Chuyên gia bảo mật nói gì về sự cố công ty chứng khoán lộ thông tin nhà đầu tư?
Theo các chuyên gia, việc thông tin bị lộ lọt do hacker truy cập hệ thống CNTT của công ty chứng khoán qua lỗ hổng bảo mật khiến cho nhà đầu tư phải đối mặt nhiều nguy cơ tiềm ẩn.
Nhiều nguy cơ tiềm ẩn từ sự cố bảo mật của công ty chứng khoán
Ủy ban Chứng khoán nhà nước vừa phát đi thông tin cảnh báo việc một số đối tượng tìm cách truy cập vào hệ thống CNTT của công ty chứng khoán qua các lỗ hổng bảo mật. Đáng chú ý, các đối tượng này đã nắm được một số thông tin cụ thể của khách hàng như tên truy cập và mật khẩu đăng nhập, từ đó có thể chiếm quyền sử dụng tài khoản giao dịch chứng khoán của nhà đầu tư để thực hiện giao dịch chứng khoán, chuyển tiền, rút tiền và chiếm đoạt tài sản của khách hàng.
Tình trạng lộ, lọt thông tin người dùng tại Việt Nam xuất phát từ nhiều lý do, trong đó có nguyên nhân do lỗ hổng tồn tại trong hệ thống có lưu trữ, xử lý thông tin cá nhân người dùng. (Ảnh minh họa: congly.vn) |
Bình luận về sự cố kể trên của công ty chứng khoán, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Bkav cho biết: Xác thực người dùng (kiểm tra xem có đúng người dùng - nhà đầu tư) là một khâu quan trọng trong các hệ thống giao dịch nói chung và giao dịch chứng khoán nói riêng.
Hiện nay, có các hình thức xác thực như mật khẩu tĩnh, mật khẩu dùng 1 lần (OTP) và chữ ký số. Thực tế đa phần các công ty chứng khoán tại Việt Nam vẫn sử dụng mật khẩu dùng 1 lần và mật khẩu tĩnh nhiều lớp. Các giải pháp này tồn tại điểm yếu về công nghệ, đó là bị tấn công lừa đảo - Phishing để đánh cắp thông tin xác thực, từ đó tạo ra các giao dịch giả mạo mà chủ nhân không hề hay biết.
Ở góc độ của cơ quan quản lý nhà nước lĩnh vực an toàn thông tin, Cục An toàn thông tin, Bộ TT&TT nhấn mạnh: Việc một số đối tượng tìm cách truy cập vào hệ thống CNTT của công ty chứng khoán qua các lỗ hổng có thể ảnh hưởng đến tính bảo mật, đặc biệt là dữ liệu nhạy cảm gây tổn thất về tài chính và danh tiếng của doanh nghiệp.
Hơn thế, việc các đối tượng tấn công mạng nắm được một số thông tin cụ thể của khách hàng như tên truy cập và mật khẩu đăng nhập không chỉ khiến các nhà đầu tư đối mặt với việc mất tiền hoặc thông tin cá nhân, mà còn liên quan đến những vấn đề như sở hữu trí tuệ, sở hữu tài sản… “Trong một số trường hợp, các cuộc tấn công mạng có thể có những tác động toàn bộ hệ thống và gây ra sự bất ổn nghiêm trọng về kinh tế”, đại diện Cục An toàn thông tin cho hay.
Các chuyên gia Cục An toàn thông tin cũng phân tích, việc lộ lọt một số thông tin cụ thể của khách hàng có thể gây ra nhiều nguy cơ tiềm ẩn, trước hết là quyền riêng tư của họ đã bị tổn hại ở hiện tại và lâu dài về sau. Bởi lẽ, khi đối tượng truy cập được vào hệ thống CNTT của 1 cơ quan, tổ chức thì dữ liệu cá nhân của khách hàng có thể bị mua bán, trao đổi, nhân bản trên Internet.
