Kể từ tháng 6, khi ông gửi khuyến cáo tới Ủy ban Chứng khoán Nhà nước (UBCKNN) về tình trạng nhiều CTCK lơ là với tình trạng bảo mật thông tin mạng, trong khi đây là kênh cung cấp thông tin chính tới nhà đầu tư (NĐT), đến thời điểm này, ông có nhận xét gì về tình hình bảo mật của các trang web, hệ thống giao dịch của các công ty và cơ quan quản lý chứng khoán?
Trước đó, tháng 4/2007, chúng tôi có đưa ra một báo cáo về việc lỗ hổng tồn tại ở 12/22 trang web chứng khoán, dễ bị hacker lợi dụng chiếm quyền kiểm soát bất kỳ lúc nào. Nếu không được vá lỗi kịp thời, kẻ xấu có thể thay đổi kết quả giao dịch, sửa chỉ số chứng khoán, đưa thông tin thất thiệt. Sau cảnh báo đó, có khoảng 50% trang web được vá lỗi.
Tháng 6, chúng tôi có kiểm tra lại và thấy ở một số công ty, vấn đề bảo mật vẫn lơ là đến nỗi một chuyên gia về công nghệ thông tin bên ngoài có thể đăng nhập vào hệ thống quản trị và theo dõi được toàn bộ diễn biến đặt lệnh, giao dịch của NĐT tại CTCK đó. Trước tình hình như vậy, chúng tôi tiếp tục gửi công văn cho UBCKNN để cảnh báo về vấn đề này, trong đó nêu đích danh các công ty chưa sửa lỗi. Sau đó, tôi được biết, UBCKNN đã có công văn yêu cầu các CTCK quan tâm đến an ninh mạng. Theo kết quả đợt khảo sát mới nhất của BKIS cuối tuần qua, trong số gần 150 trang web về chứng khoán đang hoạt động, có tới 40% có lỗi và hacker có thể đăng nhập hệ thống quản trị dễ dàng.
Như ông nói thì hệ thống công nghệ thông tin của các CTCK có đảm bảo vấn đề quản lý tài khoản của NĐT một cách an toàn?
Chúng tôi gọi lỗi trên các trang web là lỗi hệ thống, có nghĩa là doanh nghiệp không quan tâm tới vấn đề an ninh mạng đúng mức, vì vậy lỗi có thể xảy ra ở nhiều điểm của hệ thống. Hiện nay, điểm yếu nhất của các CTCK nằm ở trang web. Hacker có thể xâm nhập qua trang web rồi sau đó tiến vào các hệ thống khác, lợi dụng các lỗ hổng mà âm thầm thay đổi, tung tin sai hay lấy, sửa thông tin tài khoản của nhà đầu tư được quản lý trên đó. Nguy hiểm ở chỗ, không thể xác định chính xác và nhanh chóng công ty nào bị hacker trộm dữ liệu. Vì nếu muốn trục lợi, hacker không dại gì đánh sập trang web để mọi người biết, hơn nữa do nhiều trang web bị lỗi nên hacker có thể tạo ra hàng loạt tin sai giống nhau trên nhiều trang web để NĐT không nghi ngờ.
Một số CTCK triển khai dịch vụ giao dịch qua mạng có áp dụng những giải pháp nhằm tăng tính bảo mật như cung cấp giải pháp xác thực mật khẩu giao dịch tĩnh thông qua thẻ giấy/nhựa hoặc mật khẩu động chỉ dùng một lần. Giải pháp như vậy có đảm bảo an toàn cho NĐT?
Giải pháp mà bạn đề cập nhằm hỗ trợ NĐT bảo vệ tài khoản và giao dịch của họ, song ở đây tôi muốn nhấn mạnh đến hệ thống bảo mật của hệ thống công nghệ của các CTCK. Khi người bên ngoài có thể làm chủ hệ thống quản trị và thay đổi mọi dữ liệu trên đó, thì dù NĐT không bị lộ mật khẩu truy cập và giao dịch, họ vẫn lấy được các thông tin liên quan đến tài khoản và thao tác giao dịch như NĐT. Tuy nhiên, tôi xin nhấn mạnh rằng, chỉ những công ty lơ là đến bảo mật an ninh mạng mới có thể rơi vào tình trạng như vậy, còn phần lớn những công ty lớn, đầu tư bài bản thì hệ thống tốt và kẻ xấu khó có thể chiếm quyền kiểm soát.
Khi thực hiện giao dịch qua mạng, NĐT phải cam kết chấp nhận mọi rủi ro. Theo ông, trong trường hợp hacker xâm nhập hệ thống và gây ra thiệt hại cho NĐT, liệu có thể coi đây là nguyên nhân khách quan và NĐT phải chịu mọi tổn thất?
Nếu như xảy ra tình huống như vậy thì cần phân định rõ, trường hợp CTCK đã cố gắng tối đa để đảm bảo an toàn an ninh cho hệ thống song vẫn bị kẻ xấu tấn công, gây thiệt hại cho NĐT thì cũng có một phần trách nhiệm, song trường hợp CTCK lơ là bảo mật an toàn mạng thì không thể phủ nhận trách nhiệm với NĐT. Cũng giống như trường hợp anh là ban quản lý chợ, anh tổ chức bảo vệ trông coi không tốt, kẻ xấu đột nhập ăn trộm của chủ hàng thì anh không thể đổ lỗi là do chủ hàng không khóa cẩn thận.
NĐT khó thể nhận biết hệ thống của công ty nào đảm bảo, công ty nào không. Theo ông, cơ quan quản lý nên làm gì để giúp NĐT tự bảo vệ quyền lợi của mình?
UBCKNN nên đưa ra khuyến cáo cho các công ty về tình trạng đảm bảo an toàn thông tin, bởi nếu như thông tin đưa trên các trang web uy tín bị sai lệch có thể ảnh hưởng rất lớn tới quyết định mua bán của NĐT. Hơn nữa, khi rủi ro xảy ra, rất khó phân định và chứng minh liệu có phải NĐT mua theo thông tin sai lệch đó. Với tình hình bùng nổ các CTCK như hiện nay và thị trường phát triển sang giai đoạn mới, đặc biệt tới đây giao dịch trực tuyến phổ biến thì UBCKNN nên yêu cầu các CTCK phải có chứng chỉ đảm bảo an ninh mạng. NĐT thấy công ty nào có chứng chỉ thì có thể an tâm.
Chi phí đầu tư cho bảo mật và vá lỗi trên các trang web liệu có quá tốn kém và mất nhiều thời gian?
Thực ra, đầu tư cho bảo mật không hề tốn kém, vấn đề là CTCK cần quan tâm tới nó. Họ cần có các nhà tư vấn chuyên nghiệp để sử dụng đúng cách các thiết bị đã có, đưa ra quy trình vận hành. Sửa lỗi trên trang web cũng không quá mất thời gian, có thể chỉ mất một vài ngày và chi phí tùy từng hệ thống có thể vài chục tới vài trăm triệu đồng.