Cảnh báo về bảo mật sau vụ VNDIRECT bị tấn công
VNDIRECT cam kết sẽ có những chính sách để bảo đảm quyền lợi cho khách hàng bị thiệt hại bởi sự cố
Tính đến chiều tối 26-3, tức hơn 2 ngày sau khi hệ thống của Công ty CP Chứng khoán VNDIRECT (VNDIRECT) và các đơn vị liên quan bị tin tặc nước ngoài "đánh sập", các nhà đầu tư vẫn chưa thể truy cập vào website và ứng dụng (app) của công ty này để kiểm tra tài khoản.
Nhà đầu tư sẽ được "bù đắp"?
VNDIRECT là công ty chứng khoán có vốn điều lệ lớn thứ hai thị trường và có thị phần môi giới xếp thứ 3 nên sự cố lần này khiến rất nhiều nhà đầu tư có tài khoản tại VNDIRECT bị thiệt hại. Vì số tiền họ bỏ vào tài khoản rất lớn, lên tới hàng tỉ, thậm chí hàng chục tỉ đồng. Nhiều người vay "full margin" để đầu tư vào cổ phiếu vì kỳ vọng thị trường sẽ vượt 1.300 điểm trong tuần này.
Chị Trần Hạnh (ngụ TP Hà Nội), một nhà đầu tư có tài khoản tại VNDIRECT, cho biết các thành viên trong nhóm tư vấn đầu tư của chị, ai nấy đều rất bất an suốt 2 ngày qua. "Ngày hôm qua (25-3), thị trường giảm mạnh nhưng tôi và nhiều người khác chỉ biết ngồi nhìn bảng điện một cách bất lực, vì không mua bán gì được. Hôm nay (26-3), thị trường và cổ phiếu tăng mạnh, cũng không thể chốt lời hay đầu tư thêm được gì, bỏ qua rất nhiều cơ hội. Thiệt hại này ai chịu trách nhiệm? Tiền lãi vay những ngày ngừng giao dịch, VNDIRECT có bù đắp được cho nhà đầu tư không? Nếu trục trặc kéo dài, chúng tôi sẽ rất căng thẳng" - chị Hạnh bức xúc.
Anh Ngọc (ngụ TP HCM) cũng đang rất sốt ruột vì tiền và cổ phiếu của anh đều đang "đóng băng" trong tài khoản VNDIRECT, không thể mua bán được gì. "Khoản vay margin T10 của tôi đã trễ hạn nhưng không thể nạp thêm tiền để thanh toán, vậy tôi có bị phạt lãi vay 150% theo quy định hay không? Cổ phiếu đang lãi hoặc lỗ trong danh mục nhưng không mua bán được phải làm sao? Công ty phải có trách nhiệm trả lời cho chúng tôi hoặc có phương án bồi thường?" - anh Ngọc bày tỏ.
Theo thông tin phóng viên Báo Người Lao Động biết được, sau sự cố sập hệ thống, đại diện của VNDIRECT đã chủ động liên hệ giải thích và trấn an cho các nhà đầu tư, khách hàng của mình. Tuy nhiên, nhiều người cho biết họ vẫn không thể an tâm khi tiền bạc, cổ phiếu đều nằm hết trong tài khoản. Ông Minh (ngụ quận Gò Vấp, TP HCM) cho biết tài khoản tại VNDIRECT của ông đang giữ gần 30.000 cổ phiếu trị giá gần 1 tỉ đồng. Dù xác định mua và nắm giữ lâu dài nhưng trước việc VNDIRECT bị "tấn công" và đến nay vẫn chưa khắc phục được, khiến ông không thể nào an tâm. "Tôi trông chờ công ty hoạt động bình thường để có quyết định tiếp theo về cổ phiếu mình đang nắm giữ" - ông Minh nói.
Liên quan đến sự cố này, ngày 26-3, ông Nguyễn Vũ Long, Tổng giám đốc Công ty Chứng khoán VNDIRECT, đã chính thức lên tiếng và cho biết hệ thống công ty bị tấn công bởi một nhóm tấn công chuyên nghiệp, mã hóa tất cả dữ liệu. Tính đến ngày 26-3, công ty đã giải mã được các dữ liệu bị mã hóa, đang bị phong tỏa và chuyển qua bước tiếp theo là khắc phục hệ thống. "Chúng tôi đang bắt đầu quá trình khắc phục để có thể kết nối và giao dịch trở lại. Đây là một hình thức tấn công dù phổ biến nhưng tương đối phức tạp, cần thêm thời gian để khắc phục" - ông Long nói.
Liên quan đến những thiệt hại của khách hàng, Tổng giám đốc của VNDIRECT khẳng định về mặt nguyên tắc, toàn bộ quyền lợi của nhà đầu tư mở tài khoản đều được bảo đảm. Đồng thời, sau quá trình khắc phục, công ty sẽ có những chính sách để bảo đảm thêm quyền lợi cho khách hàng, giúp nhà đầu tư có thể khắc phục được hậu quả trong những ngày không giao dịch.
Ông Long khẳng định VNDIRECT đã kiểm soát lại tất cả những rủi ro về mặt thông tin khách hàng và chưa phát hiện nguy cơ nào. Công ty sẽ đánh giá lại quá trình về an toàn bảo mật nhưng ưu tiên hiện tại là dồn nguồn lực để hệ thống sớm vận hành trở lại.
