25/03/2024 Cập nhật ĐHCĐ 2024

Ai đảm bảo quyền lợi cho nhà đầu tư khi công ty chứng khoán bị tấn công?

Khi công ty chứng khóa bị tấn công hệ thống, điều nhà đầu tư lo lắng nhất là thông tin, tài sản và quyền lợi của mình có bị ảnh hưởng hay không.

Theo thông báo của CTCP Chứng khoán VNDIRECT (HOSE: VND), hệ thống của Công ty bị tấn công từ 10h sáng chủ nhật ngày 24/03/2024.

Đến hết phiên sáng 25/03, nhà đầu tư vẫn chưa thể đăng nhập vào ứng dụng của VNDIRECT trên điện thoại. Tương tự, trên website Công ty, thông báo về tình trạng sự cố vẫn còn.

Sở Giao dịch Chứng khoán Hà Nội (HNX) cũng có thông báo ngắt kết nối tạm thời giao dịch từ xa và giao dịch trực tuyến trên các thị trường giao dịch chứng khoán của VNDIRECT tại HNX.

Song song đó, Tổng Công ty cổ phần Bảo hiểm Bưu điện (HNX:PTI) cho biết hệ thống Công ty cũng bị tấn công. Được biết, VNDIRECT và PTI là hai doanh nghiệp liên quan doanh nhân Phạm Minh Hương. Bà Hương đồng thời là Chủ tịch HĐQT của PTI và VND. Mặt khác, website của CTCP Tập đoàn Đầu tư I.P.A (HNX: IPA) cũng không truy cập được do lỗi kết nối, bà Phạm Minh Hương là Thành viên HĐQT của IPA.

Trước diễn biến này, nhiều nhà đầu tư chứng khoán tỏ ra lo lắng. Chị T.L – một nhà đầu tư cá nhân lâu năm chia sẻ: “Tôi rất sốt ruột, lo lắng. Từ sáng tới giờ tôi vẫn chưa thể vào app, trong khi giai đoạn này thị trường đang có hiệu suất khá tốt. Sắp tới, theo dự kiến khi hệ thống KRX đi vào hoạt động mà xảy ra tình trạng này tiếp, tôi cảm giác rất bất an. Chưa kể việc bị tấn công này có thể thông tin tài khoản của tôi cũng khách hàng nhỏ lẻ cũng có thể bị lộ”.

Làm thế nào phòng ngừa và khắc phục?

Vấn đề là thông tin khách hàng sẽ bị lộ. Nguyên tắc tối thiểu là công ty chứng khoán phải có dữ liệu dự phòng (backup data), nhằm phòng ngừa những trường hợp bị tấn công như thế này, thông tin khách hàng vẫn được lưu trữ.

Tại Điều 20 Thông tư 121/2020/TT-BTC quy định về hoạt động của công ty chứng khoán, khi cung cấp dịch vụ giao dịch trực tuyến, Công ty chứng khoán có nghĩa vụ đảm bảo an ninh, an toàn, bảo mật dữ liệu của hệ thống; có hệ thống dự phòng, phương án thay thế trong trường hợp xảy ra sự cố.

Trong trường hợp, nếu CTCK bị tấn công cả hệ thống dự phòng mới là điều rất nguy hiểm, còn nếu chỉ bị tấn công website thì thông tin khách hàng chắc chắn sẽ bị lộ. Đây là những thông tin cá nhân, nếu như bị lộ thì khách hàng cũng sẽ bị thiệt hại.

Đương nhiên, việc bị tấn công tài khoản này, VNDIRECT sẽ bị thiệt hại nhiều nhất vì một lượng khách hàng sẽ chuyển sang các công ty khác.

Các CTCK phải có hệ thống dự phòng, lúc nào cũng phải chạy song song 2 hệ thống nhằm đảm bảo tính liên tục của hoạt động kinh doanh trong bất kỳ tình huống nào xảy ra. Khi hệ thống này bị tấn công, sẽ dùng hệ thống dự phòng để đảm bảo tính liên tục của hệ thống.

Trường hợp VNDIRECT, khi bị ngắt quãng, chắc chắn khách hàng sẽ bị thiệt hại và ngay chính CTCK đó cũng bị thiệt hại.

Và đây cũng không phải lần đầu hệ thống của VNDIRECT bị tấn công và sau các lần bị tấn công VNDIRECT vẫn không có phương án dự phòng nhằm đảm bảo tính an toàn và tính liên tục của hệ thống. Quan trọng nhất là phải đảm bảo và tăng cường tính bảo mật sau mỗi lần bị tấn công hệ thống.

Việc gần đây có nhiều website và hệ thống của các tài chính bị tấn công, ông Huân cho rằng vấn đề bảo mật của các công ty chưa được quan tâm đúng đắn, đặc biệt là các công ty về tài chính. Hacker nhìn ra được các công ty tài chính Việt Nam đang có lỗ hổng bảo mật lớn như vậy nên họ sẽ tấn công. Có thể họ chiếm quyền kiểm soát toàn bộ tài nguyên của công ty đó nhằm đòi tiền chuộc. Đây là một trong những hình thức tin tặc tấn công nhằm tống tiền.

Có thể thấy, sau những vụ việc này, các công ty tài chính cần tập trung hơn vào việc bảo mật. Các ngân hàng thì tính bảo mật cao hơn, nhưng cũng không có nghĩa là không thể bị tấn công. Do đó, các ngân hàng cũng phải kiểm tra lại hệ thống core banking đã đủ bộ bảo mật chưa. Vì hiện nay, với sự trợ giúp của trí tuệ nhân tạo, việc tìm ra lỗ hổng bảo mật của một website sẽ nhanh và dễ dàng hơn trước đây.

Khi công nghệ phát triển, các công ty cũng phải tăng cường tính bảo mật theo công nghệ mới, nếu không sẽ ảnh hưởng đến cả hệ thống.

Làm thế nào đảm bảo quyền lợi nhà đầu tư?

Trong trường hợp này ai sẽ chịu trách nhiệm khi quyền lợi của nhà đầu tư bị thiệt hại? Ông Huân cho rằng chắc chắn là từ phía CTCK, thế nhưng khó có thể xác minh và căn cứ để CTCK phải bồi hoàn cho khoản đầu tư đó.

Với nhà đầu tư chứng khoán, ông Huân có lời khuyên không nên để quá nhiều tiền trong tài khoản chứng khoán nhằm đảm bảo an toàn, khi có nhu cầu giao dịch mới chuyển từ tài khoản ngân hàng sang tài khoản chứng khoán giao dịch.

Một vấn đề nữa là việc không tách bạch tài khoản của công ty và tài khoản của nhà đầu tư. Khi có yêu cầu nộp tiền, nhà đầu tư nộp tiền vào CTCK. Theo quy định, nhà đầu tư nộp tiền vào tài khoản ngân hàng theo chỉ định của CTCK, tài khoản chuyên dụng để giao dịch chứng khoán. Việc không tách bạch này có thể gây rủi ro chiếm dụng vốn tài khoản của nhà đầu tư.

Ví như trường hợp này, khi CTCK đang nắm giữ tiền của nhà đầu tư và bị tấn công mất hết tiền trong tài khoản, điều gì sẽ xảy ra?