Nâng cao tính an toàn, bảo mật trong giao dịch chứng khoán trực tuyến

Theo Tạp chí Chứng khoán 03/2018

Tự động hóa càng cao, một mặt tạo điều kiện thuận tiện cho nhà đầu tư, mặt khác cũng tiềm ẩn nhiều rủi ro liên quan đến an toàn bảo mật, đặc biệt trong thời đại bùng nổ thông tin như hiện nay.

Ảnh minh họa. Nguồn: Internet
Ảnh minh họa. Nguồn: Internet

Thị trường chứng khoán (TTCK) là nơi huy động vốn trung và dài hạn cho nền kinh tế thông qua hoạt động giao dịch chứng khoán (GDCK), trong đó nguyên tắc trung gian là một trong những nguyên tắc hoạt động cơ bản của TTCK. Hoạt động GDCK thông qua trung gian môi giới, đòi hỏi sự tham gia của hệ thống giao dịch tự động và các tổ chức cung cấp dịch vụ hỗ trợ trên TTCK.

Sau hơn 20 năm phát triển của ngành Chứng khoán và hơn 17 năm hoạt động của TTCK Việt Nam, phương thức GDCK giữa nhà đầu tư với các định chế tài chính trung gian (đặc biệt là các công ty chứng khoán - CTCK) đã có nhiều thay đổi, từ giao dịch tại sàn đến GDCK trực tuyến (GDCKTT). Tự động hóa càng cao, một mặt tạo điều kiện thuận tiện cho nhà đầu tư, mặt khác cũng tiềm ẩn nhiều rủi ro liên quan đến an toàn bảo mật, đặc biệt trong thời đại bùng nổ thông tin như hiện nay.

Ngay từ năm 2009, khi Sở Giao dịch Chứng khoán (SGDCK) Tp. Hồ Chí Minh (HOSE) chính thức triển khai giao dịch trực tuyến đối với các CTCK thành viên, cùng với sự phát triển rất nhanh chóng của Internet tại Việt Nam, các CTCK đã nhanh chóng bắt kịp xu thế để trang bị lại hệ thống công nghệ thông tin (CNTT), tổ chức cung cấp dịch vụ cho khách hàng đặt lệnh trực tuyến qua Internet.

Bộ Tài chính đã ban hành Thông tư số 50/2009/TT-BTC, tiếp theo là Thông tư số 87/2013/TT-BTC (Thông tư 87) hướng dẫn giao dịch điện tử trên TTCK. Theo đó, các CTCK trong nước đã có nhiều nỗ lực trong việc cung cấp dịch vụ GDCKTT cho nhà đầu tư, từ việc đầu tư trang thiết bị hệ thống, phần mềm giao dịch, quy trình giao dịch đến đầu tư về con người.

Tuy nhiên, trong bối cảnh công nghệ phát triển vượt bậc hiện nay, thương mại điện tử tăng trưởng rất mạnh mẽ, cùng với đó là các hiểm họa đe dọa an toàn thông tin. Vấn đề đảm bảo an toàn an ninh thông tin, bảo mật thương mại điện tử được đặt ra rất bức thiết. Hoạt động GDCKTT hiện nay bộc lộ một số vấn đề cần được điều chỉnh, từ hoàn thiện khung pháp lý cho đến vấn đề an toàn, bảo mật trong giao dịch, đảm bảo quyền lợi hợp pháp của các bên trong GDCK.

Hoạt động cung cấp dịch vụ GDCKTT của CTCK trong thời gian qua có các đặc điểm chính và một số hạn chế như sau:

Thứ nhất, về hệ thống kỹ thuật phục vụ GDCKTT: Hệ thống GDCKTT của CTCK nhìn chung được đầu tư thiết bị tương đối bài bản, có hệ thống chính và hệ thống dự phòng, cơ bản đáp ứng yêu cầu năng lực của hệ thống giao dịch trực tuyến.

Các công ty đều có giải pháp an toàn bảo mật thông tin để chống xâm nhập trái phép và thất thoát dữ liệu; hệ thống phần mềm cung cấp chức năng cơ bản phục vụ GDCKTT và được nâng cấp, thay đổi core hệ thống giao dịch cho phù hợp với yêu cầu thực tế của công ty.

Tuy nhiên, việc đầu tư hệ thống có khoảng cách khá lớn giữa các CTCK. Các công ty có tiềm lực tài chính, có chỗ đứng vững chắc trên thị trường đầu tư xây dựng hệ thống CNTT bài bản và có chiều sâu, hướng đến sự tiện dụng và an toàn của khách hàng.

