Bảo mật thông tin trong lĩnh vực chứng khoán: Chủ động phòng hơn chống

Theo đại diện các cơ quan quản lý và các chuyên gia, về tổng thể, Việt Nam đã có hệ thống đầy đủ với các văn bản quy phạm pháp luật (QPPL) về an toàn thông tin (ATTT), song tính tuân thủ còn hạn chế mà vụ việc Công ty CP Chứng khoán VNDIRECT bị tấn công vừa qua là một tiếng chuông cảnh tỉnh.

Sự cố VNDIRECT bị tấn công mạng cảnh báo sự tuân thủ quy định pháp luật về an toàn thông tin. (Ảnh minh họa - Nguồn: V.G.P).

Sự cố VNDIRECT bị tấn công mạng cảnh báo sự tuân thủ quy định pháp luật về an toàn thông tin. (Ảnh minh họa - Nguồn: V.G.P).

Tại Tọa đàm "Bảo mật thông tin trong lĩnh vực chứng khoán" do Tạp chí Nhà đầu tư/Nhadautu.vn tổ chức mới đây, ông Ngô Tuấn Anh, Tổng Giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch Hiệp hội ATTT Việt Nam (VNISA) cho biết, trước đây, tấn công website rồi để lại thông tin để ghi danh, ghi điểm nhưng hiện nay tấn công mạng nhằm thu lợi nhuận. Như vụ việc VNDIRECT gần đây là tấn công mã hóa tống tiền.

“Câu chuyện tấn công mã hóa đang trở thành xu hướng. Nạn nhân đồng ý trả tiền thì cũng là trả bằng tiền điện tử, không có khả năng truy vết, vì vậy có tính ẩn danh. Với yếu tố như vậy tấn công mạng đòi tiền chuộc nở rộ thời gian gần đây. Đây không phải câu chuyện riêng Việt Nam mà là chuyện cả thế giới…” - chuyên gia cảnh báo.

Theo ông Nguyễn Hồng Sơn, Phó Trưởng Phòng Pentest Trung tâm ATTT (VNPT), hiện có nhiều dạng tấn công như: tấn công thông qua mã độc, gửi mã tống tiền, tấn công giả mạo, tấn công trung gian… Hacker sử dụng nhiều hình thức tinh vi hơn, thay vì truyền thống họ sử dụng công nghệ cao như Al, deepfake,... và lĩnh vực tài chính ngân hàng sẽ là mục tiêu mà hacker sẽ ưu tiên lớn hơn các lĩnh vực khác.

“Vụ tấn công VNDIRECT ảnh hưởng tới cả các nhà đầu tư và đơn vị chủ quản, số tiền ảnh hướng lớn. Tuy nhiên, có thể thấy, vụ việc này có cả mặt tích cực và tiêu cực. Tích cực là sau tấn công, các đơn vị chủ quản sẽ có cái nhìn rõ ràng hơn về tình trạng “sức khỏe” hệ thống, giống như vaccine, tạo ra sức đề kháng về nguy cơ mất ATTT…” - ông Sơn chia sẻ

Ông Ngô Tuấn Anh - Tổng Giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch VNISA cho rằng, qua những vụ tấn công vừa qua, cho thấy các đơn vị phải triển khai biện pháp phòng hơn chống vì khi để xảy ra tấn công thiệt hại rất lớn. Cần phòng bị để không xảy ra hoặc xảy ra thì thiệt hại giảm bớt.

“Hiện đã có khuyến cáo, trong 1 dự án công nghệ thông tin (CNTT), công ty chứng khoán (CTCK) sử dụng nền tảng CNTT thì nên dành 10% để đầu tư giải pháp an toàn, bảo mật, con người vận hành và quy trình bảo đảm. Tuy nhiên, hiện chưa nhiều đơn vị làm được việc này dẫn tới hệ thống công nghệ là chưa bảo đảm…” - Chuyên gia nhận xét…

Chuyên gia cao cấp của PwC Việt Nam, ông Trần Minh Quân cũng lưu ý, trong CNTT phải bảo đảm nguyên tắc 3 2 1. Tức là có 3 bản copy, 2 loại lưu trữ khác nhau và 1 bản không nằm ở trụ sở… Thực tế là qua vụ tấn công VNDIRECT cho thấy các đơn vị rất bị động trong xử lý tình huống do chưa từng trải qua các vụ tấn công như thế nên lúng túng không biết xử lý như thế nào.

