証券会社にはリスクの見直しや情報システムのセキュリティ強化が求められている。

証券会社は４月１５日までに、オンライン証券取引システムを含むシステムのリスクや弱点を克服するための情報セキュリティの見直しと評価を完了し、対策を実施する期限を迎えている。

3月24日にVNDIRECT証券会社のシステムがサイバー攻撃を受け、企業の業務活動や多数の証券投資家の取引が不可能になった事件に関して、ネットワーク情報セキュリティの国家管理機関である情報セキュリティ局（情報通信省）は、証券会社に対し、管理下にある情報システムのセキュリティを強化するよう求める文書を発行した。

情報セキュリティ局は、最近一部の証券会社のシステムで発生したサイバーセキュリティインシデントにより、証券会社に重大な損害が発生したほか、混乱が生じ、特にベトナムの証券取引所や金融市場全体の安全性に対するユーザーの信頼に多少の影響を与えていると述べた。

証券会社の情報システムのセキュリティを確保するため、情報保護部は、これらの企業が現在から4月15日までに、管理下にある情報システムの情報セキュリティ保証のレビュー、検査、評価を完了することに重点を置き、特にオンライン証券取引を提供する顧客アカウント管理システムに関して、システムのリスク、脆弱性、弱点を克服するための対策を直ちに導入することを推奨します。

証券会社は、レベル別に情報システムセキュリティ保証を検討・整理し、特に管理下にある情報システムの統計を整理・分類し、実施計画を策定してレベル別に情報システムセキュリティ保証に関する規定を整備する必要がある。

目標は、遅くとも9月までに運用中の情報システムの100%がセキュリティ レベル承認を受けていることを確認し、承認されたレベルの提案文書に従って情報セキュリティ保証計画を完全に実施することです。

4層モデルに従って、情報セキュリティ保証業務の効果的、実質的、定期的かつ継続的な実施を組織し、特に専門的な監視および保護層の能力を向上させ、情報通信部の国家サイバーセキュリティ監視センターとの継続的かつ安定した接続と情報共有を維持します。

情報セキュリティ対策本部では、証券会社が管理する情報システムに対するインシデント対応計画の策定と並行して、データ暗号化攻撃が発生した際に迅速に復旧できるよう、システムや重要データを定期的にバックアップする計画を実施することを推奨しています。

ベトナムにおけるネットワーク情報セキュリティインシデント対応活動の実施状況をレビューし、推進する。定期的に脅威ハンティングを実施し、システム侵入の兆候を迅速に検知する。深刻なセキュリティ脆弱性が検出されたシステムについては、脆弱性を修正した後、直ちに脅威ハンティングを実施し、過去の侵入の可能性を判断する必要がある。

情報セキュリティ統括部は、証券会社に対し、情報セキュリティ統括部および関係機関・団体からの注意喚起に基づき、重要システムに対する情報セキュリティパッチの適用状況の確認と更新を推奨しています。同時に、システムに存在する情報セキュリティの脆弱性や弱点を迅速に検出するため、定期的な点検、評価、見直しを実施しています。

トラン・ビン