Gesamtumsatzes des vorangegangenen Geschäftsjahres betragen oder sogar den Entzug der Gewerbeerlaubnis für 1–3 Monate nach sich ziehen.

Herr Ngo Tuan Anh – Generaldirektor der SCS Cyber ​​​​Security Company, Vizepräsident der Vietnam Information Security Association. Foto: Trong Hieu.

Laut Herrn Ngo Tuan Anh, Generaldirektor der SCS Cyber ​​​​Security Company und Vizepräsident der Vietnam Information Security Association, sind die Vorschriften zur Gewährleistung der Informationssicherheit nun im Rundschreiben mit ziemlich klaren Anweisungen und unterschiedlichen Anforderungsstufen je nach Ebene verfügbar.

„Beispielsweise wurden bei einem Wertpapierunternehmen der Stufe 3 die Management- und technischen Abläufe festgelegt. Die Einheiten sollten sich in ihren jeweiligen Einzelfällen daran halten. Achten Sie bei der korrekten Umsetzung der gesetzlichen Bestimmungen auf deren Einhaltung, um zusätzliche Risiken zu vermeiden, die durch eine Nichteinhaltung der gesetzlichen Bestimmungen entstehen“, betonte Herr Tuan Anh.

Erfahrungsaustausch zwischen Ländern: Laut Tran Minh Quan, leitender Sicherheitsexperte bei PwC, zeigen Untersuchungen, dass die meisten Länder wie Großbritannien und die USA eine spezialisierte Einheit zur Überprüfung und Zusammenstellung nationaler Statistiken zur Cybersicherheit eingerichtet haben. Stellen Sie von dort aus eine Form des Schutzes bereit, die ein Sicherheitsgerüst umfasst und eine Einheit unterstützt, wenn sie angegriffen wird und nicht weiß, was zu tun ist. Diese Task Force veröffentlicht Informationen auf dem Portal und sendet Berichte an die Einheiten, um Warnungen zur Stärkung der Informationssicherheit auszusprechen und die Einheiten darüber zu informieren, dass sie im Falle eines Hackerangriffs bestimmte Schritte zur Wiederherstellung unternehmen müssen.