Millionen von Kundendaten durchgesickert

Das Ministerium für öffentliche Sicherheit hat auf eine Reihe von Technologieunternehmen hingewiesen, die Kundeninformationen weitergegeben haben, oder auf Taxivermittlungsunternehmen, die durchgesickerte Passagierinformationen verwendet haben, um per SMS Dienstleistungen anzufordern. Das Ministerium für öffentliche Sicherheit sagte außerdem, dass die derzeitige Situation des Durchsickerns und des Kaufs und Verkaufs personenbezogener Daten weit verbreitet, öffentlich und zunehmend kompliziert sei. Noch schlimmer ist, dass viele dieser Daten schon seit langem in großen Mengen öffentlich im Cyberspace verkauft werden. Kaufen und Verkaufen findet nicht nur individuell zwischen Einzelpersonen statt, sondern es sind auch Unternehmen, Organisationen und Geschäfte beteiligt.

Im Jahr 2018 berichteten Technologieforen über das Durchsickern von Informationen über Thegioididong.com und darüber, dass Hacker wichtige Informationen wie E-Mail-Adressen, Transaktionsverläufe und sogar Kartennummern erlangt hatten, was Millionen von Kunden verunsicherte. Gioi Di Dong veröffentlichte umgehend eine Pressemitteilung, in der bestätigt wurde, dass es sich um falsche Informationen handele, das System aber weiterhin sicher sei, normal funktioniere und in keiner Weise beeinträchtigt sei. Dann wurde es allmählich ruhiger.

Im April 2018 verzeichnete VNG, dass bei 160 Millionen Zing-ID-Konten die Gefahr eines Datenlecks bestand und ein Teil der Gaming-Kundenbasis des Unternehmens betroffen sein könnte. Das Unternehmen erklärte, es habe umgehend Maßnahmen ergriffen, um den Vorfall zu bewältigen, Eindringversuche zu verhindern und die Zahl der von ihm betroffenen Benutzer durch technische Maßnahmen zu begrenzen. VNG gab jedoch zu, dass die Informationen einer Reihe von Benutzern durchgesickert waren, aber „der Kreis der tatsächlich von diesem Vorfall betroffenen Benutzer ist nicht groß, konzentriert sich auf Gaming-Kunden und betrifft keine anderen VNG-Produkte“. Das Unternehmen verpflichtete sich, die Rechte und die Sicherheit der Kunden stets zu gewährleisten und alle für Kunden auftretenden Probleme gründlich zu lösen …

Laut Herrn Vo Do Thang vom Athena Cyber ​​Security Center muss in bestimmten Fällen, wie sie vom Ministerium für öffentliche Sicherheit genannt wurden, eine Untersuchung durchgeführt werden, um herauszufinden, ob das System des Unternehmens angegriffen wurde oder ob Mitarbeiter des Unternehmens die Daten gestohlen und veröffentlicht haben. Doch was auch immer der Grund sein mag: Ein Datenleck bedeutet, dass das System des Unternehmens eine Schwachstelle aufweist. Die Schwachstelle kann hier technischer oder menschlicher Natur sein. Daher muss die Gewährleistung der Netzwerksicherheit und des Schutzes der persönlichen Daten der Kunden rund um die Uhr an 365 Tagen im Jahr regelmäßig überwacht und umgesetzt werden, ohne dass dies vernachlässigt wird. Denn niemand kann es wagen zu behaupten, dass sein System immer sicher ist, da Hacker jederzeit angreifen können. Ganz zu schweigen von der Situation, in der die eigenen Mitarbeiter des Unternehmens Kundendaten stehlen, um sie nach außen zu verkaufen …

Die Welt verhängt schwere Strafen, Vietnam hingegen nur wenige.