Trong khi đó, các công ty ít khả năng về tài chính, hoạt động cầm chừng thì trang bị hệ thống ở mức tối thiểu nhất có thể để tiết kiệm chi phí. Vì vậy cần phải có các quy định cụ thể về trang thiết bị hạ tầng kỹ thuật CNTT, về yêu cầu đối với phòng máy chủ tại trụ sở CTCK hoặc thuê đặt chỗ tại các trung tâm dữ liệu.

Thứ hai, về dịch vụ GDCKTT: Thống kê cho thấy khoảng 95% GDCK trên thị trường sử dụng giao dịch trực tuyến. Đến hết năm 2017, tổng số tài khoản đăng ký tham gia GDCKTT là hơn 1,7 triệu tài khoản. Tính riêng năm 2017 đã có hơn 22 triệu lệnh GDCKTT với tổng giá trị giao dịch trung bình là 2.200 nghìn tỷ đồng.

Việc đặt lệnh của nhà đầu tư thông qua hệ thống GDCKTT của CTCK theo quy trình cơ bản như sau: nhà đầu tư truy cập vào hệ thống GDCKTT thông qua tên và mật khẩu truy cập. Sau khi đặt lệnh giao dịch, nhà đầu tư sẽ xác thực đặt lệnh thông qua các phương thức xác thực khác nhau tùy thuộc vào thỏa thuận cung cấp dịch vụ giữa nhà đầu tư và CTCK.

Các lệnh của nhà đầu tư sẽ được chuyển vào hệ thống giao dịch của Sở Giao dịch Chứng khoán (SGDCK). Việc thanh toán tiền và chứng khoán sau đó thực hiện qua Trung tâm Lưu ký Chứng khoán (TTLKCK). Như vậy, chu trình GDCK có sự tham gia của nhiều bên, từ nhà đầu tư, tổ chức cung cấp dịch vụ, SGDCK, TTLKCK. Tuy nhiên, hiện nay quy định về hệ thống GDCKTT đối với SGDCK, TTLKCK và các tổ chức trung gian khác chưa đầy đủ.

Ngoài ra, TTCK là một thị trường đặc biệt với các hàng hóa là cổ phiếu, trái phiếu doanh nghiệp, trái phiếu chính phủ và trái phiếu chính quyền địa phương, chứng chỉ quỹ, chứng khoán phái sinh.

Tuy nhiên, quy định về giao dịch điện tử trên TTCK đang ràng buộc “các chứng khoán được phép thực hiện dịch vụ giao dịch trực tuyến là các chứng khoán được giao dịch trên SGDCK” (khoản 2 Điều 5, Thông tư 87). Do đó, hạn chế một số sản phẩm chứng khoán không được thực hiện giao dịch trực tuyến.

Thứ ba, về an toàn bảo mật trong GDCKTT: Theo thống kê cho thấy, CTCK chủ yếu cung cấp các giải pháp xác thực đặt lệnh GDCKTT cho nhà đầu tư như: Tên đăng nhập/ mật khẩu; OTP (One Time Password – mật khẩu sử dụng một lần), thẻ ma trận; một số ít CTCK cung cấp giải pháp có áp dụng chữ ký số.

Trong số các giải pháp trên, giải pháp xác thực bằng Tên đăng nhập/ mật khẩu (xác thực một yếu tố) là giải pháp được đa số CTCK cung cấp cho nhà đầu tư đặt lệnh trực tuyến qua internet. Nhà đầu tư thực hiện qua hai lần nhập mật khẩu gồm mật khẩu đăng nhập và mật khẩu đặt lệnh. Phần lớn các CTCK này đều cho phép nhà đầu tư sử dụng mật khẩu đăng nhập và mật khẩu đặt lệnh giống nhau.

Điều này đã làm giảm hiệu quả an toàn bảo mật và tiềm ẩn rủi ro nếu mật khẩu đăng nhập của khách hàng bị lộ. Trong môi trường mạng internet với nhiều hiểm họa tấn công mạng ngày càng tinh vi như hiện nay, cơ chế xác thực một yếu tố sử dụng tên người dùng và mật khẩu không phù hợp cho giao dịch nhạy cảm như GDCKTT vì khả năng người dùng bị giả mạo hay chiếm mật khẩu là rất dễ dàng.