Bài học cho các công ty chứng khoán khác
Đánh giá về sự cố này, ông Huỳnh Minh Tuấn, sáng lập và điều hành Công ty Cổ phần FIDT, cho rằng VNDIRECT thuộc tốp 3 thị phần công ty chứng khoán nên việc ảnh hưởng tới thị trường là không tránh khỏi. Đặc biệt, nhà đầu tư mở tài khoản tại công ty này sẽ bị ảnh hưởng nhiều nhất khi gián đoạn giao dịch và thiệt hại cơ hội tham gia thị trường. Bản thân VNDIRECT cũng bị thiệt hại về vật chất, thậm chí mất đi những khách hàng đang sử dụng dịch vụ. "Việc cổ phiếu VND của VNDIRECT sụt giảm 2 ngày qua phần nào phản ánh sự thất vọng và lo lắng của nhà đầu tư. Sự vụ cũng cho thấy khi quy mô thị trường ngày càng lớn thì yêu cầu về bảo mật đối với các thành viên giao dịch trên thị trường (hơn 70 công ty chứng khoán) phải siết chặt để tránh những sự cố tương tự" - ông Huỳnh Minh Tuấn nói.
Chuyên gia kinh tế, TS Cấn Văn Lực cũng nhấn mạnh sau vụ việc này, các doanh nghiệp (DN) cần đặc biệt lưu ý đến vấn đề an ninh mạng, bởi sự cố tương tự có thể xảy ra với bất cứ tổ chức tài chính nào trên thế giới. Do vậy, các công ty chứng khoán cần rút ra được bài học để nâng cao quy trình bảo mật của mình.
Trao đổi với phóng viên Báo Người Lao Động về sự cố của VNDIRECT, ông Nguyễn Mạnh Luật, CEO Trung tâm Đào tạo An toàn Thông tin CyberJutsu, cho rằng an ninh mạng là một cuộc đua không ngừng nghỉ giữa các chuyên gia bảo mật và hacker trục lợi. Ngay cả những "ông lớn" công nghệ như Google, Meta hay Microsoft cũng phải liên tục cập nhật, nâng cấp hệ thống phòng thủ của mình. Vụ rò rỉ dữ liệu của hơn 100 triệu khách hàng tại Capital One (một tập đoàn tài chính hàng đầu của Mỹ) trước đây đã chứng minh rằng không có giải pháp bảo mật nào là tuyệt đối. Đây là một thách thức chung mà các DN trên toàn cầu đang phải đối mặt. "Trong lĩnh vực an ninh mạng, chúng ta chỉ có thể nói đến "an toàn tạm thời" chứ khó có khái niệm "an toàn vĩnh viễn". Từ vụ việc bị tấn công của VNDIRECT, các công ty tài chính cần thường xuyên cảnh giác và đầu tư nguồn lực thích đáng để ứng phó với những nguy cơ tiềm ẩn. "Phòng bệnh hơn chữa bệnh", chuyển từ tư duy "chống" sang "phòng". Xây dựng một nền tảng vững chắc, có sức đề kháng cao sẽ giúp các DN phản ứng trước những rủi ro phức tạp trong môi trường số. Đồng thời, bám sát định hướng của Chính phủ tại Đề án 06 về phát triển hệ sinh thái số quốc gia. Song song với quá trình chuyển đổi lên nền tảng trực tuyến, DN cần chủ động đầu tư nguồn lực cần thiết cho an toàn thông tin" - ông Luật nêu ý kiến.
Cũng theo chuyên gia này, các công ty chứng khoán, tài chính phải thường xuyên đánh giá lại hệ thống bảo mật, phát hiện và khắc phục các lỗ hổng. Đồng thời, nâng cao nhận thức và kỹ năng cho nhân viên của mình. Quan trọng hơn hết là lãnh đạo cần tập trung phát triển đội ngũ nhân sự chất lượng cao và chuyên nghiệp, được trang bị kiến thức chuyên sâu về bảo mật.
"Khi DN có được sức đề kháng - khả năng phục hồi cao thì dù có lâm vào tình huống xấu nhất, họ vẫn có thể nhanh chóng phát hiện, ngăn chặn và khắc phục để giảm đi thiệt hại ở mức tối thiểu cho cả DN và khách hàng của mình" - ông Luật nói.
Bộ Công an vào cuộc điều tra
Liên quan đến sự cố sập hệ thống của VNDIRECT, Cục An ninh mạng và phòng chống tội phạm công nghệ cao (Bộ Công an) đang phối hợp các cơ quan chức năng điều tra vụ việc.
Ủy ban Chứng khoán Nhà nước cũng có công văn hỏa tốc yêu cầu yêu cầu các công ty chứng khoán phải bảo đảm hệ thống công nghệ thông tin (CNTT), cơ sở dữ liệu dự phòng hoạt động an toàn và liên tục. Chủ động rà soát, kiểm tra ngay các phương án bảo mật cho hệ thống CNTT của công ty, đặc biệt là hệ thống giao dịch chứng khoán và các hệ thống có kết nối internet để kịp thời khắc phục các lỗ hổng bảo mật (nếu có). Đồng thời, kiểm tra các quy trình giao dịch trực tuyến, quy trình kiểm soát rủi ro, quy trình sao lưu dự phòng hệ thống, dữ liệu, quy trình quản trị vận hành hệ thống CNTT; xây dựng các biện pháp ứng phó và khắc phục các rủi ro về an toàn bảo mật tiềm ẩn.
S.Nhung - Ng.Hưởng
Nguồn: https://baomoi.com/canh-bao-ve-bao-mat-sau-vu-vndirect-bi-tan-cong-c48669396.epi