In letzter Zeit kam es in einer Reihe von Fällen zum Abfluss von Kundendaten, doch wurden kaum Einheiten dafür bestraft oder mit Sanktionen belegt. Mittlerweile wird dieses Verhalten in Ländern auf der ganzen Welt streng bestraft. So verhängte die US-amerikanische Federal Trade Commission im Juli 2019 eine Geldstrafe von 5 Milliarden US-Dollar gegen Facebook, nachdem Cambridge Analytica auf die persönlichen Daten von 87 Millionen Nutzern des sozialen Netzwerks zugegriffen und diese illegal verwendet hatte. Der Untersuchung zufolge gestattete Facebook dem Medienunternehmen Cambridge Analytica den illegalen Zugriff auf die Daten von 50 Millionen US-Nutzern während des Präsidentschaftswahlkampfs 2016 sowie des Brexit-Referendums 2016 in Großbritannien... Dies ist die weltweit höchste Geldstrafe, die jemals für einen Skandal verhängt wurde, bei dem Nutzerdaten durchgesickert sind.

In Vietnam gibt es zahlreiche Vorschriften, die die Weitergabe und Offenlegung von Informationen strafbar machen. Der derzeitige Verordnungsentwurf zur Regelung verwaltungsrechtlicher Sanktionen bei Verstößen im Bereich der Cybersicherheit (der sich in der Beratungsphase befindet und auf die Verkündung durch die Regierung wartet) sieht vor, dass Organisationen, die gegen die Vorschriften zum Schutz personenbezogener Daten verstoßen, ab dem zweiten Verstoß eine Höchststrafe von bis zu 5 % des Gesamtumsatzes des vorangegangenen Geschäftsjahres in Vietnam zahlen müssen. Gleichzeitig kann eine zusätzliche Strafe in Form des Entzugs der Gewerbeerlaubnis für die Branche verhängt werden, die die Erhebung personenbezogener Daten für 1–3 Monate erfordert.

Herr Vu Ngoc Son, Technischer Direktor der Vietnam Cyber ​​Security Technology Company, sagte, dass Unternehmen und Organisationen, die gegen das Gesetz verstoßen, bisher aufgrund des Fehlens detaillierter Vorschriften zum Schutz personenbezogener Daten lediglich mit Verwaltungsstrafen belegt würden. Daher ist die im kommenden Entwurf vorgeschlagene Höchststrafe von bis zu 5 % des Gesamtumsatzes für Vietnam geeignet und dient als Abschreckung für Unternehmen, die mehr Verantwortung für den Schutz von Kundendaten übernehmen möchten. Allerdings sei diese Geldstrafe im weltweiten Vergleich laut Herrn Son immer noch nicht hoch. Denn in vielen Ländern werden die meisten Strafen auf Grundlage der Schwere des jeweiligen Verstoßes bemessen. Wenn es beispielsweise zu einem Verstoß kommt, der zwar von einem kleinen Unternehmen ausgeht, aber eine große Zahl von Benutzern ernsthaft beeinträchtigt, fällt die Geldstrafe dennoch sehr hoch aus. „In Vietnam gibt es noch immer keine Skala, um die Auswirkungen jedes einzelnen Falles des Abflusses persönlicher Daten zu bewerten. Daher ist es nur vernünftig, eine Geldstrafe auf Grundlage der Einnahmen vorzuschlagen. Ich denke, dies wird einen neuen Schritt nach vorn im Prozess der Kontrolle und des Schutzes der persönlichen Daten der Menschen darstellen“, sagte Herr Vu Ngoc Son.

Herr Vo Do Thang stimmte dem zu und merkte an, dass detailliertere Vorschriften zu konkreten und behördlichen Sanktionen für Handlungen zum Schutz personenbezogener Kundendaten die Unternehmen dazu zwingen würden, ihre Netzwerksicherheitssysteme zu überprüfen. Um die Vertraulichkeit der Kundeninformationen zu gewährleisten, werden sowohl die technischen als auch die personellen Ressourcen regelmäßig bewertet und überwacht. Dies ähnelt den Vorschriften zur Gewährleistung des Brandschutzes in Bürogebäuden und an Orten mit vielen Menschen. Darüber hinaus müssen die staatlichen Verwaltungsbehörden die Kontrolle und Überwachung verstärken und Unternehmen, die gegen die Vorschriften verstoßen, streng bestrafen. Das erste Mal kann es öffentlich in den Medien geschehen; Bei wiederholten Verstößen drohen entsprechende Verwaltungsstrafen und anschließend kann der Dienst für einen bestimmten Zeitraum ausgesetzt werden, damit das Unternehmen sein Netzwerksicherheitssystem stärken kann.