Sáng 9/4, Tạp chí Nhà đầu tư/Nhadautu.vn tổ chức Tọa đàm "Bảo mật thông tin trong lĩnh vực chứng khoán".

Phát biểu đề dẫn tọa đàm, TS. Nguyễn Anh Tuấn, Tổng biên tập Tạp chí Nhà đầu tư/Nhadautu.vn, cho hay trong thời gian gần đây, xu hướng tấn công mạng, đặc biệt là tấn công mã hóa dữ liệu tống tiền có xu hướng gia tăng mạnh.

Một trong những vụ tấn công nghiêm trọng diễn ra cuối tháng 3 vừa qua, nhắm vào Công ty Cổ phần Chứng khoán VNDIRECT, làm cho toàn bộ hệ thống của Công ty này bị tê liệt, nhà đầu tư chứng khoán không thể đăng nhập, thực hiện các giao dịch chứng khoán. VNDIRECT ngay sau đó cho biết họ bị tấn công bởi một tổ chức quốc tế và đang phối hợp với Bộ Công an và các bên để điều tra làm rõ, khắc phục, cũng như ngăn chặn các sự việc tương tự có thể xảy ra.

Liên quan đến sự việc nêu trên, Ủy ban Chứng khoán Nhà nước đã văn bản hoả tốc gửi các công ty chứng khoán yêu cầu rà soát các vấn đề về bảo mật hệ thống. Trong đó, các công ty chứng khoán phải chủ động rà soát, kiểm tra ngay các phương án bảo mật cho hệ thống công nghệ thông tin, đặc biệt là hệ thống giao dịch chứng khoán để kịp thời khắc phục lỗ hổng bảo mật nếu có. 

Trong khi đó, Cục An toàn thông tin, Bộ Thông tin - Truyền thông đã có thông báo cho biết qua giám sát không gian mạng Việt Nam thời gian gần đây đã nhận thấy xu hướng tấn công mạng đặc biệt là tấn công mã hoá dữ liệu tống tiền tăng cao và đưa ra khuyến cáo các tổ chức, cơ quan và doanh nghiệp tăng cường các biện pháp bảo mật hệ thống, đảm bảo an toàn thông tin.

Sự cố xảy tại Công ty Cổ phần Chứng khoán VNDIRECT được đánh giá là rất nghiêm trọng bởi đây là doanh nghiệp có thị phần môi giới chứng khoán đứng thứ 3 trên sàn HoSE, đang quản lý 83.305 tỷ đồng tài sản tài chính niêm yết, đăng ký giao dịch của nhà đầu tư. Việc toàn bộ hệ thống của VNDIRECT bị tê liệt không chỉ ảnh hưởng đến danh tiếng của doanh nghiệp mà còn ảnh hưởng đến đến quyền lợi hợp pháp của nhà đầu tư- là khách hàng của VNDIRECT và gây ra tâm lý hoang mang cho nhà đầu tư chứng khoán nói chung.

Không riêng tại VNDIRECT, trong thời gian qua, tại nhiều công ty chứng khoán khác cũng đã gặp những sự cố gây tê liệt, tắc nghẽn về hệ thống giao dịch chứng khoán. Thực trạng này khiến hàng ngàn nhà đầu tư lo lắng, bất an tại nhiều thời điểm khi thị trường xảy ra biến động lớn.

Dù về mức độ và tính chất các sự cố tại các công ty chứng khoán trong thời gian qua là khác nhau song đã và đang đặt ra nhiều vấn đề về bảo mật hệ thống, an toàn thông tin tại các công ty chứng khoán Việt Nam hiện nay. Điều này cần được coi là quan trọng và cấp thiết hơn trong bối cảnh bối cảnh Chính phủ đang quyết liệt thúc đẩy các giải pháp nâng hạng thị trường chứng khoán.

Ngày 7/4, Thủ tướng Chính phủ cũng đã có công điện chỉ đạo các bộ, ngành, cơ quan chức năng về tăng cường bảo đảm an toàn thông tin mạng. "Trong đó, các cơ quan truyền thông, báo chí, phối hợp với các bộ, ngành, địa phương tăng cường tổ chức tuyên truyền, phổ biến pháp luật an toàn thông tin mạng, nâng cao nhận thức về bảo đảm an toàn thông tin mạng", TS. Nguyễn Anh Tuấn nhấn mạnh.

Từ thực tế nêu trên, Tạp chí Nhà đầu tư/Nhadautu.vn tổ chức cuộc Tọa đàm "Bảo mật thông tin trong lĩnh vực chứng khoán" nhằm nhìn nhận, đánh giá rõ hơn các vấn đề liên quan đến bảo mật hệ thống, an toàn thông tin trong lĩnh vực chứng khoán Việt Nam hiện nay, đồng thời đưa ra các giải pháp, khuyến nghị tới các cơ quan quản lý Nhà nước, các công ty chứng khoán để phòng chống, quản trị và kiểm soát rủi ro, cũng như góp phần bảo vệ quyền và lợi ích hợp pháp của nhà đầu tư chứng khoán.

Tọa đàm nhằm mục đích nhìn nhận, đánh giá rõ hơn các vấn đề liên quan đến bảo mật hệ thống, an toàn thông tin trong lĩnh vực chứng khoán hiện nay; tuyên truyền về phòng chống tội phạm trong không gian mạng. Đồng thời đưa ra các giải pháp, khuyến nghị tới các cơ quan quản lý Nhà nước, các công ty chứng khoán để phòng chống, quản trị và kiểm soát rủi ro, cũng như góp phần bảo vệ quyền và lợi ích hợp pháp của nhà đầu tư chứng khoán.

Tọa đàm có sự tham dự của các chuyên gia danh tiếng đến từ các tổ chức, đơn vị an ninh mạng uy tín tại Việt Nam và đại diện một số cơ quan quản lý Nhà nước trong lĩnh vực chứng khoán, an ninh, an toàn thông tin.

Diễn biến tọa đàm được tường thuật trên Tạp chí điện tử Nhadautu.vn, cũng như Fanpage Facebook và kênh YouTube của Tạp chí Nhà đầu tư.

Để góp phần thành công cho cuộc tọa đàm, Tạp chí Nhà đầu tư/Nhadautu.vn mong muốn lắng nghe ý kiến từ bạn đọc, nhà đầu tư các vấn đề liên quan đến bảo mật và an toàn thông tin trong lĩnh vực chứng khoán hiện nay. Mọi ý kiến đóng góp, xin vui lòng gửi về địa chỉ email: [email protected].

Điều phối tọa đàm gồm: TS. Nguyễn Anh Tuấn, Tổng biên tập Tạp chí Nhà đầu tư; nhà báo Phạm Đức Sơn, Phó tổng biên tập Thường trực Tạp chí Nhà đầu tư; nhà báo Nguyễn Thái Sơn, Trưởng ban Thư ký Tạp chí Nhà đầu tư.

TS. Nguyễn Anh Tuấn: Mở đầu phiên thảo luận, tôi muốn mời ông Ngô Tuấn Anh, Tổng giám đốc Công ty An ninh mạng SCS, Phó Chủ tịch Hiệp hội An toàn thông tin Việt Nam. Liệu những đánh giá, lo ngại hiện nay có quá mức và hiện trạng của xu hướng tấn công mạng hiện nay là như thế nào?

