Những cảnh báo mà Trung tâm An ninh mạng Đại học Bách khoa Hà Nội (BKIS) vừa đưa ra mới đây cho thấy an ninh chứng khoán và ngân hàng đang là vấn đế cần sự quan tâm đặc biệt.
Chú ý hệ thống bảo mật
Công ty chứng khoán là nơi nhận lệnh, nhập lệnh và chuyển lệnh của các nhà đầu tư. Nếu hệ thống thông tin của các công ty này bị tấn công, đột nhập cơ sở dữ liệu, có thể thay đổi được thông tin của các công ty niêm yết, các nhà đầu tư hay chỉnh sửa nội dung cổng thông tin của công ty chứng khoán để tung ra các tin đồn thất thiệt gây nguy hại đến thị trường.
 |
|
Gửi tiền ngân hàng sẽ trở nên không an toàn nếu hệ thống an ninh, bảo mật mạng không được cải thiện. |
Anh Nguyễn Minh Đức, Trưởng phòng an ninh ứng dụng Trung tâm An ninh mạng BKIS cho rằng, hiện đa số các công ty chứng khoán, các ngân hàng, hay các cơ quan khác trong hệ thống công quyền đều khá coi nhẹ việc bảo mật website của mình. Thậm chí, có nhiều cơ quan còn giữ nếp nghĩ là “nhỡ có hỏng website này, sẽ tạo ra một website khác, chẳng ảnh hưởng là bao”. Suy nghĩ này hoàn toàn sai lầm. Bởi theo anh Đức, thứ nhất website là bộ mặt của một cơ quan, nếu bị hacker chiếm và đưa những thông tin sai lệch sẽ ảnh hưởng nghiêm trọng đến uy tín của cơ quan ấy. Quan trọng hơn là từ việc phát hiện ra lỗ hổng bảo mật, chiếm được máy chủ của website, hacker có thể tìm được phương thức xâm nhập hệ thống máy tính của cơ quan, công ty ấy thông qua mạng nội bộ. Nói một cách hình ảnh, như vậy hacker đã nắm trọn cơ quan, công ty đó trong tay.
Đối với các website của các công ty chứng khoán, khi có lỗ hổng, hacker cũng sẽ không quá khó khăn trong việc xâm nhập vào dữ liệu lệnh giao dịch chứng khoán và kết quả giao dịch. Từ đây, hacker hoàn toàn có thể đặt lệnh giao dịch chứng khoán giả hoặc thay đổi dữ liệu giao dịch gây náo loạn thị trường.
Mới đây, ủy ban chứng khoán Mỹ đã phong tỏa một loạt tài khoản với tổng giá trị lên đến 732.941 USD, được nghi ngờ là bắt nguồn từ những giao dịch phạm pháp của các hacker nước ngoài. Theo đó, hacker đã tấn công vào cơ sở dữ liệu của 7 công ty môi giới chứng khoán trực tuyến. Chúng ăn cắp tên, mật khẩu một số tài khoản chứng khoán, đặt lệnh bán toàn bộ những cổ phiếu blue-chip (cổ phiếu “đại gia”) với giá rất thấp rồi quay ra ngoài sàn, đặt lệnh thật, mua lại toàn bộ số cổ phiếu này. Chưa hết, cũng từ những tài khoản chiếm lĩnh được, chúng đặt lệnh mua vào những cổ phiếu giá rẻ với khối lượng lớn, tạo cầu ảo, định hướng sai lệch thị trường và trục lợi.
Kết quả kiểm tra của BKIS gần đây cho thấy một số website đang hoạt động của các công ty chứng khoán Việt Nam chưa thực sự chú ý hệ thống bảo mật, hacker có thể lợi dụng tấn công chiếm quyền kiểm soát. Cũng theo một báo cáo của BKIS vào đầu năm nay, website của một số ngân hàng và cơ quan thuộc chính phủ bảo mật chưa tốt. Thử nghĩ xem điều gì sẽ xảy ra nếu hacker chiếm được máy chủ của website từ đó sẽ khống chế được hệ thống máy tính của những bộ ngành quan trọng?
Cần chuyên nghiệp từ lập trình đến quản trị
Chính phủ mới đây đã yêu cầu nâng cấp cơ sở hạ tầng cho TTCK - trong đó tất nhiên có cả hạ tầng thông tin. Điều vô cùng cần thiết là phải nâng cấp về bảo mật thông tin.
Anh Nguyễn Minh Đức cho biết, khi phát hiện các lỗ hổng, ngay lập tức BKIS đã gửi công văn cảnh báo và hướng dẫn cách thức xử lý cho những nơi nói trên. Tiếc rằng có tới một nửa trong số này tỏ ra khá thờ ơ trước cảnh báo, không có thay đổi đáng kể. Vậy tại sao vẫn chưa có vụ rút tiền ngân hàng nào được phát giác? Nhiều chuyên gia bảo mật cho rằng có thể các hacker đã rút tiền trong các tài khoản ngân hàng nhưng vì các vụ rút tiền này đều hợp lệ (do chúng chiếm được mật khẩu của khách hàng từ hệ thống máy tính của ngân hàng), theo phương châm “lấy của mỗi người một chút” nên khó bị phát giác. Hoặc có thể người ta đã phát hiện ra nhưng vì một lý do nào đó, thông tin được giữ kín.
Còn nhớ, cuối năm 2006, một số hacker đã bị tóm cổ sau khi đã thực hiện trót lọt nhiều vụ ăn cắp tiền từ các tấm thẻ ATM được làm giả. “Những thông tin để làm giả các thẻ ATM này chắc chắn được lấy từ những lần tấn công máy tính ngân hàng”. Anh Đức nói.
BKIS khuyến cáo các công ty cần phải đưa ngay các yếu tố an ninh vào trong thiết kế của hệ thống mạng, với quy trình vận hành bảo đảm duy trì mức độ bảo vệ đã được thiết lập. “Các lỗ hổng được tạo ra bởi hai nguyên nhân cơ bản là lập trình và quản trị chưa tốt. Ngoài việc người lập trình tạo ra một website với các yếu tố an ninh bảo đảm thì người quản trị phải thường xuyên cập nhật các bản vá cho web server (máy chủ của website), không nên cài nhiều dịch vụ lên máy chủ mà không dùng đến”. Anh Đức nói. Anh và các chuyên gia bảo mật đều có chung lời khuyên, tốt nhất là các cơ quan, công ty nên thuê tư vấn chuyên nghiệp và áp dụng tiêu chuẩn về quản lý an ninh thông tin ISO 27001.
HỒ QUANG PHƯƠNG