Phần lớn các CTCK chưa tuân thủ an toàn thông tin mạng

Tội phạm mạng đã tăng lên và tinh vi hơn

Trong chương trình, ông Ngô Tuấn Anh, Tổng Giám đốc Công ty An ninh mạng SCS, cho biết tấn công mạng không phải gần đây mới xảy ra mà đã diễn ra nhiều trước đó, nhưng mức độ ảnh hưởng chưa thể hiện ra ngoài. Sự cố tại VNDirect được chú ý do có tầm ảnh hưởng lớn tới thị trường, số lượng nhà đầu tư bị ảnh hưởng nhiều. 

Tấn công mạng cũng đã có sự thay đổi về mục đích thực hiện. Trước đây, các nhóm tấn công mạng để ghi danh, ghi điểm nhưng hiện tấn công mạng đã trở thành lĩnh vực thu được nhiều lợi nhuận. Sự cố tại VNDirect là một vụ tấn công mã hóa tống tiền.

"Điều này giống như trong nhà có két sắt chứa tài liệu, tiền bạc, đối tượng tấn công vào nhà dùng khoá của chúng để khoá két lại và mang chìa đi. Muốn mở khoá thì phải trả tiền để lấy chìa khoá. Nếu muốn tự đánh chìa khoá điện tử mới, cần máy tính lớn giải mã và có thể mất hàng chục năm để đánh chìa. Do đó phương án này là không khả thi", ông Ngô Tuấn Anh chia sẻ.

Do đó, chỉ có hai lựa chọn là bỏ két, chấp nhận mất tài liệu hoặc trả tiền để mở khoá, trả bằng tiền điện tử do đó không có khả năng truy vết. Với yếu tố như vậy, tấn công mạng đòi tiền chuộc nở rộ thời gian gần đây. Đây không phải câu chuyện của riêng Việt Nam mà là cả thế giới.

Ông Trần Minh Quân, Chuyên gia cao cấp của PwC VN, cho biết các báo cáo khảo sát cho thấy các doanh nghiệp trên thế giới nhận diện rủi ro mã độc tống tiền là một trong 5 rủi ro về an toàn thông tin phải đối mặt trong 12 tháng tiếp theo.

Ngoài ra, còn có hình thức tấn công dựa trên nền tảng đám mây (công nghệ đang được nhiều doanh nghiệp sử dụng trong quá trình chuyển đổi số), rủi ro thất thoát dữ liệu, hạ sự hoạt động của hệ thống,... Một số quốc gia như Singapore, Hong Kong đều xem đây là rủi ro mang tầm quốc gia. Đặc biệt, Mỹ coi hình thức tấn công này như khủng bố.

Tất cả các quốc gia đều không khuyến khích các đơn vị trả tiền chuộc hoặc liên hệ bên tấn công, hành động này đồng nghĩa với việc khuyến khích thêm và tạo nguồn thu cho bên tấn công.

Đồng ý với quan điểm vấn đề tội phạm mạng hiện nay đã tăng lên, ông Nguyễn Hồng Sơn, Phó phòng Pentest, Trung tâm an toàn thông tin - VNPT, cho biết đối với lĩnh vực chứng khoán, tài chính, hay các lĩnh vực công nghệ thông tin nhìn chung đều có các hình thức tấn công tương tự. Tuy nhiên, lĩnh vực tài chính ngân hàng sẽ là mục tiêu được ưu tiên lớn hơn do liên quan trực tiếp đến vấn đề kinh tế, có thể thu lợi. 

Các dạng tấn công phổ biến hiện nay như tấn công thông qua mã độc, mã hóa tống tiền, khai thác lỗ hổng,... Đặc biệt, hiện hacker sử dụng hiều hình thức tinh vi hơn, thay vì truyền thống họ sử dụng công nghệ cao như Al, deepfake. 

Theo thống kê của dự án chống lừa đảo hoạt động hơn 4 năm qua, ông Ngô Minh Hiếu, Giám đốc Công ty TNHH Xã hội chống lừa đảo, cho biết số lượng tấn công lừa đảo, giả mạo các website của các tổ chức ngân hàng, tài chính trong quý I/2024 ngày càng tăng. Đặc biệt, trong tháng 3 có hơn 11.000 báo cáo vụ lừa đảo, nhiều hơn so với tháng 1 và 2 vài nghìn báo cáo. Tổng trong quý I có tới 29.000 báo cáo lừa đảo.

Về hình thức, đối tượng lừa đảo sẽ giả mạo website tổ chức tài chính, sàn chứng khoán có uy tín trong và cả nước ngoài (ví dụ Mỹ). Đa phần nạn nhân bị dẫn dụ về mặt tình cảm hoặc bị lôi kéo làm nhiệm vụ và đầu tư trên các sàn chứng khoán giả mạo.

"Có những vụ có thể lên tới vài tỷ đến vài chục tỷ là điều bình thường. Các đối tượng lừa đảo thao túng tâm lý rất tốt và chiếm đoạt tài sản của nạn nhân một cách dễ dàng. Chúng lấy danh nghĩa các sàn uy tính để dẫn dụ, tội phạm hacker thường bắt kịp các xu hướng để thu hút nhà đầu tư với những khuyến mại, quà tặng hấp dẫn. Nhà đầu tư bị dẫn dụ và mất tiền", ông Ngô Minh Hiếu chia sẻ. 

Để tránh bị lừa đảo, ông Ngô Minh Hiếu cho biết nhà đầu tư chỉ cần chậm lại để kiểm chứng trước khi ra quyết định. Nhà đầu tư bị lừa chủ yếu do truy cập một trang web và chuyển tiền quá nhanh, sau khi dính bẫy họ có tâm lý muốn lấy lại tiền nhưng 99,99% không lấy lại được do các tài khoản ngân hàng là giả mạo.

Các công ty chứng khoán phần lớn chưa tuân thủ an toàn thông tin mạng

Cũng trong buổi toạ đàm, ông Lê Công Phú, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam, cho biết: "Sau vụ việc tại VNDirect, chúng tôi nhận thấy các công ty chứng khoán nói riêng và doanh nghiệp nói chung phần lớn chưa tuân thủ đảm bảo an toàn thông tin mạng theo cấp độ".

Nghị định 85/2016 ban hành quy định về bảo đảm an toàn thông tin theo cấp độ xác định các hệ thống thông tin cần phê duyệt hồ sơ theo cấp độ, tương ứng với mỗi cấp độ cơ quan chủ quản cần có giải pháp bảo về với từng cấp độ.

"Thời gian vừa qua, Cục An toàn thông tin đã đôn đốc, cơ quan nhà nước làm tốt nhưng doanh nghiệp và định chế tài chính chưa làm tốt. Trong Công điện 33 Thủ tướng vừa ký hôm 7/4 nhấn mạnh bây giờ không phải chịu trách nhiệm trước Thủ tướng nữa mà phải chịu trách nhiệm trước Thủ tướng và pháp luật nếu không đảm bảo an toàn thông tin theo cấp độ", ông Lê Công Phú cho biết.

Cục An toàn thông tin đã yêu cầu công ty chứng khoán phải có báo cáo về cục trước ngày 15/4 về tình hình triển khai đảm bảo an toàn thông tin theo cấp độ cũng như đảm bảo an toàn thông tin theo mô hình 4 lớp, bao gồm lực lượng bảo vệ tại chỗ, được kiểm tra đánh giá bởi tổ chức chuyên nghiệp, được giám sát bởi tổ chức chuyên nghiệp và có kết nối tới Trung tâm Giám sát an toàn không gian mạng quốc gia.