Nhận diện các phương thức tấn công hệ thống bảo mật và thông tin chứng khoán

Ông Ngô Tuấn Anh: Tấn công mạng không phải gần đây mới xảy ra mà đã diễn ra nhiều vụ việc trước đó nhưng tới vụ việc của VnDirect mới thực sự được chú ý do tầm ảnh hưởng tới thị trường lớn, số lượng nhà đầu tư bị ảnh hưởng nhiều.

Trước đây, tấn công mạng vẫn thường diễn ra nhưng mức độ ảnh hưởng chưa thể hiện ra ngoài. Tấn công mạng cũng có sự thay đổi về phương thức. Trước đây, tấn công website rồi để lại thông tin để ghi danh ghi điểm nhưng hiện nay tấn công mạng nhằm thu lợi nhuận. Như vụ việc VnDirect, gần đây là tấn công mã hóa tống tiền.

Điều này giống như nhà chúng ta có két sắt chứa tài liệu, tiền bạc, đối tượng tấn công vào nhà dùng khoá của mình khoá két lại, mang chìa đi. Muốn mở khoá thì phải trả tiền để lấy chìa khoá. Để đánh chìa khoá điện tử mới, cần máy tính lớn giải mã và có thể mất nhiều chục năm để đánh chìa vì vậy phương án này là không khả thi.

Vì vậy, còn 2 phương án một là bỏ két, chấp nhận mất tài liệu, hai là trả tiền để mở khoá. Câu chuyện tấn công mã hoá đang trở thành xu hướng. Nạn nhân đồng ý trả tiền thì cũng là trả bằng tiền điện tử, không có khả năng truy vết, vì vậy có tính ẩn danh. Với yếu tố như vậy tấn công mạng đòi tiền chuộc nở rộ thời gian gần đây. Đây không phải câu chuyện riêng Việt Nam mà là chuyện cả thế giới.

Nhà báo Nguyễn Thái Sơn: Như ông Ngô Tuấn Anh vừa nhận định, tôi muốn hỏi thêm ông Trần Minh Quân, Chuyên gia cao cấp của PwC Việt Nam. Việc tấn công mã hóa dữ liệu tại Việt Nam có xu hướng tăng cao,  vậy còn ở nước ngoài diễn biến như thế nào?

Ông Trần Minh Quân: Các báo cáo khảo sát của chúng tôi cho thấy, các doanh nghiệp (DN) trên thế giới nhận diện rủi ro mã độc tống tiền là 1 trong 5 rủi ro về an toàn thông tin mà phải đối mặt trong 12 tháng tiếp theo. Ngoài ra, còn có hình thức tấn công dựa trên nền tảng đám mây - phần mà nhiều DN sử dụng trong quá trình chuyển đổi số.

Đó là rủi ro thất thoát dữ liệu. Đó còn là hình thức tấn công hạ sự hoạt động của hệ thống Một số quốc gia như bên Singapore, Hong Kong đều đây là rủi ro nguy cơ mang tầm quốc gia. Bên Mỹ còn coi hình thức này như khủng bố.

Các quốc gia không khuyến khích các đơn vị trả tiền chuộc hoặc liên hệ cho các bên tấn công. Điều này có nghĩa ta khuyến khích thêm, tạo nguồn thu cho các đơn vị này, thậm chí có rủi ro các bên này sẽ quay trở lại.

TS. Nguyễn Anh Tuấn: Lúc tấn công tống tiền, tổ chức tấn công thường là tổ chức bên ngoài, các tổ chức, cá nhân trong nước khi trả tiền cho họ liệu có xác định được họ là ai không?

Ông Trần Minh Quân: Các quốc gia nhận diện đây là hình thức tấn công xuyên biên giới, khó nhận diện đó là ai. Một số đơn vị biến hình thức tấn công này thành mô hình hoạt động, tức cho thuê mô hình, đưa địa chỉ cần tấn công và thả mã độc tới đơn vị đó.

Họ muốn tạo danh tiếng để nhiều đối tác biết đến họ. Cho nên, họ sau khi tấn công thì để lại thông điệp tên tổ chức. Nhưng thực tế các đơn vị an ninh quốc gia hợp tác với nhau và điều tra tìm các tổ chức tấn công này.

Nhà báo Nguyễn Thái Sơn: Tiếp theo, tôi xin mời ông Nguyễn Hồng Sơn, Phó trưởng Phòng Pentest Trung tâm An toàn thông tin (VNPT). Như chúng ta vừa đề cập đó là tấn công mã hóa dữ liệu, tuy nhiên qua thông tin thu nhận được, chúng tôi được biết còn nhiều dạng tấn công khác vào các công ty chứng khoán, ông có thể chia sẻ thêm để chúng ta có thể nhận diện thêm?

Ông Nguyễn Hồng Sơn: Tôi đồng ý quan điểm của các diễn giả trước về vấn đề tội phạm mạng hiện nay đã tăng lên. Đối với lĩnh vực chứng khoán hay tài chính, hay các lĩnh vực công nghệ thông tin, nhìn chung đều có hình thức tấn công tương tự.

Tuy nhiên, lĩnh vực tài chính ngân hàng sẽ là mục tiêu mà hacker sẽ ưu tiên lớn hơn các lĩnh vực khác, vì nó liên quan trực tiếp đến vấn đề kinh tế, hacker có thể thu lợi từ các vụ tấn công này.

Hiện nay, có nhiều dạng như tấn công như tấn công thông qua mã độc, gửi mã tống tiền, tấn công giả mạo, tấn công trung gian. Hiện hacker sử dụng nhiều hình thức tinh vi hơn, thay vì truyền thống họ sử dụng công nghệ cao như Al, deepfake,..

Nhà báo Nguyễn Thái Sơn: Cảm ơn chia sẻ từ ông Nguyễn Hồng Sơn. Như chúng ta đều biết an toàn thông tin trong lĩnh vực chứng khoán, nạn nhân trực tiếp rõ nhất là các sàn chứng khoán, nhà đầu tư chứng khoán, tôi muốn dành câu hỏi tiếp theo cho ông Ngô Minh Hiếu, chuyên gia bảo mật, với tư cách là người sáng lập ra ứng dụng chống lừa đảo và hiện vận hành một công ty trong lĩnh vực này, qua tình hình vận hành ứng dụng và hoạt động công ty, ông có thể cho biết những vụ lừa đảo, tấn công mạng liên quan tới lĩnh vực chứng khoán hiện nay như thế nào?

Hacker bắt "trend" thu hút, dẫn dụ nhà đầu tư

Ông Ngô Minh Hiếu (Hiếu PC): Theo thống kê của dự án chống lừa đảo hoạt động hơn 4 năm qua, quý I/2024 số lượng tấn công lừa đảo, giải mạo các website của ngân hàng, sàn giao dịch tăng mạnh. Riêng trong tháng 3, có hơn 11.000 báo cáo vụ lừa đảo, nhiều hơn so với tháng 1 và 2 đến vài nghìn vụ. Tổng trong quý I thì có tới 29.000 báo cáo lừa đảo.