Rủi ro về pháp lý, tài chính cũng là vấn đề mà các cá nhân bị lộ thông tin phải đối mặt. Những thông tin trên Chứng minh nhân dân/ Căn cước công dân của người dùng có thể bị lợi dụng để thực hiện những hành vi liên quan đến tài chính như vay tiền, tín dụng, hoặc giả mạo danh tính, giấy tờ thực hiện hành vi phạm pháp, gây ảnh hưởng đến người bị lộ thông tin cá nhân.
Các nạn nhân còn phải đối mặt với nguy cơ bị hacker lợi dụng những thông tin cá nhân bị lộ để tấn công. Chẳng hạn như tấn công bằng nhiều hình thức: giả mạo cơ quan công an, nhân viên ngân hàng, gọi điện/nhắn tin với thông tin đầy đủ như trên Chứng minh nhân dân gồm họ tên, ngày sinh, quê quán, cha mẹ, đặc điểm nhận dạng... nhằm lừa đảo chuyển tiền hoặc yêu cầu cung cấp thông tin cá nhân khác để tấn công sau này.
Ngoài ra, đối tượng xấu cũng có thể sử dụng các thông tin như họ tên, ngày tháng năm sinh cùng kỹ thuật dò tìm, thu thập thông tin cá nhân khác để tấn công vào tài khoản của người dùng như tài khoản ngân hàng, email, mạng xã hội...
Cách nào bảo vệ an toàn cho công ty chứng khoán, nhà đầu tư?
Để đảm bảo an toàn cho hệ thống của các công ty chứng khoán, chuyên gia Bkav khuyến nghị: “Các công ty chứng khoán nên nhanh chóng triển khai, nâng cấp hệ thống giao dịch chứng khoán sử dụng các biện pháp xác thực mạnh hơn, đặc biệt lưu ý sử dụng giải pháp chữ ký số. Đây là giải pháp duy nhất hiện nay đảm bảo đầy đủ yếu tố an toàn, bảo mật và tính pháp lý”.
Mặt khác, theo các chuyên gia, trên thế giới và tại Việt Nam, Bug Bounty - chương trình săn tìm lỗ hổng bảo mật đã được nhiều đơn vị phát động nhằm giảm thiểu nguy cơ xảy ra tấn công mạng thông qua lỗ hổng bảo mật. Việc tổ chức các chương trình Bug Bounty giúp các đơn vị, doanh nghiệp chủ động tìm ra những lỗ hổng bảo mật, từ đó bảo vệ tốt hơn các nền tảng và hệ thống thông tin.
Ở phía các nhà đầu tư, người dùng, đại diện Cục An toàn thông tin cho rằng: Việc lựa chọn đúng các sản phẩm, dịch vụ cũng như tổ chức, nhà cung cấp uy tín, chính thống là một trong những thách thức lớn vì người dùng thường khó có thể phân biệt được đâu là thông tin chính xác trên không gian mạng ngày càng mở rộng.
Vì thế, Cục An toàn thông tin đã ra mắt hệ sinh thái Tín nhiệm mạng tại địa chỉ tinnhiemmang.vn, cung cấp nhãn tin cậy về an toàn thông tin, giúp người dùng nhận biết nhanh, chính xác các tổ chức, website, hệ thống và thiết bị tin cậy ngăn ngừa những cuộc tấn công lừa đảo, tạo niềm tin số cho người dùng khi sử dụng dịch vụ trên môi trường mạng.
Để tránh rủi ro phải chịu thiệt hại do các lỗ hổng bảo mật gây ra, bên cạnh việc giám sát phát hiện sớm dấu hiệu tấn công mạng thì cần chú trọng hơn vào công tác đánh giá an toàn thông tin. Các đơn vị phải xem việc tự đánh giá và thuê các đơn vị chuyên nghiệp đánh giá là một phần quan trọng trong hoạt động thường xuyên.
“Các sàn chứng khoán và công ty chứng khoản phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ. Các hệ thống của công ty chứng khoán là cung cấp dịch vụ có điều kiện nên cấp độ tối thiểu là cấp độ 3”, đại diện Cục An toàn thông tin lưu ý.
Vân Anh