Từ sự cố tại VNDIRECT, bỏ ngỏ nhiều vấn đề

Ảnh hưởng rõ ràng

Nguyên một tuần giao dịch, nhà đầu tư mở tài khoản tại VNDIRECT không thể đặt lệnh, mua bán chứng khoán hay thực hiện bất cứ dịch vụ nào trên tài khoản của họ. Sự kiện đã trở thành vấn đề nóng trên thị trường chứng khoán Việt Nam.

Theo tổng giám đốc một công ty chứng khoán lớn, VNDIRECT không phải là vụ đầu tiên hacker tấn công, trước đó đã có các vụ tấn công với các mức độ khác nhau, nên rất có thể sau công ty này sẽ có các vụ tấn công khác. Ảnh hưởng tới thị trường là quá rõ ràng và tất cả các bên tham gia thị trường đều bị ảnh hưởng.

Trong tuần qua, rất nhiều khách hàng của VNDIRECT bức xúc vì không thể giao dịch. Sự việc này đặt ra bài toán cấp thiết hiện nay là công ty chứng khoán phải có cơ chế đảm bảo tính liên tục của dịch vụ để đảm bảo quyền lợi và cơ hội của nhà đầu tư.

Về việc 2 Sở giao dịch ngắt kết nối với VNDIRECT, theo một chuyên gia công nghệ tham gia vận hành hệ thống giao dịch HOSE, rất ít khả năng virus theo đường truyền chạy vào hệ thống giao dịch của Sở giao dịch, nhưng nếu không ngắt kết thì có thể bị loạn các dạng lệnh từ VNDIRECT gửi vào Sở.

Chuyên gia của một công ty chứng khoán lớn cũng đánh giá, về lý thuyết, kẻ xấu khó có thể qua đường truyền của VNDIRECT tấn công vào hệ thống giao dịch của Sở giao dịch, nhưng không ngắt kết nối có thể dẫn đến tình trạng đẩy lệnh, đặt mua bán loạn xạ từ VNDIRECT, nếu kẻ xấu am hiểu cách thức “nói chuyện” từ Sở giao dịch và các công ty chứng khoán.

Trước sự việc tại VNDIRECT, nhiều công ty chứng khoán bật chế độ rà soát bảo mật lên cấp cao hơn, dù đây là nhiệm vụ hàng ngày của bộ phận công nghệ thông tin.

Sự cố sập mạng của VNDIRECT ảnh hưởng nhiều nhất tới các nhà đầu tư giao dịch chứng khoán phái sinh và sử dụng dịch vụ vay ký quỹ, bởi chịu tác động lớn từ biến động chỉ số và giá cổ phiếu. May mắn là tuần qua, thị trường chứng khoán Việt Nam không có nhiều biến động mạnh. Mặc dù vậy, sự cố khiến các nhà đầu tư mở tài khoản tại công ty này không thể giao dịch đang đặt ra nhiều tình huống chưa từng có tiền lệ, trong đó có việc thực hiện quyền mua cổ phiếu phát hành thêm của các nhà đầu tư.

Cụ thể, trong tuần qua có 2 doanh nghiệp rơi vào tình huống khó xử. Thứ nhất là Công ty cổ phần Phát triển hạ tầng Kỹ thuật (Becamex IJC, mã chứng khoán IJC), ngày cuối cùng để nhà đầu tư chuyển tiền mua cổ phiếu phát hành thêm là ngày hệ thống VNDIRECT bắt đầu bị “sập mạng” (25/3). Các bên trong cuộc chưa thống kê có bao nhiều nhà đầu tư do sự cố này mà chưa thể nộp tiền mua và phương án giải quyết (nếu có).

Theo công bố, Becamex IJC chào bán hơn 125,9 triệu cổ phiếu cho cổ đông hiện hữu. Số cổ phiếu được chào bán đợt này tương ứng 50% số cổ phần IJC đang lưu hành trên thị trường. Theo đó, cổ đông sở hữu 100 cổ phiếu IJC sẽ có quyền mua 50 cổ phiếu IJC mới với mức giá 10.000 đồng/cổ phiếu. Thời gian để cổ đông Becamex IJC đăng ký mua và nộp tiền mua cổ phiếu từ ngày 5 - 25/3/2024, thời gian chuyển nhượng quyền mua từ ngày 5 - 23/3/2024.

Doanh nghiệp thứ hai chịu ảnh hưởng trực tiếp từ sự cố của VNDIRECT là Công ty cổ phần Tập đoàn Container (Viconship, mã chứng khoán VSC). Ngày 29/3/2024 hết hạn nộp tiền mua cổ phiếu phát hành thêm của Viconship với tỷ lệ 1:1, giá 10.000 đồng/cổ phiếu, nhưng trong tuần cuối cùng để nhà đầu tư nộp tiền mua thì hệ thống của VNDIRECT bị tê liệt.

Được biết, thông lệ hoạt động của các công ty chứng khoán vận hành theo cách: Tiền nhà đầu tư thực hiện quyền mua cổ phiếu phát hành thêm để ở công ty chứng khoán, hết thời hạn nộp tiền, công ty chứng khoán xác nhận danh sách nhà đầu tư thực hiện quyền với Tổng công ty Lưu ký và Bù trừ chứng khoán Việt Nam (VSDC) rồi mới chuyển tiền. Công ty chứng khoán có khoảng 7 ngày làm việc sau ngày hết hạn đăng ký mua để xử lý việc này với VSDC. Sau 7 ngày làm việc kể từ ngày đăng ký mua, nếu gặp vướng mắc thì VSDC xin ý kiến Ủy ban Chứng khoán Nhà nước xem xét cho phép gia hạn thời gian xử lý.