Hình thức thì đối tượng lừa đảo sẽ giả mạo website tổ chức tài chính, sàn chứng khoán có uy tín trong và cả nước ngoài (như Mỹ). Đa phần nạn nhân bị dẫn dụ về mặt tình cảm hoặc bị lôi kéo làm nhiệm vụ trên các sàn giả mạo.

Sau đó, họ đầu tư vài tỷ đến vài chục tỷ là bình thường. Đối tượng lừa đảo thao túng tâm lý tốt và chiếm đoạt tài sản nạn nhân dễ dàng. Các đối tượng lừa đảo sẽ lấy danh nghĩa các sàn uy tính để dẫn dụ, tội phạm hacker có xu hướng bắt trend thu hút nhà đầu tư để dẫn dụ với những khuyến mại, quà tặng hấp dẫn. Nhà đầu tư dần bị dẫn dụ và mất tiền.

Nhà báo Nguyễn Thái Sơn: Với những thông tin các chuyên gia vừa chia sẻ, có thể thấy tình hình diễn biến phức tạp, các cơ quan chức năng cũng đã phải lên tiếng cảnh báo. Nguy cơ đã được nhận diện rõ rồi, tôi muốn mời các chuyên gia chuyển sang thảo luận về các giải pháp phòng và chống. Theo ông Ngô Tuấn Anh, các doanh nghiệp, tổ chức, nhà đầu tư cá nhân cần có hành động như nào trong bối cảnh hiện nay?

Công ty chứng khoán đầu tư giải pháp an toàn, bảo mật

Ông Ngô Tuấn Anh: Qua những vụ tấn công giai đoạn vừa qua, cho thấy các đơn vị phải triển khai biện pháp phòng hơn chống vì khi để xảy ra tấn công thiệt hại lớn. Cần phòng bị để không xảy ra hoặc xảy ra thì thiệt hại giảm bớt.

Hiện đã có khuyến cáo, trong 1 dự án công nghệ thông tin, công ty chứng khoán sử dụng nền tảng công nghệ thông tin thì nên dành 10% để đầu tư giải pháp an toàn, bảo mật, con người vận hành và quy trình đảm bảo.

Tuy nhiên, hiện chưa nhiều đơn vị làm được việc này dẫn tới đảm bảo hệ thống công nghệ là chưa đảm bảo. Thứ 2 cần có sự thay đổi, trước kia với công nghệ theo xu hướng các hệ thống bảo vệ, xây dựng tường lửa, mua khoá chắc. Nhưng với sự phát triển công nghệ như bây giờ, 1 hệ thống miễn nhiễm trước tấn công mạng là không có.

Trên thế giới ngay cả những đơn vị an ninh mạng, được đầu tư lớn cũng bị tấn công. Tấn công mạng không loại trừ đơn vị nào cả. Vì vậy, bên cạnh xây dựng hệ thống bảo vệ, còn cần lưu ý tới công tác giám sát, phát hiện sớm để ngay cả khi hacker tấn công cũng sẽ được phát hiện sớm, giảm thiểu rủi ro.

Một trong những bước đầu tiên của tấn công mạng là tấn công thăm dò, xem có lỗ hổng nào thì vào. Giống như trộm muốn xâm nhập vào nhà sẽ đi xung quanh để xem đi theo cửa nào. Đó là dấu hiệu bất thường, nếu có hệ thống giám sát sẽ phát hiện để cảnh báo hệ thống có biện pháp ứng phó, tránh trộm vào trong nhà, hoặc ẩn náu trong nhà.

TS. Nguyễn Anh Tuấn: Lưu ý như ông Ngô Tuấn Anh vừa nói ngoài cần đầu tư công nghệ đầu tư bảo mật, cần ngân sách tương xứng để đầu tư cho đội ngũ chuyên gia, vậy liệu chuyên gia trong nước có đáp ứng nhu cầu của cộng đồng, công tác đào tạo liệu đã tiệm cận những nhu cầu đề ra?

Ông Ngô Tuấn Anh: Theo hướng dẫn của Chính phủ, cần dùng 10% trong đầu tư hệ thống công nghệ cho an toàn bảo mật nhưng thực tế triển khai chưa thật sự đúng mức. Điều này phụ thuộc nhiều vào chủ đầu tư, nhận thức của người đứng đầu về an toàn bảo mật.

Có thể thấy, nghiệp vụ trong bảo mật thông tin thường không cho thấy lợi ích trước nên đầu tư bao nhiêu phụ thuộc nhiều vào chủ đầu tư, vào đơn vị tư vấn xây dựng hệ thống đó, thậm chí là tư vấn đầy đủ không phải đơn vị nào cũng biết.

Nếu hướng tới tối đa hoá lợi nhuận thì mục tiêu đầu tư vào bảo mật là không đảm bảo mục tiêu. Khi đầu tư vào công nghệ thông tin cần có nhận thức về xây dựng, thiết kết an toàn thông tin ngay từ đầu, lựa chọn đơn vị chuyên nghiệp, tư vấn độc lập để tối ưu cho bảo mật.

Đầu tư số lượng tiền lớn chưa chắc đã an toàn. Tôi tư vấn cho 1 đơn vị, số tiền đầu tư lên đến hàng tỷ đồng nhưng quản trị viên không đủ nhận thức về hệ thống bảo mật, dẫn tới việc đầu tư nhiều tiền, đầu tư lớn, không đúng không đi liền với đảm bảo an ninh, an toàn.

Hệ thống cần 3 yếu tố 1 là công nghệ tốt 2 là con ngườii tốt để triển khai, giám sát, 3 là quy trình vận hành để con người, hệ thống nhuần nguyễn, tránh lỗi do con người gây ra. Tấn công mạng hơn 90% là từ vận hành, con người - là điểm yếu nhất để két gian lợi dụng tấn công vào hệ thống.

Nhu cầu nhân sự an toàn bảo mật là vấn đề chung toàn cầu, Việt Nam không ngoài vấn đề đó. 10 năm trước đã có Đề án 99, xây dựng khoa an toàn thông tin tại 10 trường đại học, thì đã có đội ngũ khá đông đảo nhưng nhu cầu vẫn rất lớn về số lượng. Không khó tìm tuyển dụng về nhân sự an ninh mạng nhưng tính đáp ứng và nhân sự đáp ứng còn thiếu.

Hiện nay, có vấn đề nữa là nhu cầu DN so với thực tế đào tạo còn vênh vì phát triển của công nghệ thay đổi hàng ngày hàng tháng, trong khi chương trình đào tạo cầu cả năm, dẫn tới một khoảng thời gian mới thay đổi được. Vì vậy, đào tạo và thực tế vênh nhau, nên DN phải đào tạo nội bộ.

