TTCK đối mặt hiểm họa hacker

Theo ĐTCK

Với những lỗ hổng nghiêm trọng, hacker có thể dễ dàng lợi dụng chiếm quyền kiểm soát và thay đổi dữ liệu, nội dung công bố thông tin.

Trung tâm Phần mềm và Giải pháp an ninh mạng (BKIS) khuyến cáo, trong quá trình làm việc với hơn 20 khách hàng là các ngân hàng, CTCK mới đây, tất cả hệ thống website những công ty này đều có lỗ hổng tương đối nghiêm trọng.
 
Nguy cơ khi an ninh mạng không được đảm bảo

Theo đánh giá của BKIS, hiện các DN đã có sự quan tâm và đầu tư nhất định đến hệ thống an ninh, có bộ phân chuyên trách. Tuy nhiên, mức độ đầu tư hiện vẫn chưa tương xứng. Thông thường, các công ty chỉ đầu tư một khoản tiền lớn để mua sắm thiết bị, mà chưa có giải pháp tổng thể.

Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng BKIS chỉ ra 2 nguy cơ chính đối với các CTCK khi an ninh mạng không được đảm bảo. Thứ nhất, không đảm bảo tính ổn định của hệ thống. Hacker có thể cùng lúc chiếm quyền kiểm soát nhiều máy tính để tấn công vào hệ thống của các CTCK, khiến hệ thống bị tê liệt. Như vậy, tại những thời điểm tập trung giao dịch, NĐT không thể thực hiện đặt lệnh được. Thứ hai, tin tặc có thể chiếm quyền kiểm soát hệ thống thông qua các lỗ hổng trên website, hệ điều hành, sơ hở của người quản trị, từ đó thay đổi nội dung, đánh cắp thông tin, tiến hành chuyển tiền, xóa cơ sở dữ liệu...

Theo đánh giá của BKIS, hiện các DN đã có sự quan tâm và đầu tư nhất định đến hệ thống an ninh, có bộ phân chuyên trách. Tuy nhiên, mức độ đầu tư hiện vẫn chưa tương xứng. Thông thường, các công ty chỉ đầu tư một khoản tiền lớn để mua sắm thiết bị, mà chưa có giải pháp tổng thể. Một hệ thống an toàn phải bao gồm các yếu tố kỹ thuật (phần cứng, phần mềm, môi trường cài đặt) và yếu tố con người (quy trình vận hành). Những sơ hở thường gặp như việc website được lập trình không chú trọng đến yếu tố bảo mật, máy chủ phân quyền không tốt, không cập nhập các bản vá lỗi, người quản trị để lộ mật khẩu… Về lý thuyết, hệ thống giao dịch của các Sở giao dịch chứng khoán cũng phải thường xuyên rà soát để phòng chống tội phạm công nghệ cao, mặc dù các CTCK hiện sử dụng đường truyền riêng trong chuyển dữ liệu tới các Sở giao dịch.

Trong nhiều trường hợp, do bất cẩn, chính các NĐT lại tiếp tay cho tin tặc. Đơn cử như ngồi giao dịch trên nhiều máy tính lạ, nhiễm vi rút, máy tính không được cài đặt các chương trình diệt virus và có thể bị cài đặt các phần mềm gián điệp với mục đích đánh cắp thông tin. Những thao tác tưởng rất nhỏ và vô thức như mở các email lạ, click vào các liên kết trên các diễn đàn, blog, email, chia sẻ quyền trên máy tính… có thể  tạo cơ hội cho tin tặc xâm nhập hệ thống giao dịch.

Ngoài ra, hacker cũng có thể giả danh nhân viên CTCK lừa khách hàng cung cấp thông tin cá nhân, mật khẩu để reset lại hệ thống. Hiện nay, hầu hết CTCK đã cung cấp các tiện ích để tăng thêm tính bảo mật cho khách hàng như thẻ ma trận, token…, nhưng nguy cơ mất mật khẩu hay bị đánh cắp thông tin, lợi dụng tài khoản của khách hàng vẫn luôn tiềm ẩn.

Công bố thông tin trên mạng: Cẩn trọng không thừa

Hiện tại, có hơn 600 DN niêm yết trên TTCK Việt Nam. Theo quy định hiện hành, các DN này đều phải công bố thông tin trên website. Tuy nhiên, các website thường được bảo mật khá lỏng lẻo. Đơn cử, website của DN thường chỉ đầu tư vài chục triệu đồng để lập trình, thậm chí nhiều công ty sử dụng mã nguồn mở, không an toàn, không có bộ phận chuyên môn phụ trách, nên nguy cơ bị tấn công là rất cao.

Những đối tượng có ý đồ xấu có thể lợi dụng việc này để thay đổi thông tin, thậm chí mạo danh công ty công bố thông tin không đúng, gây ảnh hưởng rất lớn đến NĐT.

Theo dự báo của BKIS, trong các năm tới sẽ xuất hiện những hình thức tấn công phức tạp và nguy hiểm hơn. Vì thế, các DN cần đầu tư để bảo đảm an ninh mạng, không chỉ vì sự gia tăng của các cuộc tấn công, mà còn vì các dữ liệu của các DN ngày càng trở nên quan trọng. DN cần xây dựng hệ thống phòng chống virus, đánh giá lại hệ thống mạng để đầu tư nâng cấp và vá những lỗ hổng đang tồn tại, có nhân sự cho bộ phận công nghệ thông tin nhằm nâng cao nhận thức của nhân viên, giúp họ nhận biết các nguy cơ khi tham gia môi trường mạng để cẩn trọng và đề phòng. Ông Đức cho biết, chi phí để đầu tư cho hệ thống bảo đảm an ninh mạng không lớn, chỉ dưới 10% tổng chi phí đầu tư cho hệ thống.