Nguy hiểm lỗ hổng an ninh mạng của DN chứng khoán

Chứng khoán ngày càng hấp dẫn đối với tội phạm công nghệ cao. Tuy nhiên, các công ty chứng khoán hết sức thờ ơ trong việc bảo mật. Theo thống kê của Trung tâm An ninh mạng (BKIS) hơn 40% website các công ty chứng khoán có lỗ hổng.

Hiểm hoạ hacker chực chờ

Theo kết quả đợt khảo sát mới nhất của Trung tâm An ninh mạng, Đại học Bách khoa Hà Nội (Bkis), Chỉ riêng trong năm 2007, đã có 342 website của Việt Nam bị hack bởi các hacker trong nước và nước ngoài, có những website đã bị hack tới hai lần. Hiện nay, cả nước có gần 150 trang web về chứng khoán đang hoạt động, tuy nhiên trong đó có tới 40% web có lỗi và hacker có thể đăng nhập hệ thống quản trị trang web dễ dàng.

Cách đây khoảng một tháng, trang web của một Công ty phân đạm và hóa chất dầu khí đã bị hacker tấn công và xóa sạch các dữ liệu về tình hình sản xuất, kinh doanh, diễn biến giá cả chứng khoán... Đồng thời để lại dòng chữ "Bị phá sản". "Chúng tôi phải mất vài ngày mới có thể khắc phục sự cố. Hacker tấn công trang web của chúng tôi, xóa dữ liệu, gây khó khăn trong việc truy cập thông tin cho khách hàng và ảnh hưởng đến uy tín của công ty", nhân viên phụ trách bảo mật của công ty này cho biết.

Trong một cuộc trò chuyện, một hacker mũ trắng đã cho chúng tôi tham khảo hàng loạt trang web bị lỗ hổng, trong đó có một số trang web ngân hàng, chứng khoán. Dĩ nhiên là sau khi chỉ các lỗi, hacker này sẽ nhanh chóng cảnh báo cho các đơn vị kia để sửa chữa, nhưng với các lỗi chưa phát hiện và sự bảo mật quá kém như vậy khiến chúng tôi hết sức e ngại.

Theo Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo Quản trị An ninh mạng Athena, các website chứng khoán và các trang web hiện nay thường bị mắc các lỗi như cho phép upload file bằng các công cụ quản lý website, các lỗi SQL injection... Những lỗi này có thể giúp hacker dễ dàng upload lên website những đoạn mã độc nhằm mục đích chiếm quyền điều khiển website và qua đó làm thay đổi nội dung thông tin.

Còn hãng bảo mật McAfee, BitDefender cũng cảnh báo về sự liên kết hacker và một số đối tượng chơi chứng khoán trục lợi bằng cách thay đổi thông tin kết quả giao dịch, đưa thông tin thất thiệt về thị trường.

Doanh nghiệp có thể khống chế hacker

Có khá nhiều mục đích để hacker chi phối chứng khoán, chủ đích đầu tiên là sự cạnh tranh không lành mạnh giữa các công ty chứng khoán, mà Hacker là một nhân tố bên trong. Đáng lo ngại hơn là hacker bắt tay với người chơi chứng khoán để chi phối. Thử nghĩ, nếu có một cá nhân hay tổ chức nào đó kết hợp với hacker trục lợi từ việc nắm bắt thông tin mua bán của các nhà đầu tư, thay đổi kết quả giao dịch, phát lệnh mua bán giả... Hay cao tay hơn thì cài cửa sau (backdoor) vào các hệ thống để chờ lúc các công ty chứng khoán được nhập lệnh trực tiếp lên sàn thì không thể lường trước hậu quả.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo Quản trị An ninh mạng Athena cho biết, các lỗi trên trang web họ mắc phải hoàn toàn có thể khắc phục được. Đối với các ngành nghề như ngân hàng, chứng khoán hệ thống website là công cụ kinh doanh chủ lực, quyết định tính cạnh tranh.

Để ngăn chặn sự phá hoại của hacker, trước tiên các nhà quản lý cần phải trang bị tốt các thiết bị bảo mật, còn phải có chính sách đào tạo an toàn thông tin thường xuyên cho nhân viên nhằm nâng cao trình độ, đề cao cảnh giác để phát hiện sớm các cuộc tấn công có thể xảy ra. Một giải pháp nữa là các công ty chứng khoán, ngân hàng nên ký kết với các đơn vị thứ ba chuyên về an ninh mạng để các đơn vị này sẽ chịu trách nhiệm kiểm tra độ an toàn thường xuyên cho hệ thống website.

Một cán bộ công an phòng chống tội phạm công nghệ cao có lời khuyên, để tránh thiệt hại, các doanh nghiệp hạn chế giấu thông tin và nên báo ngay các cơ quan chức năng. Hiện nay các doanh nghiệp vẫn còn tâm lý lo ngại là khi bị tấn công thì giấu giếm vì sợ bị trả thù, hoặc không muốn làm lớn chuyện nên trở thành điểm yếu để hacker lợi dụng. Bên cạnh đó là các doanh nghiệp nên có cách tự bảo vệ mình trước tiên.

Theo các chuyên gia công nghệ thông tin, thiệt hại trực tiếp và gián tiếp của xã hội do tin tặc và tội phạm CNTT gây ra hàng năm lên tới hàng trăm tỷ đồng. Đặc biệt, tỷ lệ những cuộc tấn công nhằm mục đích kiếm tiền trong năm 2007 cao hơn hẳn so với một vài năm trước. Nhiều hệ thống máy tính tại Việt Nam bị hacker lợi dụng làm bàn đạp tấn công, phạm tội trên Internet. Đây là vấn đề nhức nhối, tiềm ẩn nhiều nguy cơ cho việc đảm bảo phát triển ứng dụng CNTT nhanh và bền vững ở nước ta.

Hiện Bộ TT-TT đang gấp rút hoàn thiện các quy định hành lang pháp lý và cơ quan đảm bảo an toàn an ninh mạng. Năm 2008 sẽ ban hành Nghị định chống thư rác, một số tiêu chuẩn và quy phạm kỹ thuật về an toàn thông tin. Bộ TT-TT đang nghiên cứu xây dựng chiến lược an toàn thông tin quốc gia, xây dựng và triển khai đề án thành lập Cục An toàn Thông tin, đề án về chống tin tặc với nội dung trang bị và phối hợp hoạt động Trung tâm Kỹ thuật An toàn mạng quốc gia (Bộ TT-TT), Trung tâm chống tội phạm công nghệ cao (Bộ Công an) và Trung tâm CERT (Bộ Quốc phòng). Các hoạt động phối hợp trong lĩnh vực chống tội phạm CNTT sẽ được chú trọng đẩy mạnh hơn so với các năm trước đây.