Đầu tư nguồn nhân lực an toàn thông tin chưa tương xứng

Ông Lê Công Phú, Phó giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Vncert), Bộ Thông tin và Truyền thông: Bên cạnh Đề án 99 như chuyên gia vừa đề cập, Bộ thông tin và Truyền thông đã tham mưu Thủ tướng chính phủ ban hành Quyết định số 21/QĐ-TTG ngày 6/1/2021 phê duyệt đề án "đào tạo và phát triển nguồn nhân lực an toàn thông tin giai đoạn 2021-2025"; Bộ cũng ban hành quyết định số 49 về đào tạo 1.000 nhân lực an toàn thông tin chuyên nghiệp.

Từng bước đặt nền móng cho việc hình thành và phát triển đội ngũ nhân lực chuyên nghiệp làm nòng cốt để bảo đảm an toàn thông tin mạng quốc gia và trong hoạt động của các cơ quan, tổ chức Đảng, Nhà nước, các tập đoàn, tổng công ty, doanh nghiệp nhà nước và các tổ chức chính trị - xã hội, doanh nghiệp, và cộng đồng.

Trong năm thời gian qua, chúng tôi đã phối hợp với các đơn vị chức năng chủ trì thực hiện nhiều chương trình đào tạo, các khóa huấn luyện. Dù vậy, phải thừa nhận nguồn nhân lực đảm bảo an toàn thông tin tại Việt nam hiện đang thiếu rất nhiều. Năng lực đội ngũ chuyên trách ở các cơ quan Nhà nước, bộ, ngành thì chưa đủ đáp ứng, chưa có đội xử lý sự cố tinh nhuệ, hiệu quả.

Chỉ thị số 18/CT-TTg của Thủ tướng Chính phủ ban hành ngày 13/10/2022: Về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam, yêu cầu mỗi cơ quan, tổ chức, kiện toàn lại các Đội ứng cứu sự cố trước ngày 31 tháng 12 năm 2022 theo hướng chuyên nghiệp, cơ động, có tối thiểu 05 chuyên gia an toàn thông tin mạng (bao gồm cả chuyên gia thuê ngoài) đáp ứng chuẩn kỹ năng về an toàn thông tin do Bộ Thông tin và Truyền thông quy định. Như thế thì năng lực phát hiện tấn công và bảo vệ hệ thống mới cải thiện.

Nãy giờ chúng ta nói nhiều về công nghệ đầu tư, nhưng yếu tố con người là quan trọng nhất. Có thể ví như chúng ta có một hạm đội tàu ngầm hiện đại, song không có đội ngũ thủy thủ vận hành hiệu quả thì hạm đội đó cũng không phát huy được sức mạnh.

Hệ thống công nghệ thông tin cũng vậy, chúng ta có giải pháp an toàn bảo mật nhiều, nhưng không có kỹ sư lành nghề thì hệ thống đó không những không giúp chúng ta an toàn hơn mà càng khiến chúng ta gặp rủi ro hơn.

Bởi vì, bản thân các hệ thống tường lửa, phòng chống xâm nhập cũng đều có những lỗ hổng, điểm yếu. Chỉ có con người mới nhận diện kịp thời những nguy cơ đó và có giải pháp xử lý phù hợp.

Nhà báo Nguyễn Thái Sơn: Bên cạnh các doanh nghiệp, công ty môi giới chứng khoán thì các nhà đầu tư chứng khoán cần làm gì để đảm bảo an toàn trong bối cảnh hiện nay? Xin mời ông Ngô Minh Hiếu.

Nhà đầu tư chứng khoán nên chậm lại...vài giây

Ông Ngô Minh Hiếu: Các nhà đầu tư chứng khoán để tránh bị lừa đảo thì rất dễ. Họ chỉ cần cần chậm lại. Tiếp đó là kiểm chứng. Nhà đầu tư bị lừa chủ yếu là do họ quá nhanh khi truy cập 1 trang web và chuyển tiền cho lừa đảo, sau khi dính bẫy họ có tâm lý muốn lấy lại tiền nhưng hầu như 99,99% là không lấy lại được bởi các tài khoản ngân hàng đó là giải mạo.

Tóm lại, nhà đầu tư cần chậm lại vài giây để kiểm chứng, có thể truy cập vào trang web tinnhiemmang.vn hoặc dauhieuluadao.com để tham khảo trước khi ra quyết định.

Các công ty chứng khoán phần lớn chưa tuân thủ an toàn thông tin mạng

Nhà báo Phạm Đức Sơn: Ông Lê Công Phú có thể cho biết qua những vụ tấn công vừa rồi, Bộ TT&TT có khảo sát về năng lực các đơn vị kinh doanh trong lĩnh vực chứng khoán nói riêng hay chưa?

Các công ty chứng khoán phần lớn chưa tuân thủ quy định pháp luật về an toàn thông tin mạng

Ông Lê Công Phú: Chúng tôi chưa có khảo sát với các công ty chứng khoán về khả năng phòng chống tấn công mạng hiện tại. Tuy nhiên sau vụ việc VNDirect vừa rồi, chúng tôi tiến hành rà soát và nhận thấy phần lớn các công ty chứng khoán nói riêng và doanh nghiệp nói chung chưa tuân thủ quy định của pháp luật về đảm bảo an toàn thông tin, trong đó có việc chưa phê duyệt hồ sơ đề xuất cấp độ và triển khai các biện pháp bảo vệ hệ thống thông tin theo cấp độ được phê duyệt.

Nghị định 85/2016 ban hành quy định về bảo đảm an toàn thông tin theo cấp độ xác định các hệ thống thông tin cần phê duyệt hồ sơ theo cấp độ, tương ứng với mỗi cấp độ cơ quan chủ quản cần có giải pháp bảo về với từng cấp độ.

Thời gian vừa qua, Cục An toàn Thông tin đã đôn đốc, hỗ trợ các đơn vị triển khai, hiện nay phần lớn các cơ quan nhà nước đang làm tốt, nhưng khối doanh nghiệp, các tổ chức định chế tài chính chưa làm tốt.

Ngay sau sự cố của VNDirect, Cục An toàn thông tin đã yêu cầu các công ty chứng khoán tổ chức rà soát, kiểm tra, đánh giá đảm bảo an toàn thông tin các hệ thống thông tin thuộc phạm vi quản lý và triển khai ngay các biện pháp khắc phục các nguy cơ, lỗ hổng, điểm yếu đối với các hệ thống thông tin, đặc biệt là các hệ thống thông tin quản lý tài khoản khách hàng, phục vụ giao dịch chứng khoán trực tuyến. Hoàn thành trước ngày 15/4/2024

Trong Công điện số 33 Thủ tướng vừa ký hôm 7/4 trong đó yêu cầu Bộ trưởng, Thủ trưởng cơ quan ngang bộ, cơ quan thuộc Chính phủ, Chủ tịch UBND các tỉnh, thành phố trực thuộc Trung ương, các tổ chức, cơ quan, doanh nghiệp trực tiếp chỉ đạo và phụ trách công tác bảo đảm an toàn thông tin mạng; chịu trách nhiệm trước pháp luật và Thủ tướng Chính phủ nếu để hệ thống thông tin thuộc phạm vi quản lý không bảo đảm an toàn thông tin mạng, để xảy ra sự cố nghiêm trọng.