“Chúng tôi khuyến cáo các đơn vị nên chủ động tổ chức diễn tập thực chiến, bám sát nhất với tình hình thời sự, giả lập tấn công thực tế giúp tuyến phòng thủ rèn luyện, nâng cao kỹ năng để xử lý tốt nhất. Tham gia các cuộc tấn công như thế, ứng phó với các tình huống dù không thể giải quyết tất cả 100% tình huống nhưng khi gặp vấn đề DN sẽ biết làm gì, đưa quyết định nhanh nhất để giảm thiệt hại tối đa…” - ông Nguyễn Hồng Sơn, Trung tâm ATTT (VNPT) đưa ra lời khuyên.

Ông Lê Công Phú, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Vncert), Bộ Thông tin và Truyền thông khẳng định: “Về mặt tổng thể, Việt Nam đã có hệ thống đầy đủ với các văn bản QPPL. Đó là Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ, Thông tư 12/2022/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP. Các văn bản này hướng dẫn rõ ràng về việc các tổ chức và doanh nghiệp cần làm gì để bảo đảm ATTT…”.

Không những thế, Quyết định 632/QĐ-TTg ngày 10/5/2017 của Thủ tướng Chính phủ cũng đã ban hành danh mục 11 lĩnh vực quan trọng cần bảo đảm ATTT, trong đó có tài chính, năng lượng, ngân hàng, thông tin… Đây là những lĩnh vực một khi xảy ra sự cố thì sẽ có mức tác động lớn đến xã hội.

Ngoài ra, Quyết định 05/2017/QĐ-TTg của Thủ tướng Chính phủ ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia cũng yêu cầu các đơn vị phải báo cáo trong vòng 5 ngày đối với các sự cố vượt ngoài xử lý. “Chúng tôi có mạng lưới ứng phó sự cố với hơn 220 thành viên. Cục ATTT sẽ điều phối với các cơ quan, tổ chức chuyên gia thuộc mạng lưới này để tham gia xử lý…” - ông Phú cho hay.

Đồng tình khi cho rằng hiện hành lang pháp luật liên quan tới ATTT ở Việt Nam khá đầy đủ, ông Ngô Tuấn Anh, Tổng Giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch VNISA cho rằng vấn đề là tính tuân thủ. “Trong thông tư hướng dẫn đã có tiêu chuẩn riêng áp dụng cho Việt Nam, vì vậy bảo đảm ATTT, các doanh nghiệp phải tuân thủ quy định này. Hướng dẫn trong thông tư là khá rõ với mức quan trọng khác nhau…” - ông Tuấn Anh lưu ý.

Chuyên gia đến từ VNSIA đặc biệt lưu ý Nghị định 13/2023/NĐ-CP về bảo mật dữ liệu cá nhân. Theo đó, hệ thống 1 công ty có thể bị tấn công, công ty có thể mua máy chủ mới nhưng dữ liệu bị ảnh hưởng thì không thể khôi phục lại được. “Khảo sát tính tuân thủ của các CTCK cho thấy, 92% CTCK chưa tuân thủ hoặc tuân thủ chưa đầy đủ về bảo vệ dữ liệu cá nhân trong bảo đảm quyền chủ thể về thu thập dữ liệu cá nhân. Các đơn vị nói chung nên triển khai tuân thủ, không nên để vừa thiệt hại và vừa bị xử lý do không tuân thủ…”, ông Tuấn Anh đưa ra lời khuyên.

Thanh Thanh

Nguồn Pháp Luật VN: https://baophapluat.vn/bao-mat-thong-tin-trong-linh-vuc-chung-khoan-chu-dong-phong-hon-chong-post509452.html