Với xu thế tin học hoá trong "kinh tế CK" ngày càng mở rộng, theo ông Nguyễn Tử Quảng - GĐ Trung tâm An ninh mạng (ANM) BKIS - thì Chính phủ và UBCKNN cần có khuyến cáo đặc biệt về vấn đề này đối với các Cty CK và cả các sàn giao dịch CK.

Yếu cả phòng, cả chống

Ngày 5.4, trao đổi với phóng viên Báo Lao Động, ông Quảng cho biết khá bất ngờ với kết quả khảo sát về tình hình ANM các website của các Cty CK VN. Ông Quảng nói: Vấn đề ANM từ lâu đã được cảnh báo tại VN, nhất là đối với hệ thống ngân hàng, tổ chức tài chính, Cty CK.
 
Theo khảo sát, toàn hệ thống mạng hiện có khoảng 26% có lỗ hổng. Tuy nhiên, riêng với website của các Cty CK có tỉ lệ 54% (12/22 website) là tỉ lệ quá lớn. Điều đó cho thấy hầu hết các Cty CK đã không chú trọng từ khâu đặt hàng viết phần mềm (PM) cho các ứng dụng website này.

Như Báo Lao Động đã đưa tin, đầu tháng 4.2007, BKIS đã có công văn gửi tới 12 Cty CK có lỗ hổng website để cảnh báo về lỗ hổng ANM.  Với những lỗ hổng này, cụ thể, tin tặc có thể truy cập vào hệ thống, lấy toàn bộ nội dung cơ sở dữ liệu và mật khẩu của quản trị; từ đó sẽ thay đổi, chiếm quyền kiểm soát, xoá cơ sở dữ liệu của các website đó.

Nếu điều đó xảy ra, thông tin kết quả giao dịch có thể bị thay đổi; chỉ số CK không chuẩn xác; thông tin thất thiệt về thị trường có thể bị lan truyền. Từ đó, kẻ xấu có thể gây biến động trên TTCK vốn đang rất "nóng" để trục lợi; đồng thời nhiều nhà đầu tư bị thiệt hại.

Cùng với việc khuyến cáo, BKIS cũng đưa ra giải pháp trước mắt gồm: Kiểm tra lại mã nguồn website, xử lý thông tin người dùng có thể truy cập vào; thay đổi mật khẩu truy cập của quản trị đề phòng bị lộ; rà soát hệ thống đề phòng tin tặc cài PM gián điệp.

Tuy nhiên, dù được khuyến cáo về "những lỗ hổng chết người" và có thể nhận được sự giúp đỡ từ BKIS, song cho đến ngày 5.4, ông Quảng cho biết vẫn còn một số website chưa thể vá lỗi. Điều đó cho thấy hệ thống mạng này vừa yếu trong đề phòng, vừa yếu trong chống đỡ. Đặc biệt là sự thiếu chuyên nghiệp trong vấn đề ANM có vai trò và ảnh hưởng đặc biệt tới "kinh tế CK" này.

Lo ngại ANM "kinh tế CK"

Theo ông Quảng, với những điều tra của BKIS thì không riêng gì các website của Cty CK mà nhiều sàn giao dịch cũng có dấu hiệu của những lỗ hổng. Bên cạnh đó, một lo ngại khác mà BKIS cũng đã lên tiếng cảnh báo là hiện đang có dấu hiệu của nhóm tin tặc chuẩn bị tấn công các website này.

Theo ông Quảng, với việc tin tặc tấn công từ trong nước thì việc phòng, chống có thể tiến hành dễ dàng. Nhưng nếu xuất phát từ nước ngoài và những tin tặc "cao thủ" thì việc chống đỡ sẽ rất khó khăn. Chính vì thế, trong khi xu hướng tin học hoá của mạng CK (giao dịch từ xa, giao dịch qua mạng...) thì vấn đề ANM thật sự đáng báo động.

Tuy nhiên, theo ông Quảng thì việc vá lỗi là không khó, chi phí tài chính cũng không phải là đắt đỏ; song ý thức công việc và hệ thống tư vấn mới thật sự là điều lo ngại.

Ông Quảng cho biết, hầu hết các PM được xây dựng đều không chú ý đến Security Code (tạm dịch là mã an ninh). Vì thế, với việc tồn tại những lỗ hổng sẵn có trong hệ thống, việc nâng cao cảnh giác ANM và ưu tiên bảo mật càng cần được chú trọng.

Tuy vậy, ông Quảng cũng thừa nhận, nhân lực công nghệ tại VN hoàn toàn có thể vá lỗi và ứng dụng bảo mật; song việc tư vấn và ứng dụng chuẩn theo ISO 27001 còn rất hiếm Cty làm được.

Ông Quảng cho rằng: Trong khi các Cty PM, trung tâm ANM đang nỗ lực tăng cường công tác bảo mật thì Chính phủ, UBCKNN cần có những khuyến cáo đặc biệt đối với các Cty và sàn giao dịch CK. Bởi trong bối cảnh "tiềm ẩn những nguy cơ" như hiện nay thì việc đảm bảo ANM "kinh tế CK" là tối cần thiết.

Hầu hết các website này đều có cùng một lỗ hổng nghiêm trọng là lỗi SQL Injection. Với lỗi này, tin tặc có thể tấn công bất cứ lúc nào.

Theo Lao động