Nhà báo Nguyễn Thái Sơn: Liên quan nội dung về đảm bảo an toàn thông tin, ông Trần Minh Quân hiện đang làm việc trong một Tập đoàn đa quốc gia có thể chia sẻ việc phòng, chống và bảo mật thông tin lĩnh vực chứng khoán quốc tế, khi xảy ra sự cố được các bên liên quan ứng phó như thế nào?

Ông Trần Minh Quân: Ở góc độ quốc gia, nghiên cứu cho thấy đa số các quốc gia như Anh, Mỹ đều thành lập một đơn vị chuyên trách đề rà soát, thống kê trong quốc gia về bảo mật an ninh mạng, đưa ra hình thức bảo vệ trong đó có cả khung an toàn bảo mật, hỗ trợ 1 đơn vị khi bị tấn công mà không biết làm thế nào.

Đội đặc nhiệm này đưa các thông tin lên cổng thông tin, gửi báo cáo tới các đơn vị để đưa cảnh báo nhằm củng cố an toàn thông tin và để các đơn vị biết khi đã bị hacker thì phải có bước để khôi phục. Xa hơn 1 chút là thị trường chứng khoán.

Hành lang pháp lý liên quan ở Việt Nam, số lượng văn bản có nhưng còn hạn chế. So sánh cho thấy, yêu cầu của chúng ta chưa đẩy đủ chỉ mang tính định hướng để 1 đơn vị biết cần làm gì, trong khi việc giám sát, báo cáo để xem DN có tuân thủ không thì lại thiếu để biết tình trạng từng đơn vị.

Ở các quốc gia khác, yêu cầu các sàn, cả công ty đại chúng phải có báo cáo liên quan tới an toàn thông tin về quản trị an toàn thông tin (chính sách, lộ trình đảm bảo rủi ro, an toàn thông tin) thì Việt Nam hiện đang thiếu hành lang chính sách. Phải nâng cao nhận thức đơn vị và chủ quản đơn vị đó hướng tới an toàn thông tin hay không?

Cần thấy rằng, vận hành về an toàn dịch vụ, ngoài vấn đề lợi nhuận cần tín tới rủi ro bảo mật phát sinh, để DN biết khả năng chống chịu rủi ro, cần tính tới 1 khoản dự trù để khi lâm vào tình huống không may để chủ động hơn. Tiếp theo cần yêu cầu báo cáo liên quan sự cố về bảo mật thông tin cá nhân.

Các quốc gia yêu cầu, khi nhận diện sự cố tấn công trọng yếu thì phải thông báo với các đơn vị liên quan để biết khách hàng bị tấn công đang ở tình trạng xử lý ra sao, điều này giúp DN trưởng thành hơn. Theo đó, cần lưu ý ngay từ khâu ban đầu tránh tình huống mất bò mới lo làm chuồng.

Ông Lê Công Phú: Về mặt tổng thể, Việt Nam đã có hệ thống đầy đủ với các văn bản quy phạm pháp luật, đó là luật an toàn thông tin mạng, hệ thống Nghị định, thông tư. Trong đó Nghị định 85, Thông tư 12 hướng dẫn rõ ràng về việc các tổ chức và doanh nghiệp cần làm gì để đảm bảo an toàn hệ thống thông tin.

Đối với từng lĩnh vực, chúng ta có Quyết định 632/QĐ-TTg 2017 ngày 10/5/2017 xác định Danh mục 11 lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng, trong đó có tài chính, năng lượng, ngân hàng, thông tin… Nhìn chung, đây là những lĩnh vực một khi xảy ra sự cố thì sẽ có mức tác động lớn đến xã hội.

Ngoài ra, Quyết định số 05/2017 yêu cầu các đơn vị phải báo cáo sự cố trong vòng 5 ngày về Cơ quan điều phối quốc gia, đối với các sư cố vượt ngoài khả năng xử lý thì báo cáo ngay lập tức để Cục An toàn thông tin phát lệnh điều phối hỗ trợ doanh nghiệp. Với mạng lưới ứng cứu sự cố hơn 220 thành viên, chúng tôi đang quy tụ được nhiều chuyên gia giỏi đến từ nhiều tổ chức, với lực lượng tinh nhuệ nhất để có thể hỗ trợ doanh nghiệp.

Nhà báo Phạm Đức Sơn: Qua chia sẻ thực trạng ông Trần Minh Quân và ông Lê Công Phú, chúng ta nhận diện một bức tranh về khuôn khổ pháp luật lĩnh vực an toàn thông tin đang có vấn đề, đang có những lỗ hổng cần hoàn thiện, tại tọa đàm có đại diện Cục An ninh mạng và phòng chống tội phạm công nghệ cao (Bộ Công an), ông có thể chia sẻ việc thực thi pháp luật trong lĩnh vực an toàn thông tin hiện nay như thế nào, đặc biệt là trong lĩnh vực chứng khoán?

Công ty chứng khoán cần nâng cao ý thức bảo vệ nhà đầu tư

Ông Lê Hoàng Giang: Sau sự cố tại VNDirect, Cục An ninh mạng và phòng chống tội phạm công nghệ cao (Bộ Công an) đã ngay lập tức làm việc với VNDirect và Ủy ban Chứng khoán Nhà nước để tìm hiểu vấn đề.

Chúng tôi quan tâm để thủ đoạn hacker đã sử dụng để tấn công và lo lắng những cuộc tấn công như này sẽ gây đến hệ lụy tới thị trường chứng khoán và đặc biệt là quyền lợi của nhà đầu tư khi hoạt động giao dịch của họ bị tạm dừng từ 24/3-1/4, họ là người trực tiếp bị ảnh hưởng.

Sau vụ việc này, tôi mong muốn các công ty chứng khoán sẽ nâng cao ý thức bảo mật hệ thống thông tin, để thị trường chứng khoán lành mạnh và bảo vệ lợi ích nhà đầu tư.

Nhà báo Phạm Đức Sơn: Bây giờ các vụ tấn công mạng đi kèm việc tống tiền, các khuyến nghị đều hướng tới không trả tiền chuộc, nhưng không trả tiền thì với năng lực của mình làm sao có thể tìm ra khóa để đòi lại dữ liệu, vậy giải quyết mâu thuẫn này như nào, xin mời ý kiến ông Trần Minh Quân, ông Ngô Tuấn Anh và ông Ngô Minh Hiếu?

Ông Trần Minh Quân: Theo đánh giá đa số các quốc gia không thực hiện khâu trả tiền chuộc, không ủng hộ đối mặt với tổ chức tấn công, thông điệp rõ ràng "chúng tôi không thương lượng, không trao đổi".

Tuy nhiên, quay trở lại câu chuyện dữ liệu bị mất và doanh nghiệp không hoạt động trở lại. Đối với tình huống cụ thể, đã quá nghiêm trọng thì tôi không bàn luận thêm. Thế nhưng, hệ lụy không khôi khục lại được dữ liệu, do chúng ta đã không đảm bảo nguyên lý về sao lưu và khôi phục dữ liệu. Trong công nghệ thông tin phải đảm bảo nguyên tắc 3 2 1. Tức là có 3 bản copy, 2 loại lưu trữ khác nhau và 1 bản không nằm ở trụ sở.