Các CTCK đều không yêu cầu khách hàng đặt lệnh trực tuyến phải ký phiếu lệnh giấy (bản cứng). Nếu nhà đầu tư sử dụng phiếu lệnh điện tử trong GDCKTT, phiếu lệnh phải được ký bằng chữ ký điện tử của nhà đầu tư thì lệnh đặt mới có giá trị pháp lý. Phương thức xác thực nêu trên chưa đảm bảo được yêu cầu đối với phiếu lệnh điện tử, về lý thuyết, giao dịch có thể bị một trong hai bên chối bỏ.

Điều này tiềm ẩn rủi ro cao cho cả nhà đầu tư và CTCK nếu có xảy ra tranh chấp vì không có căn cứ phân xử. Xét về khía cạnh người dùng là nhà đầu tư, họ thường chọn phương thức giao dịch đơn giản, thuận tiện, nhanh chóng và tin tưởng ở dịch vụ CTCK cung cấp nhưng chưa đánh giá được hết rủi ro khi xảy ra tranh chấp.

Tuy nhiên, do chưa có quy định hướng dẫn cụ thể về việc xác thực danh tính của nhà đầu tư khi thực hiện giao dịch mua bán chứng khoán trực tuyến, dẫn đến việc CTCK đặt nặng việc chọn giải pháp đơn giản, thuận tiện cho nhà đầu tư cao hơn vấn đề an toàn giao dịch.

Từ đó tiềm ẩn nhiều rủi ro cho nhà đầu tư khi tham gia GDCKTT, đồng thời không tạo được sự công bằng giữa các tổ chức cung cấp dịch vụ GDCKTT. Thực tế là có những CTCK được đầu tư tốt, có giải pháp an toàn giao dịch cho nhà đầu tư nhưng phải từ bỏ để chọn giải pháp đơn giản nhằm tránh bị mất khách hàng.

Thứ tư, về báo cáo và công bố thông tin trong hoạt động GDCKTT: Dữ liệu báo cáo tình hình GDCKTT đặc biệt khi có sự cố là một trong những thông tin quan trọng cho việc lập quy hoạch, phục vụ công tác quản lý nhà nước về TTCK và đề ra các giải pháp xử lý nhằm ngăn chặn kịp thời các nguy cơ tiềm ẩn rủi ro trong giao dịch điện tử trên TTCK.

Tuy nhiên, chưa có quy định về báo cáo các trường hợp có sự cố gây mất an toàn hoặc gây ảnh hưởng nghiêm trọng đến hoạt động GDCKTT. Nội dung trong các báo cáo định kỳ của CTCK, SGDCK, TTLKCK còn mang tính định tính.

Các hạn chế trên đây cho thấy cần hoàn thiện cơ sở pháp lý cho việc quản lý, giám sát hoạt động giao dịch điện tử trên TTCK hiệu quả hơn, góp phần đảm bảo cho các hoạt động giao dịch điện tử trên trị trường được an toàn, bảo mật, công bằng, minh bạch, hiệu quả, đồng thời tăng tính thuận tiện, an toàn cho người dùng khi sử dụng các dịch vụ GDCKTT.

Ngày 19/12/2017, Bộ Tài chính đã ban hành Thông tư số 134/2017/TT-BTC (Thông tư 134) thay thế Thông tư 87 về hướng dẫn giao dịch điện tử trên TTCK. Thông tư 134 bao gồm nhiều nội dung mới, có kế thừa và bổ sung, thay thế quy định tại Thông tư 87. Những điểm mới cơ bản của Thông tư 134 như sau:

Một là, bổ sung đối tượng áp dụng: Thông tư 134 bổ sung các thành phần tham gia vào hoạt động GDCKTT trên TTCK, bao gồm văn phòng đại diện, chi nhánh công ty quản lý quỹ (CTQLQ) nước ngoài tại Việt Nam, công ty đại chúng, ngân hàng lưu ký, ngân hàng giám sát, chi nhánh ngân hàng nước ngoài tại Việt Nam. Đây là các tổ chức trung gian tham gia vào quá trình vận hành của TTCK, chịu sự quản lý giám sát của cơ quan nhà nước có thẩm quyền.

