Công ty chứng khoán bị tấn công mạng: Hồi chuông cảnh báo thời 4.0
Theo chuyên gia, vấn đề an toàn thông tin và quản trị rủi ro luôn được tính đến khi xây dựng các hệ thống công nghệ thông tin, đặc biệt là các công ty chứng khoán. Tuy nhiên, một số cách làm chưa đúng đã dẫn tới sự kém hiệu quả dù đã bỏ ra không ít vốn.
Đầu tư không hiệu quả
Các công ty chứng khoán là nhóm doanh nghiệp nắm giữ khối lượng lớn dữ liệu về thông tin khách hàng cũng như dữ liệu giao dịch. Do bản chất của ngành chứng khoán, khối lượng dữ liệu này có giá trị rất lớn vì ảnh hưởng trực tiếp tới vấn đề tài chính của khách hàng cũng như chính công ty chứng khoán, do đó đòi hỏi tính bảo mật và an toàn cao trong quá trình công ty vận hành. Ở chiều đối ngược, các công ty chứng khoán trở thành mục tiêu hấp dẫn đối với tin tặc và các tác nhân đe doạ an ninh mạng.
Theo ông Lê Công Phú, Phó giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT), sau khi rà sát các công ty chứng khoán về khả năng phòng chống tấn công mạng, kết quả cho thấy công ty chứng khoán nói riêng và các doanh nghiệp nói chung đều chưa tuân thủ các quy định của pháp luật về đảm bảo an toàn thông tin, trong đó có việc chưa phê duyệt hồ sơ đề xuất cấp độ và triển khai các biện pháp bảo vệ hệ thống thông tin theo cấp độ được phê duyệt.
Trong thời gian vừa qua, Cục An toàn Thông tin đã đôn đốc, hỗ trợ các đơn vị triển khai. Hiện nay phần lớn các cơ quan nhà nước đang thực hiện tốt, trong khi khối doanh nghiệp, các tổ chức định chế tài chính lại chưa làm tốt.
Về mặt tổng thể, Việt Nam đã có hệ thống đầy đủ với các văn bản quy phạm pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, hướng dẫn rõ ràng về việc các tổ chức và doanh nghiệp cần làm gì để đảm bảo an toàn hệ thống thông tin, đồng thời cũng có các quy định xử phạt. “Chính phủ rất quan tâm đến vấn đề an toàn thông tin mạng, yêu cầu ra công điện kịp thời và chấn chỉnh để đảm bảo an toàn an ninh mạng. Trong khi hiện nay các công ty chứng khoán lại chưa thực sự quan tâm đến an toàn thông tin”, ông Lê Công Phú cho biết.
Còn theo ông Vũ Ngọc Sơn, Giám đốc Công nghệ, Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS), vấn đề an toàn thông tin và quản trị rủi ro luôn được tính đến khi xây dựng các hệ thống công nghệ thông tin. Ông Sơn khẳng định các công ty chứng khoán là những đơn vị đi đầu trong việc quan tâm, chú trọng đầu tư cho vấn đề này. “Tuy nhiên, đâu đó vẫn còn những cách làm chưa đúng, dẫn tới việc đầu tư nhiều tiền vào các hệ thống công nghệ thông tin, nhưng hiệu quả bảo vệ lại không cao”, ông Vũ Ngọc Sơn cho hay.
Đối với các trường hợp bị tấn công trong thời gian gần đây, ông Sơn cho biết nguyên nhân đến từ việc thiếu hệ thống giám sát 24/7. Theo đó, tin tặc sau khi vượt qua được các hàng rào bảo vệ lại trở nên khá an toàn vì thiếu hệ thống này. Ông Sơn cho rằng, đây là một điểm yếu đáng tiếc của các hệ thống công nghệ thông tin tại Việt Nam, trong khi việc đầu tư cho hệ thống giám sát 24/7 lại không tốn kém và phức tạp như các hệ thống bảo vệ khác. Đối với ngành chứng khoán, ông Vũ Ngọc Sơn cho rằng các công ty trong ngành không những cần quan tâm đến đầu tư an ninh mạng, mà còn cần phải đầu tư đúng và đủ.
Hồi chuông cảnh báo
Sự việc bị tấn công mã độc của Công ty Chứng khoán VNDIRECT được các chuyên gia ví như hồi chuông cảnh báo, không chỉ cho những công ty chứng khoán còn lại trên thị trường mà còn cho toàn bộ doanh nghiệp trong kỷ nguyên số, đặc biệt là những đơn vị như các định chế tài chính, công ty tài chính, hay những đơn vị đang quản lý một khối lượng lớn dữ liệu trên không gian mạng. Theo TS Nguyễn Trí Hiếu, bảo mật là vấn đề quan trọng nhất trong tất cả những lĩnh vực liên quan đến tài chính, trong khi bảo mật cũng là điều mà Việt Nam đang rất yếu và lỏng lẻo.
