首相は2月末に開催された2024年の株式市場発展任務の実施に関する会議を締めくくり、国家証券委員会が主宰し、関係機関と連携して、株式取引システム、ITシステムを全面的に緊急に検討し、徹底的に検査し、リスク管理手順、緊急事態の処理と対応策を積極的に策定し、技術的事故を防止し、金融システムのセキュリティと安全性、投資家の利益を確保するよう指示した。

しかし、ベトナムの株式市場では、専門家が深刻とみなす情報セキュリティ事件が起きたばかりだ。3月24日の朝からVNDIRECT証券会社のシステムがハッキングされていたことが発覚し、同社の事業活動や多くの株式投資家の取引が不可能になったのだ。

専門家グループによるサイバー攻撃によりシステム全体が4日間にわたって混乱に陥った後、VNDIRECT Securities Joint Stock Companyは、システム、製品、ユーティリティを段階的に再開するための4段階のロードマップの第1段階を完了しました。現在、マイアカウント検索システムのみが復元されています。

W-オンライン株式取引-1-1-1.jpg
証券会社には、データが暗号化された際に速やかに復元できるよう、システムや重要なデータを定期的にバックアップする計画を実施することが求められています。 (イラスト:DV)

VNDIRECT事件を受けて、ネットワーク情報セキュリティの国家管理機関として、情報セキュリティ局は3月27日、証券会社に対し、管理下にある情報システムのセキュリティを強化するよう要請した。

同機関は、最近一部の証券会社のシステムで発生したサイバーセキュリティインシデントは証券会社に重大な損害を与えたほか、混乱を引き起こし、特にベトナムの証券取引所や金融市場全般の安全性に対するユーザーの信頼に多少影響を与えたと述べた。

証券会社の情報システムのセキュリティを確保するため、情報セキュリティ部門は、これらの企業に対し、現在から4月15日までに、管理下にある情報システムの情報セキュリティ保証の見直し、検査、評価を完了することに重点を置き、システムのリスク、脆弱性、弱点を克服するための対策を直ちに導入することを推奨します。特に顧客口座管理システムでは、オンライン証券取引に役立っています。

証券会社は、あらゆるレベルで情報システムのセキュリティを確保するために、統計の整理や管理下にある情報システムの分類などを検討し、組織化する必要があります。あらゆるレベルで情報システムのセキュリティを確保するための規制を実施および完了するための計画を策定します。

目標は、遅くとも9月までに運用中の情報システムの100%がセキュリティ レベル承認を受けるようにすることです。承認されたレベルの提案文書に従って、12月までに情報セキュリティ保証計画を完全に展開します。

4層モデルに従って、情報セキュリティ保証業務の効果的、実質的、定期的かつ継続的な実施を組織し、特に専門的な監視および保護層の能力を向上させ、国家サイバーセキュリティ監視センターとの継続的かつ安定した接続と情報共有を維持します。

証券会社は、管理下にある情報システムのインシデント対応計画を策定するとともに、データ暗号化攻撃が発生した際に速やかに復旧できるよう、システムや重要データを定期的にバックアップする計画も実施する必要があります。

さらに、ベトナムにおけるネットワークセキュリティインシデントへの対応活動の実施を検討し、推進する必要がある。定期的に脅威ハンティングを実行し、システム侵入の兆候を迅速に検出します。

「重大なセキュリティ上の脆弱性が検出されたシステムでは、脆弱性を修正した後、部隊は直ちに脅威を探し、以前の侵入の可能性を判断する必要がある」と情報セキュリティ部門の担当者は指摘した。

証券会社も情報セキュリティ部や関係機関・団体からの警告に従い、重要なシステムの情報セキュリティパッチの確認や更新を行う必要がある。同時に、定期的に点検、評価、見直しを行い、システム内に存在する情報セキュリティの脆弱性や弱点を速やかに検出します。

VNDIRECTが攻撃を受けた際、証券会社はセキュリティ強化を要請された。攻撃を受けてから2日以上が経過したが、VNDIRECTシステムはまだ完全には復旧していない。国家証券委員会は、技術システムが安全かつ安定的に運用されることを確保するために、証券会社にいくつかのタスクを緊急に実施することを要求しています。