Hai là, bổ sung yêu cầu kỹ thuật, dịch vụ, an toàn bảo mật của hệ thống GDCKTT:

- Thông tư 134 đưa ra các quy định mới về yêu cầu dịch vụ, hạ tầng kỹ thuật, an ninh bảo mật và lưu trữ dữ liệu đối với SGDCK, TTLKCK Việt Nam, CTCK, CTQLQ, đại lý phân phối chứng chỉ quỹ cung cấp GDCKTT.

- Một trong các điểm mới quan trọng của Thông tư 134 là quy định hệ thống GDCKTT phải có các giải pháp xác thực có độ an toàn tối thiểu tương đương giải pháp xác thực hai yếu tố trở lên, bao gồm: Giải pháp xác thực hai yếu tố; giải pháp xác thực sử dụng chứng thư số; các giải pháp xác thực khác được pháp luật cho phép và phù hợp với các quy định của cơ quan có thẩm quyền.

Đồng thời, thông tin của phiếu lệnh điện tử phải có thông tin của thiết bị đặt lệnh, địa chỉ vật lý của thiết bị đặt lệnh hoặc thông tin nhận dạng khác đảm bảo tính duy nhất của thiết bị đặt lệnh. Phiếu lệnh điện tử phải được ký bằng chữ ký số hoặc gắn liền, kết hợp một cách lô gíc với thông tin xác thực của nhà đầu tư theo quy định tại Điều 8 Thông tư này trước khi được gửi vào hệ thống.

Đối với giải pháp xác thực hai yếu tố, thực tế đang áp dụng một số kỹ thuật sau:

+ Xác thực người dùng bằng ma trận lưới ngẫu nhiên: Mỗi khách hàng sẽ được cấp một thẻ bảo mật trên đó in một ma trận hàng/cột với các giá trị trong các ô là chữ hoặc số ngẫu nhiên. Mỗi lần xác thực, khách hàng sẽ phải nhập một số giá trị trong ma trận theo các tọa độ, ví dụ A2, C4, F3 của ứng dụng yêu cầu.

Các yêu cầu tọa độ này được thay đổi sau mỗi lần xác thực thành công và thay đổi ngẫu nhiên sao cho các giá trị mật khẩu là không bao giờ trùng nhau. Khách hàng sẽ tra trên thẻ bảo mật của mình sở hữu để nhập các giá trị tương ứng theo tọa độ được yêu cầu. Kích thước hàng/cột của ma trận và độ dài của mật khẩu cho mỗi lần xác thực có thể thay đổi để phù hợp với từng chính sách bảo mật cụ thể.

+ Xác thực người dùng bằng One-Time-Password Tokens: Là thiết bị được gắn với người sử dụng. Chúng có thể là phần cứng (được gọi là các USB Token) hoặc phần mềm. Nếu là phần mềm, chúng có thể được cài đặt lên máy tính xách tay hoặc điện thoại di động...

Các thiết bị này được đồng bộ với hệ thống để tạo ra một dãy các con số khác nhau trong một khoảng thời gian nhất định để người dùng nhập vào hệ thống khi có yêu cầu xác thực. CTCK và khách hàng có thể thỏa thuận để lựa chọn thiết bị phù hợp. Hiện nay một số CTCK đã và đang thực hiện giải pháp xác thực này.

Đây là giải pháp xác thực mạnh do ngoài yếu tố mà người dùng biết (Username/Password) còn có thêm yếu tố mà người dùng có (Thẻ ma trận, Thẻ thông minh…), độ an toàn, tính tiện dụng và chi phí khác nhau tùy theo phương pháp sử dụng. Giải pháp này sử dụng mật mã đối xứng, do mật khẩu được chia sẻ giữa các bên tham gia giao dịch nên biện pháp an toàn thông tin này không có tính năng chống chối bỏ.

Đối với giải pháp xác thực sử dụng chứng thư số công cộng: Chữ ký số là một dạng chữ ký điện tử dựa trên công nghệ mã khóa công khai (còn gọi Mã hóa bất đối xứng). Mỗi người dùng chữ ký số phải có một cặp khóa, gồm khóa công khai và khóa bí mật. Khóa bí mật dùng để tạo chữ ký số. Khóa công khai dùng để thẩm định chữ ký số hay xác thực người tạo ra chữ ký số đó.

Để đảm bảo an toàn thông tin, việc tạo cặp khóa và chứng thư số được một tổ chức có uy tín, gọi là tổ chức cung cấp dịch vụ chứng thực chữ ký số thực hiện hoặc giám sát. Chữ ký số đã được chứng minh và được pháp luật công nhận là biện pháp an toàn thông tin phù hợp nhất cho giao dịch điện tử xét từ khía cạnh tính năng và mức độ đảm bảo an toàn thông tin cũng như tính khả dụng.

