“Mới có 50% trang web chứng khoán được vá lỗi”
Giám đốc Trung tâm An ninh mạng (BKIS) Nguyễn Tử Quảng khuyến cáo về tình trạng lơ là bảo mật tại nhiều website chứng khoán.
Anh nhận xét gì về tình hình bảo mật của các trang web, hệ thống giao dịch của các công ty và cơ quan quản lý chứng khoán?
Hồi tháng 4 chúng tôi có đưa ra một báo cáo về việc lỗ hổng tồn tại ở 12/22 trang web chứng khoán, dễ bị hacker lợi dụng chiếm quyền kiểm soát bất kỳ lúc nào. Nếu không được vá lỗi kịp thời, kẻ xấu có thể thay đổi kết quả giao dịch, sửa chỉ số chứng khoán, đưa thông tin thất thiệt.
Tuy nhiên từ đó đến nay mới có 50% trang web chứng khoán được vá lỗi. Chúng tôi vừa gửi một công văn cho Ủy ban Chứng khoán Nhà nước về vấn đề này. Trong công văn nêu đích danh các công ty đã sửa lỗi và chưa sửa.
Việc doanh nghiệp thờ ơ với bảo mật như vậy sẽ dẫn tới những hậu quả gì?
Chúng tôi gọi đây là lỗi hệ thống, có nghĩa là doanh nghiệp không quan tâm tới vấn đề an ninh mạng đúng mức vì vậy nên lỗi có thể xảy ra ở nhiều điểm của hệ thống.
Chẳng hạn, khi đưa một phần mềm vào hệ thống họ không yêu cầu nhà sản xuất phải đảm bảo các mã lệnh được an ninh an toàn, họ cũng không thuê tư vấn độc lập để tư vấn hay kiểm tra phần mềm khi đưa vào hệ thống...
Hiện nay điểm yếu nhất của các công ty chứng khoán nằm ở website. Hacker có thể xâm nhập qua đường website rồi sau đó tiến vào các hệ thống khác, lợi dụng các lỗ hổng âm thầm thay đổi, tung tin sai hay lấy, sửa thông tin tài khoản của nhà đầu tư được quản lý trên đó.
Nguy hiểm ở chỗ không thể xác định chính xác và nhanh được công ty nào bị hack trộm dữ liệu vì nếu muốn trục lợi hacker không dại gì đánh sập trang web để mọi người biết.
Hiện chứng khoán chỉ giao dịch vào buổi sáng và qua nhiều cấp như môi giới nhận lệnh, nhập lệnh tại sàn... Tới đây giao dịch hoàn toàn qua mạng, vấn đề bảo mật có ý nghĩa thế nào?
Một nguyên tắc cơ bản trong an ninh mạng là càng tiện lợi thì càng nhiều rủi ro và ngược lại. Vì thế nếu giao dịch chứng khoán thực hiện theo giờ nhất định và lệnh chuyển qua nhiều cấp thì an toàn hơn, tuy nhiên điều này kém thuận lợi cho nhà đầu tư.
Chúng tôi nghĩ nếu những lỗi đã nêu không được khắc phục, sau này khớp lệnh liên tục, giao dịch hoàn toàn qua mạng thì sẽ rất nguy hiểm. Nhà đầu tư cũng khó nhận biết hệ thống của công ty nào đảm bảo, công ty nào không.
Trường hợp có sự cố về an ninh mạng, hình thức xử phạt các hacker ra sao?
Hiện nay hành lang pháp lý để xử lý loại tội phạm này đang còn rất thiếu, chủ yếu là phạt hành chính. Tôi được biết Bộ Tư pháp và Bộ Công an đang tiến hành công tác sửa đổi luật để xử lý nghiêm minh hơn loại tội phạm này.
Trong điều kiện hiện nay, các công ty chứng khoán cần làm gì?
Đầu tư cho bảo mật không hề tốn kém, vấn đề là công ty chứng khoán cần quan tâm tới nó. Họ cần có có các nhà tư vấn chuyên nghiệp để sử dụng đúng cách các thiết bị đã có đưa ra quy trình vận hành. Với hạ tầng máy móc như các công ty chứng khoán hiện nay, họ hầu như không phải mua thêm thiết bị gì.
Về phía Ủy ban chứng khoán Nhà nước, trước mắt cơ quan này nên đưa ra khuyến cáo cho các công ty, sau này khi thị trường phát triển hơn thì các công ty chứng khoán phải có chứng chỉ đảm bảo an ninh mạng. Nhà đầu tư thấy doanh nghiệp nào có chứng chỉ thì có thể tin được.
Về lâu dài, tôi cho rằng có thể phải đặt vấn đề an ninh mạng thành điều kiện được phép kinh doanh chứng khoán.
* Tại Việt Nam, khi thực hiện giao dịch qua mạng hay giao dịch qua điện thoại, hiện nhà đầu tư phải cam kết chấp nhận mọi rủi ro. Trong trường hợp xảy ra các sự cố liên quan đến mạng, các công ty chứng khoán không chịu trách nhiệm hoặc có rất ít trách nhiệm về thiệt hại của khách hàng.
Hồi tháng 3, Ủy ban Chứng khoán Mỹ đã phong tỏa một loạt tài khoản với tổng giá trị lên đến 732.941 USD. Chủ những tài khoản này bị nghi ngờ tấn công vào cơ sở dữ liệu của 7 công ty môi giới chứng khoán online, ăn cắp tên và mật khẩu một số tài khoản. Từ đó, chúng đặt lệnh bán toàn bộ những cổ phiếu blue-chips trong danh mục đầu tư của những tài khoản bị tấn công này. Cũng từ những tài khoản này, chúng đặt lệnh mua những cổ phiếu giá rẻ với khối lượng lớn, tạo cầu ảo, định hướng sai lệch thị trường và trục lợi.
VnExpress
|