4月9日午前に開催された「証券分野の情報セキュリティ」セミナーで、ベトナム情報通信省サイバースペース緊急対応センター（Vncert）副所長のレ・コン・フー氏は、 情報通信省情報セキュリティ局が証券会社に対し、レベル別の情報セキュリティの実施状況と4層モデルによる情報セキュリティについて4月15日までに報告するよう求めていると語った。具体的には、この 4 つの層には現場のセキュリティ部隊が含まれ、専門機関によって評価され、専門機関によって監視され、最終的に国家サイバーセキュリティ監視センターに接続されます。

プー氏によれば、最近、情報セキュリティ局が実施を促しており、政府機関のグループはなかなかうまくやっているとのことだ。しかし、企業と金融機関のグループはあまり良くありません。

「証券会社のサイバー攻撃対策能力について、現状の調査は行っていません。しかし、VNDirectにおける最近のサイバー攻撃事案を受けて、特に証券会社、そして一般企業の多くが、あらゆるレベルでサイバーセキュリティに関する情報を遵守していないことが判明しました」とプー氏は述べた。

ベトナムサイバー緊急対応センター（Vncert）副所長レ・コン・フー氏。写真：Trong Hieu。

2020年投資法付録IV第25条および政令85/2016/ND-CP第9条第2項第2項bの規定に基づき、証券サービスを提供する情報システムは、2016年7月1日付政府政令第85/2016/ND-CP号「レベルに応じた情報システムセキュリティの確保に関する」および2022年8月12日付情報通信大臣通達第12/2022/TT-BTTTT号に規定されたレベルに従って情報システムセキュリティを確保する必要があります。

したがって、証券会社に送られた公式文書によると、レベルに従って情報システムのセキュリティを確保できなかったことは法律違反であり、郵便、電気通信、無線周波数、情報技術、電子取引の分野における行政違反に対する制裁を規定する2020年2月3日付政府法令第15/2020/ND-CP号の第88条および第89条に従って行政制裁の対象となる。

同時に、プー氏は、情報セキュリティ規制に違反した場合の現行の制裁は非常に軽く、実際には違反が発生した場合の損害よりも低いとみられるとも強調した。

しかし、最近のVNDirectのような予期せぬ事件が発生した場合、罰金は少額であっても、評判や威信は大きく損なわれることになる。今後、罰金の引き上げが検討され、企業にはネットワーク情報セキュリティの確保が求められるようになるかもしれません。

サイバーセキュリティ分野における違反に対する行政制裁に関する政令は最近審議されており、まもなく公布される予定です。特に、個人情報保護違反に関しては、前年度の総収入の最大5％の行政罰、または1～3か月間の営業許可の取り消しが科される可能性がある。

Ngo Tuan Anh 氏 - SCS サイバーセキュリティ会社ゼネラルディレクター、ベトナム情報セキュリティ協会副会長、写真: Trong Hieu。

SCSサイバーセキュリティ社のゼネラルディレクターであり、ベトナム情報セキュリティ協会の副会長であるゴ・トゥアン・アン氏によると、情報セキュリティを確保するための規制は現在、回覧文書で非常に明確な指示と、各レベルに応じたさまざまなレベルの要件とともに利用可能になっているとのことだ。

「例えば、レベル3の証券会社では、管理業務と技術業務が明確に規定されています。各部署は、それぞれの具体的なケースに応じて、これを遵守する必要があります。法規制を正しく実施する際には、法規制の不遵守による追加的なリスクを回避するために、コンプライアンスを徹底することが重要です」と、トゥアン・アン氏は強調しました。

PwCの上級セキュリティ専門家トラン・ミン・クアン氏によると、各国の経験を共有する調査では、英国や米国などほとんどの国がサイバーセキュリティに関する国家統計を検討し、まとめる専門部署を設立していることが明らかになった。そこから、攻撃を受けて何をすべきかわからないときにユニットをサポートするセキュリティ フレームワークを含む保護形式を提供します。このタスクフォースは、ポータルに情報を掲載し、各部隊にレポートを送信して警告を発し、情報セキュリティを強化し、ハッカーの攻撃を受けた場合には回復のために特定の手順を踏む必要があることを部隊に知らせます。