Giải pháp chữ ký số đạt được mức độ an toàn rất cao do được áp dụng những công nghệ, giải thuật và quy tắc phức tạp nhưng việc sử dụng lại tương đối đơn giản. Hiện nay các nhà cung cấp dịch vụ chữ ký số đã có những giải pháp ứng dụng giúp người dùng sử dụng chữ ký số trong giao dịch điện tử nhanh chóng, thuận tiện không kém việc sử dụng mật khẩu để xác thực danh tính.

Ứng dụng có thể được sử dụng trên máy tính hoặc thiết bị di động. Chứng thư số có thể được tích hợp lên điện thoại di động và người dùng không cần sử dụng thiết bị USB Token chứa chứng thư số.

Thông tư 134 yêu cầu tổ chức kinh doanh chứng khoán sẽ phải đầu tư hạ tầng, công nghệ để tích hợp giải pháp áp dụng chứng thư số. Nhà đầu tư được lựa chọn giải pháp xác thực do tổ chức cung cấp dịch vụ GDCKTT cung cấp khi đăng ký sử dụng dịch vụ GDCKTT và được đăng ký lại giải pháp xác thực khi có nhu cầu.

Thông tin của phiếu lệnh điện tử phải bao gồm thông tin của thiết bị đặt lệnh, địa chỉ vật lý của thiết bị đặt lệnh hoặc thông tin nhận dạng khác đảm bảo tính duy nhất của thiết bị đặt lệnh. Với quy định này, tại một thời điểm, dữ liệu của mỗi giao dịch đều được gắn thông tin duy nhất của thiết bị đặt lệnh.

Như vậy, việc xác minh các giao dịch bất thường tại một thời điểm của các tài khoản khác nhau trên cùng một thiết bị sẽ được thực hiện nhanh chóng; cơ quan quản lý sẽ có chứng cứ để đấu tranh với hành vi thao túng giá chứng khoán bằng thủ đoạn dùng nhiều tài khoản để đặt lệnh trên cùng một thiết bị.

- Cùng với các quy định trên, Thông tư 134 yêu cầu khi đặt lệnh qua điện thoại (nhà đầu tư gọi điện thoại đặt lệnh qua hệ thống call center của CTCK), nhà đầu tư phải sử dụng số điện thoại đặt lệnh đã đăng ký trước và cung cấp tối thiểu các thông tin sau: Số tài khoản giao dịch, thông tin xác thực hai yếu tố. Giao dịch chỉ được thực hiện khi thông tin nhà đầu tư cung cấp được so khớp với thông tin trong hệ thống GDCKTT.

Ba là, đơn giản hóa thủ tục hành chính đăng ký cung cấp dịch vụ GDCKTT: Thông tư 134 loại bỏ, gộp một số nội dung quy định về thủ tục, hồ sơ theo hướng đơn giản, thuận tiện cho doanh nghiệp, trên cơ sở đó rút ngắn thời gian xử lý hồ sơ.

Cụ thể là rút gọn thành phần hồ sơ đăng ký từ 09 đầu mục tài liệu xuống còn 04 đầu mục tài liệu, rút gọn thời gian giải quyết thủ tục từ 35 ngày làm việc xuống còn 20 ngày làm việc.

Bốn là, minh bạch, kịp thời trong báo cáo công bố thông tin trong hoạt động cung cấp dịch vụ GDCKTT: Thông tư 134 bổ sung quy định, yêu cầu về báo cáo trong vòng 24 giờ khi hệ thống GDCKTT gặp sự cố.

Bổ sung nghĩa vụ cung cấp thông tin, dữ liệu điện tử cho cơ quan quản lý nhằm hỗ trợ công tác thanh tra, giám sát ngăn chặn các hành vi thao túng thị trường, giao dịch nội gián phù hợp với các quy định hiện hành và thực tế trong hoạt động giao dịch điện tử trên TTCK hiện nay.

Với những điểm mới cơ bản trên đây, Thông tư 134 góp phần từng bước hoàn thiện khung pháp lý đối với hoạt động GDCKTT, giúp cho TTCK hoạt động ngày càng công bằng, hiệu quả, an toàn và minh bạch, phù hợp với thông lệ quốc tế.