Ở Hong Kong ban hành thêm tiêu chuẩn về sao lưu dữ liệu, thêm thuật ngữ gọi là hệ thống không kết nối, tức là hệ thống sao lưu không có liên quan đến hệ thống thực đang vận hành, để trong tình huống xấu nhất hệ thống thực mất rồi thì vẫn còn dữ liệu.

Ông Ngô Tuấn Anh: Đồng tình với việc triển khai các biện pháp, hướng tiếp cận đơn giản hơn là vấn đề tuân thủ. Hiện hành lang pháp liên quan tới an toàn thông tin hiện nay ở Việt Nam khá đầy đủ, vấn đề chỉ là tuân thủ.

Trong thông tư hướng dẫn đã có tiêu chuẩn riêng áp dụng cho Việt Nam vì vậy đảm bảo an toàn thông tin, các DN phải tuân thủ quy định này. Hướng dẫn trong thông tư là khá rõ với mức quan trọng khác nhau.

Ví dụ công ty chứng khoán là cấp độ 3 thì vận hành quản lý, kỹ thuật như thế nào đã được nêu ra, các đơn vị nên tuân thủ khi tham chiếu vào trường hợp cụ thể của mình. Khi thực hiện đúng quy định pháp luật, đảm bảo tuân thủ, bị tấn công là rủi ro còn không tuân thủ khi rủi ro sẽ bị xử lý cả về luật pháp, liên quan tới không tuân thủ. Có một ý cần đặc biệt lưu ý là Nghị định 13 về bảo mật dữ liệu cá nhân.

Hệ thống 1 công ty có thể bị tấn công, công ty có thể mua máy chủ mói nhưng dữ liệu bị ảnh hưởng thì không thể khôi phục lại được. Khảo sát tính tuân thủ của các công ty chứng khoán cho thấy, 92% công ty chưa tuân thủ hoặc tuân thủ hưa đầy đủ về bảo vệ dữ liệu cá nhân trong đảm bảo quyền chủ thể về thu thập dữ liệu cá nhân. 2 loại dữ liệu cá nhân là nhân viên của công ty chứng khoán và nhà đầu tư.

Việc bị làm phiền bởi các công ty chứng khoán, là do dữ lệu cá nhân đã bị khai thác. Các đơn vị nói chung nên triển khai tuân thủ không nên để vừa thiệt hại và vừa bị xử lý do không tuân thủ.

Ông Ngô Minh Hiếu: Cục An toàn thông tin đã có cẩm nang về phòng chống rủi ro liên quan đến mã độc, trong đó có đề cập các quy trình ứng xử với sự cố.

Trước đây chúng ta thường chỉ rà soát lỗ hổng bảo mật, nhưng theo phương thức mới mà thế giới áp dụng thì thường là rà soát, giám sát, đưa ra quy trình khắc phục. Cần xây dựng đội ngũ nhân sự, kiểm tra toàn bộ hệ thống, hoặc có thể sử dụng dịch vụ test lỗ hổng để vá kịp thời, từ đó giúp hạn chế rủi ro.

Bên cạnh đó cũng cần đảm bảo giám sát vận hành hệ thống để giảm thiểu những rủi ro nhất định.

TS. Nguyễn Anh Tuấn: Chế tài xử phạt việc không tuân thủ quy định về an toàn thông tin hiện nay như thế nào, thưa ông Lê Công Phú?

Danh tiếng của doanh nghiệp sẽ bị ảnh hưởng nếu bị xử phạt hành chính

Ông Lê Công Phú: Chúng ta có Nghị định số 15/2020/NĐ-CP của Chính phủ: Quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử với các chế tài rất rõ ràng.

Mức phạt hiện tại mặc dù chưa cao, tuy nhiên tôi cho rằng, một khi bị phạt thì sẽ ảnh hưởng rất lớn đến uy tín của các tổ chức, doanh nghiệp. Điều này sẽ khiến các tổ chức, doanh nghiệp quan tâm hơn đến vấn đề an toàn thông tin để tạo vị thế cạnh tranh trên thị trường.

Trong kỷ nguyên số, doanh nghiệp đầu tư vào an toàn thông tin sẽ có rất nhiều lợi thế, tạo được niềm tin cho khách hàng khi sử dụng dịch vụ, giải pháp của doanh nghiệp.

Ông Trần Minh Quân: Mức xử phạt không quá 100 triệu đồng, khá nhẹ so với thiệt hại của chính tổ chức và khách hàng.

Ông Nguyễn Hồng Sơn: Vụ tấn công VNDirect ảnh hưởng tới cả cá nhà đầu tư và đơn vị chủ quan, số tiền ảnh hướng lớn. Tuy nhiên, có thể thấy, vụ việc này có cả mặt tích cực và tiêu cực. Tích cực là sau tấn công, các đơn vị chủ quản sẽ có cái nhìn rõ ràng hơn về tình trạng sức khoẻ hệ thống, giống như vaccine, tạo ra sức đề kháng về nguy cơ mất an toàn thông tin.

Một thực tế là qua vụ tấn công VNDirect cho thấy các đơn vị rất bị động trong xử lý tình huống do chưa từng trải qua các vụ tấn công như thế nên lúng túng không biết xử lý như thế nào.

Chúng tôi khuyến cáo các đơn vị nên thực hiện diễn tập như nhà nước hay đơn vị của Chính phủ thường chủ động tổ chức diễn tập thực chiến, bám sát nhất với tình hình thời sự, giả lập tấn công thực tế giúp tuyến phòng thủ rèn luyện, nâng cao kỹ năng để xử lý tốt nhất.

Tham gia các cuộc tấn công như thế, ứng phó với các tình huống dù không thể giải quyết tất cả 100% tình huống nhưng khi gặp vấn đề DN sẽ biết làm gì, đưa quyết định nhanh nhất để giảm thiệt hại tối đa.

Nhà báo Phạm Đức Sơn: Cảm ơn ông Nguyễn Hồng Sơn đã bổ sung thông tin công tác phòng - chống nguy cơ tấn công mạng. Như các chuyên gia đã chia sẻ thông tin các vụ tấn công mạng thời gian vừa qua đều có yếu tố xuyên biên giới, và tiền chuộc là tiền số, các đại diện đến từ Bộ Công an có thể cho biết cách thức truy vết hay giải pháp nhận diện và chống lại các cuộc tấn công tiềm tàng thời gian tới?.

Truy vết tấn công mạng hiện gần như khó khả thi

Ông Nguyễn Anh Tuấn, Phó giám đốc Trung tâm Dữ liệu quốc gia về dân cư thuộc Cục Quản lý Hành chính về trật tự xã hội, Bộ Công an (C06): Là đơn vị đang triển khai dữ liệu công dân, chia sẻ các thông tin cho đơn vị ban ngành, các doanh nghiệp, chúng tôi có trách nhiệm bảo vệ thông tin dữ liệu quốc gia và từng cá nhân.