Do đây là trường hợp chưa từng có tiền lệ, nhà đầu tư và các bên liên quan đang chờ hướng dẫn từ cơ quan quản lý. Trao đổi với Đầu tư Chứng khoán, vụ chuyên môn của Ủy ban Chứng khoán Nhà nước ghi nhận tình huống này và cho biết đang yêu cầu tổng hợp dữ liệu để có phương án xử lý phù hợp.

Siết chặt vai trò của an ninh mạng

Sự cố tại VNDIRECT đặt ra bài toán cấp thiết là công ty chứng khoán phải có cơ chế đảm bảo tính liên tục của dịch vụ để đảm bảo quyền lợi và cơ hội của nhà đầu tư.

Theo dõi sự việc, ông Bùi Văn Huy, Giám đốc Chi nhánh TP.HCM, Công ty Chứng khoán DSC nêu quan điểm, trong bối cảnh kinh doanh hiện đại, tầm quan trọng của an ninh mạng là không thể bàn cãi, không chỉ trong tài chính, chứng khoán mà còn trong mọi mô hình kinh doanh. Khi ngày càng có nhiều hoạt động được số hóa chuyển sang trực tuyến và dữ liệu trở thành tài sản chính của doanh nghiệp, việc bảo vệ thông tin này khỏi các mối đe dọa là điều tối quan trọng. Khi thảo luận về an ninh mạng, điều quan trọng là phải hiểu 3 trụ cột chính: con người, quy trình và công nghệ. Những yếu tố này tạo thành nền tảng để xây dựng một thế trận an ninh mạng linh hoạt.

Trong các tổ chức, yếu tố công nghệ thường được quan tâm, nhưng không phải tổ chức nào cũng chú ý đến 2 yếu tố thậm chí còn quan trọng hơn là con người và quy trình.

Trụ cột đầu tiên và được cho là quan trọng nhất là con người, nhưng đáng ngạc nhiên là một phần đáng kể các sự cố mạng xảy ra do lỗi của con người hoặc do thiếu nhận thức. Con người là mắt xích yếu nhất trong chuỗi bảo mật. Để tăng cường trụ cột này, cần tăng cường cảnh báo nhân viên của công ty chứng khoán về các mối đe dọa mạng mới nhất. Khuyến khích văn hóa an ninh mạng nơi nhân viên luôn cảnh giác và có ý thức phòng ngừa rủi ro. Cùng với đó, phân công cụ thể để đảm bảo rằng vai trò và trách nhiệm liên quan đến bảo mật là rõ ràng. Nếu nhân viên phát hiện ra một vấn đề tiềm ẩn, họ nên biết chính xác cần thông báo cho ai và ai là đầu mối xử lý.

Trụ cột thứ hai là về mặt quy trình, cần có sẵn các quy trình đảm bảo một cách tiếp cận nhất quán để xử lý và ngăn ngừa các sự cố bảo mật. Khi mọi người biết vai trò của mình và các bước cần thực hiện trong các tình huống khác nhau, tổ chức có thể ứng phó với các mối đe dọa nhanh chóng và hiệu quả hơn.

Để tăng cường trụ cột quy trình, cần phát triển chiến lược an ninh mạng. Mọi doanh nghiệp, bất kể quy mô, đều phải có một chiến lược được ghi lại chi tiết cách xử lý các mối đe dọa mạng tiềm ẩn và đánh giá định kỳ các quy trình bảo mật của công ty, giúp xác định những lỗ hổng và các lĩnh vực cần cải thiện. Bên cạnh đó là kế hoạch ứng phó sự cố. Một kế hoạch được chuẩn bị và diễn tập kỹ lưỡng có thể tạo ra sự khác biệt, ngăn ngừa sự cố lan rộng, gây tác động nặng nề.

Liên quan đến trụ cột công nghệ, trong khi con người và quy trình tạo thành nền tảng thì công nghệ đóng vai trò là lá chắn bảo vệ chống lại các mối đe dọa trên mạng. Các công cụ và công nghệ được triển khai có thể giảm thiểu đáng kể rủi ro, từ tường lửa và hệ thống phát hiện xâm nhập đến mã hóa và xác thực đa yếu tố.

Để tăng cường trụ cột công nghệ, doanh nghiệp cần đảm bảo rằng tất cả phần mềm, bao gồm cả hệ điều hành và ứng dụng, đều được cập nhật thường xuyên. Đầu tư vào các công cụ bảo mật, sử dụng các công cụ nâng cao như nền tảng thông tin về mối đe dọa, giải pháp bảo mật điểm cuối… để cung cấp khả năng phòng thủ nhiều lớp. Thiết lập cấu hình an toàn, nên tùy chỉnh cài đặt, đặc biệt là trên tường lửa, bộ định tuyến và các thiết bị mạng khác, vì cấu hình mặc định có thể không phải lúc nào cũng an toàn nhất.

“Yếu tố con người, quy trình và công nghệ có mối liên kết chặt chẽ, việc bỏ qua một yếu tố có thể ảnh hưởng đến hiệu quả của yếu tố khác. Trong thời đại mà các mối đe dọa mạng không ngừng tăng cao, việc hiểu và củng cố từng trụ cột này là điều cần thiết đối với bất kỳ doanh nghiệp nào muốn bảo vệ tài sản, danh tiếng và tương lai của mình”, ông Bùi Văn Huy nhấn mạnh.