Sau sự cố của VNDIRECT, nhiều cổ đông đã đặt vấn đề về bảo mật và an toàn mạng đối với ban lãnh đạo các công ty chứng khoán, cũng như ngân hàng sở hữu công ty chứng khoán. Với Công ty Chứng khoán Vietcap, Tổng giám đốc Tô Hải cho biết công ty từ khi thành lập luôn có bộ phận an ninh mạng chuyên biệt, trong đó cách đây 4 năm đã tuyển dụng nhân viên có năng lực kinh nghiệm về vấn đề này trên thị trường quốc tế. “Các công ty chứng khoán sau sự cố đó đã kiểm tra, khảo sát lại toàn bộ hệ thống nhằm ngăn ngừa tối đã các trường hợp xấu xảy ra. Tuy nhiên, khó để Vietcap cũng như các công ty chứng khoán khác tự tin chắc chắn không xảy ra sự cố”, ông Tô Hải cho biết.
Đối với Ngân hàng TMCP Á Châu (ACB), nắm giữ 100% vốn cổ phần của Công ty Chứng khoán ACB (ACBS), Tổng giám đốc Từ Tiến Phát của ACB cho biết ngân hàng này luôn đầu tư về hạ tầng dữ liệu, bảo mật với giá trị khá lớn, trong đó, riêng hạ tầng công nghệ thông tin ACB đã đầu tư 1.000 tỷ đồng. Đầu quý III tới đây, ACBS sẽ tiến hành nâng cấp hệ thống giao dịch.
Khi sự cố xảy ra với các công ty trong ngành chứng khoán, giá trị thiệt hại thực tế của nhà đầu tư được cho là khó xác định và đo lường, do đó hầu hết các nhà đầu tư phải tự chịu trách nhiệm khi giao dịch gián đoạn. Còn đối với bản thân công ty chứng khoán, thiệt hại về kinh tế và uy tín khi để xảy ra sự cố là rất lớn.
Để giảm thiểu tối đa thiệt hại khi gặp phải những tình huống xấu này, các chuyên gia cho rằng chỉ đầu tư vào hạ tầng công nghệ là chưa đủ. Một trong những yếu tố quan trọng không kém mà các công ty chứng khoán nói riêng và các doanh nghiệp khác trên thị trường nói chung chưa được chú trọng là yếu tố con người. “Nhu cầu nhân sự an toàn bảo mật là vấn đề chung không chỉ ở Việt Nam mà trên toàn cầu. Trong khi việc đầu tư nguồn nhân lực an toàn thông tin hiện nay là chưa cân xứng”, ông Ngô Anh Tuấn, Tổng giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch Hiệp hội An toàn thông tin Việt Nam cho biết.
Đồng quan điểm, ông Lê Công Phú cũng cho rằng các doanh nghiệp đáp ứng được giải pháp an toàn bảo mật nhiều nhưng không có kỹ sư lành nghề thì hệ thống bảo mật sẽ khiến doanh nghiệp gặp rủi ro hơn. “Bản thân các hệ thống tường lửa, phòng chống xâm nhập đều có những lỗ hổng và điểm yếu mà chỉ có con người mới nhận diện kịp thời những nguy cơ đó và có giải pháp xử lý phù hợp”, ông Lê Công Phú cho biết.
Ngoài ra, các chuyên gia còn cho rằng công ty chứng khoán nói riêng và các doanh nghiệp nói chung còn cần bổ sung những liều vaccine cần thiết để tạo ra sức đề kháng trước nguy cơ mất an toàn thông tin. Liều vaccine này là những cuộc diễn tập thực chiến, giả lập những tình huống có thể xảy ra trong các cuộc tấn công mạng như hiện nay, bám sát với tình hình thời sự để giúp đội ngũ phòng thủ của doanh nghiệp có thể rèn luyện, nâng cao kỹ năng trong việc xử lý tình huống, đưa ra lựa chọn tốt nhất, phù hợp nhất.
Theo chuyên gia kinh tế Trần Nguyên Đán, giảng viên Trường đại học Kinh tế TP. HCM (UEH), việc không ổn định về hệ thống hạ tầng cơ sở công nghệ cũng như hệ thống an ninh, bảo mật mạng là sự trăn trở rất lớn trong quá trình nâng hạng lên thị trường mới nổi. Nếu hệ thống bảo mật yếu kém, tần suất các cuộc tấn công mạng sẽ nhiều hơn, tin tặc sẽ coi thị trường này là thao trường để rèn luyện kĩ năng. Chuyên gia Trần Nguyên Đán cho rằng Uỷ ban Chứng khoán Nhà nước và các công ty chứng khoán cần đưa ra những kịch bản phòng vệ cho những trường hợp tương tự trong tương lai.