Khi phát sinh các sự cố ảnh hưởng an ninh, an toàn có nguy cơ ảnh hưởng hệ thống, chúng tôi đánh giá nguồn phát sinh từ đâu, nguồn gốc ở đâu? Truy vết hiện gần như khó khả thi, vì nguồn các cuộc tấn công nằm ở nhiều quốc gia.

Các giải pháp về công nghệ, kỹ năng giới "hacker" hiện nay khó cho chúng ta xác định vị trí thực tế của họ khi đang phát động cuộc tấn công vào hệ thống công nghệ thông tin.

Nhà báo Nguyễn Thái Sơn: Được biết từ năm ngoái theo chỉ đạo Thủ tướng, Bộ Công an có phối hợp Ủy ban Chứng khoán Nhà nước triển khai việc kết nối dữ liệu quốc gia về dân cư với hoạt động quản lý chứng khoán. Tiến độ này thực hiện đến đâu và hợp tác này có vai trò thế nào trong việc bảo mật, phòng chống tội phạm nói chung và tội phạm trong lĩnh vực chứng khoán nói riêng, cũng như để bảo vệ quyền lợi cho nhà đầu tư chứng khoán?

Chia sẻ dữ liệu bảo vệ quyền lợi nhà đầu tư

Ông Nguyễn Anh Tuấn: Từ khi được giao triển khai Đề án 06, chúng tôi có sự phối hợp các bộ ban ngành, trong đó có UBKCNN. Vừa qua, phối hợp để UBCKNN có thể ứng dụng các giải pháp thiết bị, dữ liệu công dân, nhằm đẩy mạnh việc quản lý vận hành CTCK, chứ không phải là an ninh bảo mật.

Chúng tôi đang phối hợp, đưa ra những trao đổi kết nối để nâng cao hiệu quả quản lý trong công tác chứng khoán. Từ việc xác thực thông tin công dân chính xác, chúng ta có thể làm tốt hơn hiệu quả quản lý trong giao dịch chứng khoán. Nhờ đó, sớm phát hiện hành vi vi phạm pháp luật, giảm thiểu nguy cơ lừa đảo, rửa tiền, thao túng thị trường, nhìn chung là tăng cường sự minh bạch trên TTCK.

Trên cơ sở như vậy, chúng ta có thể bảo vệ quyền lợi nhà đầu tư, giảm thiểu thông tin xác định nạn nhân, đối tượng thiệt hại… Chúng tôi dự kiến năm 2020-2025 đẩy mạnh nội dung kết nối chia sẻ thông tin dữ liệu công dân.

Cùng UBCKNN để chuẩn hóa thông tin người hoạt động kinh doanh, còn thông tin các nhà đầu tư do các CTCK quản lý nên chúng tôi triển khai hệ thống xác thực thông tin định danh. Sau khi triển khai sau 1/7, thì sẽ phối hợp UBCKNN, các DN để đẩy nhanh việc định danh thông tin NĐT.

Chúng tôi có sự liên quan trực tiếp việc bảo vệ dữ liệu cá nhân. Đối với những thông tin này, ngoài các yêu cầu về pháp lý, hệ thống tham gia quản trị vận hành, chúng tôi có thể có thêm khuyến nghị với các CTCK rằng những người tham gia vận hành cũng có thể gây rủi ro hệ thống chứng khoán.

Không chỉ CTCK, đó còn là các doanh nghiệp, các đơn vị tham gia môi trường hệ thống an toàn thông tin an toàn mạng. Bên cạnh đó, các công ty chứng khoán nói riêng và bộ phận doanh nghiệp nói chung hầu như quá phụ thuộc vào đơn vị cung cấp dịch vụ và không có bất kỳ kế hoạch phương án nào nhằm tự củng cố đội ngũ chỉ để giám sát, phát hiện định kỳ.

Nhà báo Phạm Đức Sơn: Nhìn từ vụ việc, ông Trần Minh Quân có thể chia sẻ xem quy định pháp luật hiện hành có đủ hành lang pháp lý để nhà đầu tư đòi lại quyền lợi chính đáng của mình?

Ông Trần Minh Quân: Tôi xin bổ sung thêm 1 ý liên quan đến cấp lãnh đạo doanh nghiệp, phải có trách nhiệm xây dựng kế hoạch vận hành liên tục và kế hoạch phục hồi sau thảm họa.

Những kế hoạch này đòi hỏi sự tham gia của không chỉ cá nhân trực tiếp (bộ phận IT, đơn vị cung cấp dịch vụ…) mà yêu cầu sự tham gia phối hợp của ban truyền thông bao gồm truyền thông nội bộ để cho nhân viên biết cần làm gì khi xảy ra sự cố và truyền thông ra bên ngoài;

Sự tham gia của ban lãnh đạo, CEO, CFO đưa ra quyết định mang tính chất sống còn, trả tiền chuộc trong tình huống ransomware, bỏ ra chi phí mua lại thiết bị cần thiết để khôi phục dữ liệu…

Đối với cổ đông nhỏ lẻ thực sự gặp khó khăn, họ không biết những cổ đông lớn (sở hữu cổ phiếu từ 10-20% trở lên) để tập hợp được tiếng nói đủ lớn kêu gọi hành động cụ thể. Hiện tại, quy định chưa có quy chế nào hỗ trợ cá nhân đầu tư và cần bổ sung về mặt pháp lý. Đối với nhà đầu tư tổ chức thì có sẵn mối quan hệ, mạng lưới và tỷ lệ sở hữu đủ mạnh để có tiếng nói.

Về hành lang pháp lý, trong quá trình tôi công tác nhận thấy giữa các ngành dọc (Bộ Công nghệ Thông tin, Bộ Công an, Bộ Tài chính…) đang gặp vấn đề khó khăn lớn là truyền thông văn bản. Ví dụ như khi nhận Nghị định 13 hay 85 sẽ đặt câu hỏi là Sở và UBCK đang không ban hành bất cứ thông tư hướng dẫn nào thì triển khai ra sao.

Tôi đề xuất rằng khối ban ngành có hình thức nào để thu hẹp khoảng cách truyền thông, không phải chờ đơn vị chủ quản đưa ra thông tư hướng dẫn mà từ Nghị định hướng dẫn của Bộ Công an hay Bộ Công nghệ Thông tin có thể chủ động thực hiện.

Ông Lê Công Phú: Cục An toàn thông tin, Bộ TT&TT thực hiện chức năng quản lý nhà nước và thực thi pháp luật về an toàn thông tin mạng.

Chúng tôi đã tham mưu, xây dựng, hoàn thiện cơ bản hành lang pháp lý cùng với các hướng dẫn chi tiết, các tổ chức, doanh nghiệp cứ tuân thủ quy định của pháp luật về an toàn thông tin thì tôi chắc chắn năng lực đảm bảo an toàn thông tin sẽ được cải thiện rất nhiều.

Việc tuân thủ pháp luật giúp DN tạo vị thế cạnh tranh trên thị trường, đặc biệt trong bối cảnh vi phạm trong an toàn, an ninh mạng ngày càng gia tăng. Các công ty chứng khoán tuân thủ, có đầy đủ biện pháp an toàn thông tin sẽ nhận được sự tin tưởng của nhà đầu tư hơn các DN không tuân thủ.

