個人データと組織のデータをセキュリティの脆弱性から保護する

国家サイバーセキュリティ協会常任副会長で、公安省サイバーセキュリティ局（A05）局長のグエン・ミン・チン中将は次のようにコメントしています。「ネットワークを介した個人情報や組織データの攻撃、流用、取引の状況は複雑で、急速に変化しており、サイバー攻撃を実行する際のシナリオや指示も多岐にわたり、多くの犯罪手法が用いられています。」

ベトナムでは、2024年の最初の6か月間に、大規模組織のユーザーや顧客を狙った不正ドメイン名が2,364件あり、2023年の同時期と比較して1.2倍増加しました。ベトナムの大手組織のブランドを違法に使用した偽ページは496件で、2023年の同時期の4倍に増加。さまざまな形式の DDoS 攻撃が 495,000 件発生しました。

3テラバイトのデータがランサムウェアの攻撃を受け、被害総額は1,000万ドルを超えると推定されています。 Lockbit グループによる VNDirect Securities Joint Stock Company への攻撃、および Vietnam Oil Corporation (PVOil)、Post and Telecommunication Insurance Joint Stock Corporation (PTI)、IPA Investment Group Joint Stock Company の Web サイトへの攻撃が含まれます。 IPA証券投資信託管理一人有限責任会社（IPAAM）の事業に多大な損害を与えました。

上記の問題の主な原因の 1 つは、多くの組織や個人からの情報やデータの漏洩です。 2024年の最初の6か月間に、情報セキュリティ局（情報通信省）の技術監視システムは、ベトナムの機関および組織の90,033件の弱点と情報セキュリティの脆弱性を記録しました。警察署が対処しなければならなかった重大事件の数は、2023年と比較して約60％増加しました。

Viettel Cyber​​ Security Company（VCS）は、販売対象の顧客データ記録約1,300万件、ソースコード12.3GB、データ16GBを含む46件の情報漏洩を記録しました。新たな脆弱性は約 17,000 件あり、そのうち半数以上が高レベルかつ深刻な脆弱性で、そのうち 71 件の脆弱性はベトナムの組織や企業から漏洩した数億件のアカウントや顧客情報に関連しています。

個人の電話番号、氏名、住所、身分証明書番号/住民登録番号、口座番号などの個人情報が漏洩・流出する事態は非常によく起きています。詐欺メッセージや偽のリンクを受け取るだけでなく、さまざまなサービスを提供する電話による嫌がらせも受けます。

ハノイ市タイホー区スアンラの退職公務員グエン・ヴァン・フン氏は、株への投資や休暇旅行のクーポン券、ワインの試飲や企業からの報酬の勧誘の電話を頻繁に受けると語った。数年前にマンション購入の取引をしたが、おそらくそのせいで個人情報が漏洩したという。

情報漏洩の主な原因は、個人情報の保護を認識していない、または適切な保護対策を講じていないユーザーの不注意により、サイバースペースに個人情報を公開したり、情報の転送、保管、交換の過程で個人情報が漏洩したりすることです。

データバックアップにおける一般的な操作。携帯電話、パソコン、ハードドライブなどの個人情報機器の修理、購入、販売、清算。ユーザーが慎重にデータを削除したとしても、漏洩の潜在的なリスクは残ります。

組織や企業の場合、システム、アプリケーション、ソフトウェアの脆弱性が原因です。ネットワーク環境における規制や情報規律の遵守の緩さ。顧客情報セキュリティポリシーの抜け穴。さまざまな不健全な目的のために、意図的に顧客情報を第三者に提供する企業さえあります。

公安省は、インターネット上の詐欺には、ブランド偽造、アカウント乗っ取り、その他24種類の詐欺の組み合わせの3つの主要なグループがあると警告している。サイバーセキュリティ専門家のNgo Minh Hieu氏（Hieu PC）は、情報漏洩の主な原因は知識不足、データを保護するための対策と手順の欠如、情報の収集、処理、保管、活用における管理の緩みであるとコメントした。

ソフトウェアとテクノロジーを専門とするIGB株式会社の取締役会長、ヴー・スアン・グエン氏によると、情報漏洩を防ぐために、企業は多要素認証（MFA）とアクセス管理を実施し、許可された人だけが機密情報にアクセスできるようにする必要があるとのこと。保存時と転送時の両方でデータを暗号化します。エンドツーエンドの暗号化により、意図した受信者だけが情報を復号化して読み取ることができるようになります。侵入検知システム（IDS）や侵入防止システム（IPS）などの技術を使用して侵入を継続的に監視し、早期に検出する。人的要因による露出や漏洩のリスクを軽減するためには、フィッシング詐欺（メール詐欺）の識別、基本的なセキュリティスキル、情報処理手順などについて従業員のセキュリティスキルをトレーニングし、向上させる必要があります。

特に、セキュリティインシデントやデータ損失が発生した場合に備えて、データを定期的にバックアップする必要があります。 IGB は、すべてのオンライン接続に SSL/TLS 暗号化を使用し、国際セキュリティ標準 ISO/IEC 2700I を適用しています。

全米サイバーセキュリティ協会は、サイバーセキュリティ情報を接続して共有し、組織がインシデントに積極的に対応し、新しい犯罪攻撃ツールや手法を監視し、脅威の早期警告を提供し、戦略的な意思決定をサポートできるようにするためのプラットフォームの構築を提案しました。組織がデジタル資産を保護し、データの安全性とセキュリティを維持するのに役立ちます。

同協会はまた、電話番号、口座番号、ウェブサイトのリンク、QRコードをチェックして詐欺の兆候を検出する無料のnTrust詐欺防止スマートフォンアプリもリリースした。 nTrust ソフトウェアには、公安省、情報通信省、ベトナム国家銀行、および協会のサイバーセキュリティ会員組織のデータソースから収集された 100 万件を超える検証済みレコードがあります。

10月8日、協会はVnDPO個人データ保護専門家研修プログラムを正式に開始しました。学生は、プログラム全体の期間の 60% を練習時間として集中的なトレーニングを受けます。情報セキュリティ局（情報通信省）は、国家悪質ドメイン名警告および防止システムを通じて、2024年6月までに3,170のオンライン詐欺ウェブサイトをブロックし、1,000万人以上の人々を詐欺や違法ウェブサイトから保護しました。