Ông Ngô Tuấn Anh: Chúng ta đã có đầy đủ các quy định như Nghị định 85 của Bộ Thông tin Truyền thông, một số Nghị định bên Bộ Công an.

Tuy vậy, khi tuân thủ, các đơn vị cũng cần đầu tư nguồn lực để triển khai, hướng đến mô hình chuẩn mà thế giới cần tiếp cận là sử dụng mô hình dịch vụ chuyên nghiệp. Không chỉ công nghệ thông tin, ta thấy nhiều doanh nghiệp dù có phòng pháp chế, quản trị rủi ro… nhưng vẫn cần dùng dịch vụ từ đơn vị tư vấn, luật sư…

Thực tế, tôi nghĩ việc dùng dịch vụ chuyên nghiệp thì tiết kiệm hơn cho chính họ. Xin bổ sung thêm ý về việc xử phạt, chế tài vi phạm bảo vệ dữ liệu cá nhân cũng khá lớn. Cộng lại các hành vi vi phạm về mặt tài chính là khoảng 1,8-2,3 tỷ đồng, mức phạt lên đến 5% doanh thu năm liền kề trước.

Thậm chí có thể tước giấy phép sử dụng kinh doanh hành nghề cần thu thâp dữ liệu từ 1-3 tháng. Như vậy, hoạt động cung cấp dịch vụ của một công ty chứng khoán có thể bị tước trong 1-3 tháng cùng các mức xử phạt như đã nêu.

Ông Lê Công Phú: Bộ Công nghệ Thông tin thường báo cáo trước Thủ tướng về bộ, ngành nào chưa tuân thủ quy định về an toàn thông tin theo cấp độ. Với các CTCK, Bộ chưa thực hiện nhưng đây là ý hay. Trong thời gian tới, chúng tôi có thể hướng đến công khai, minh bạch thông tin không chỉ CTCK mà các tổ chức tài chính như ngân hàng, ví điện tử để tăng cường đảm bảo an toàn thông tin, hướng tới bảo vệ người dùng.

TS. Nguyễn Anh Tuấn: Ông Lê Công Phú có nói đến việc tuân thủ và khuyến khích doanh nghiệp tuân thủ quy định an toàn thông tin mạng. Tuy nhiên, đánh giá từ ông Ngô Tuấn Anh mức độ tuân thủ của doanh nghiệp hiện rất thấp, đến 90% doanh nghiệp chưa tuân thủ đầy đủ ở các mức độ khác nhau, vậy doanh nghiệp không tuân thủ dẫn đến thiệt hại nặng nề cho nhà đầu tư họ có bị xử lý theo pháp luật không?

Ông Lê Hoàng Giang: Liên quan đến việc xử phạt hành chính, 90% doanh nghiệp chưa đảm bảo được yếu tố bảo mật thông tin, việc họ chưa đảm bảo sẽ tính theo xử phạt hành chính.

Tuy nhiên khi xảy ra vụ việc, chúng ta phải tính đến hậu quả việc đấy ảnh hưởng như nào đến người tiêu dùng, sau đó áp các điều luật của Bộ luật hình sự, sau đó mới xác định được có đủ căn cứ để xử phạt và đưa ra pháp luật hay không.

Nhà báo Phạm Đức Sơn: Để minh bạch thị trường nên chăng Cục An toàn thông tin định kỳ cung cấp báo cáo việc tuân thủ pháp luật an toàn thông tin của các doanh nghiệp chứng khoán, đây có thể xem là căn cứ để nhà đầu tư "chọn giỏ bỏ thóc", ông nghĩ sao về việc này?

Ông Lê Công Phú: Bộ Thông tin và Truyền thông thường báo cáo trước Thủ tướng về bộ, ngành nào chưa tuân thủ quy định về an toàn thông tin theo cấp độ. Với các CTCK, Bộ TT&TT chưa thực hiện nhưng đây là ý hay.

Trong thời gian tới, chúng tôi có thể hướng đến công khai, minh bạch thông tin không chỉ CTCK mà các tổ chức tài chính như ngân hàng, ví điện tử để tăng cường đảm bảo an toàn thông tin, hướng tới bảo vệ người dùng.

TS. Nguyễn Anh Tuấn phát biểu bế mạc tọa đàm:

Trong vòng hơn 2 tiếng đồng hồ, tọa đàm đã có những thảo luận cởi mở, thẳng thắn, đưa ra các ý kiến từ các góc nhìn khác nhau, giúp chúng ta nhận diện sâu hơn, đẩy đủ hơn về rủi ro an toàn mạng. Các thông tin chuyên gia cung cấp có thể xem là rất quý giá với các nhà đầu tư.

Chúng ta thấy rằng rủi ro đang ngày càng gia tăng với khối tài chính ngân hàng, vì vậy đòi hỏi các công ty chứng khoán hay tài chính nói riêng cần lưu ý đặc biệt vấn đề này. Các giải pháp mà các vị chuyên gia gợi ý cũng hết sức đáng lưu ý.

Thứ nhất là công tác phòng hơn chống; Thứ hai là tập dượt các phương án xử lý khi xảy ra sự cố, xem như một liều "vaccine phòng ngừa";

Thứ ba là trong câu chuyện đầu tư bảo mật để phòng chống thì yếu tố con người cũng rất quan trọng, thiết bị hiện đại mà không có con người vận hành thì cũng không phát huy được hết tác dụng. Nhắc đến con người thì nhu cầu đào tạo, hay cụ thể là việc còn lệch pha giữa nhu cầu thực tế và chất lượng đào tạo giữa các cơ sở đào tạo cũng đang có vấn đề.

Các chuyên gia cũng đưa ra nhiều giải pháp, khuyến nghị doanh nghiệp đảm bảo tuân thủ bảo mật thông tin cá nhân, những câu chuyện thời sự được nhiều nhà đầu tư chứng khoán quan tâm.

Những giải pháp đại diện Bộ TTTT đã nêu, các chế tài xử phạt cũng đã rõ ràng, sắp tới Cục An toàn thông tin cũng sẽ có thêm biện pháp tăng cường quản lý việc tuân thủ, và có thể sẽ minh bạch hóa mức độ tuân thủ thông tin của các doanh nghiệp chứng khoán, tổ chức tài chính, làm cơ sở cho các nhà đầu tư lựa chọn.

Các chế tài xử phạt hiện tại có thể không lớn, nhưng nếu được công bố rộng rãi cũng sẽ tác động tới ý thức của các nhà quản lý doanh nghiệp trong việc tuân thủ quy định về an toàn thông tin...

Một lần nữa thay mặt Ban biên tập xin cảm ơn các chuyên gia đã tham dự và đóng góp ý kiến cho tọa đàm hôm nay.

Bài liên quan

Thấy gì từ sự cố của VNDirect?

Ủy ban Chứng khoán Nhà nước yêu cầu VNDirect khắc phục các lỗ hổng bảo mật

Cục An toàn thông tin cảnh báo hệ thống máy chủ mail một số đơn vị đã bị xâm nhập

Thủ tướng yêu cầu tăng cường bảo đảm an toàn thông tin mạng