Việc VNDirect bị tấn công gióng lên hồi chuông về an toàn trong hệ thống giao dịch tại các công ty chứng khoán.

Sự cố bị tấn công hệ thống của VNDirect đã kéo dài sang ngày thứ năm (24 - 28/3), ảnh hưởng không hề nhỏ khi ảnh hưởng đến hoạt động của công ty và giao dịch của hàng trăm nghìn tài khoản được mở tại đây. Chia sẻ tại chương trình Khớp lệnh sáng 26/3 của VTVMoney, Tổng Giám đốc VNDirect Nguyễn Vũ Long cho biết công ty đang khắc phục hệ thống.

Theo một số chuyên gia, khi sự cố xảy ra, rất khó để tính toán thiệt hại của nhà đầu tư đối với chứng khoán cơ sở, để có thể đền bù (nếu có) cho nhà đầu tư. Mặt khác, trên thị trường phái sinh, nhà đầu tư thường giao dịch chỉ tính bằng ngày, giờ thậm chí bằng phút.

Việc VNDirect bị tấn công gióng lên hồi chuông về an toàn trong hệ thống giao dịch. Ngày ngày 25/3, Sở Giao dịch Chứng khoán TP HCM (HOSE) và Sở Giao dịch Chứng khoán Hà Nội (HNX) cũng đã tạm thời ngắt kết nối giao dịch với VNDirect. Ủy ban Chứng khoán Nhà nước cũng vừa phát đi công văn cảnh báo bảo mật hệ thống giao dịch chứng khoán trực tuyến đến các công ty chứng khoán (CTCK).

Trong đó, Ủy ban Chứng khoán yêu cầu yêu cầu các CTCK đảm bảo hệ thống công nghệ thông tin (CNTT), cơ sở dữ liệu dự phòng hoạt động an toàn và liên tục theo quy định; chủ động rà soát, kiểm tra ngay các phương án bảo mật cho hệ thống CNTT, đặc biệt là hệ thống giao dịch chứng khoán và các hệ thống có kết nối mạng internet để kịp thời khắc phục các lỗ hổng bảo mật (nếu có).

Các CTCK phải kiểm tra các quy trình giao dịch trực tuyến; quy trình kiểm soát rủi ro; quy trình sao lưu dự phòng hệ thống, dữ liệu; quy trình quản trị vận hành các hệ thống CNTT; xây dựng các biện pháp ứng phó và khắc phục các rủi ro về an toàn bảo mật tiềm ẩn...

Tại chương trình Khớp lệnh sáng 26/3 , ông Vũ Ngọc Sơn, Giám đốc Công nghệ CTCP An ninh mạng quốc gia (NCS) chỉ ra các CTCK, các tổ chức tài chính thường áp dụng nền tảng công nghệ tốt hơn mặt bằng chung. Tuy nhiên, đây thường xuyên là đích nhắm của hacker (tin tặc), do số lượng thông tin khách hàng rất lớn, và bao gồm những tài sản giá trị.

Nếu như các công ty thông thường gặp trường hợp như vậy có thể chấp nhận tự xây dựng lại hệ thống dữ liệu. Tuy nhiên, các công ty tài chính lớn vẫn có trường hợp chấp nhận trả tiền (có thể qua dạng tiền điện tử) cho đối tượng xấu để nhanh chóng lấy lại dữ liệu.

Do đó, vị chuyên gia này mang khuyến nghị các CTCK, tổ chức tài chính cần áp dụng mức cao cấp về an ninh mạng đề phòng vệ. Các hệ thống dự phòng cần được tính theo đơn vị phút, thậm chí giây, nghĩa là rất ngắn để có thể chuyển sang áp dụng trường hợp hệ thống chính bị tấn công.

Về thực trạng đảm bảo an ninh mạng, an toàn hệ thống tại công ty chứng khoán, Chứng khoán SSI (Mã: SSI) từng nhắc đến rủi ro tấn công từ không gian mạng, rủi ro về hạ tầng công nghệ thông tin, rủi ro từ các mối đe dọa an ninh mạng từ nội bộ tại báo cáo thường niên 2022.

Trong năm 2022, hệ thống thông tin của SSI đã bắt gặp nhiều cuộc tấn công mạng, bao gồm cuộc tấn công từ chối dịch vụ DDoS liên tục 12 ngày (không có tác động nghiêm trọng đến dịch vụ cung cấp cho khách hàng).

Năm 2023, SSI ghi nhận nguyên giá phần mềm (máy tính) cuối kỳ đạt gần 255 tỷ đồng, hao mòn lũy kế 158 tỷ đồng, giá trị còn lại 97 tỷ đồng. Giá trị còn lại giảm 3% sau 1 năm.

Báo cáo thường niên 2022 của VNDirect (Mã: VND) cho thấy ở khía cạnh công nghệ, trong năm 2022 công ty tập trung hoàn thiện sản phẩm tiện ích, hệ thống hạ tầng phục vụ khách hàng với mức phí cạnh tranh trên thị trường. Về nội bộ, CA Platform được áp dụng thành hệ sinh thái nền tảng cho đội ngũ kinh doanh của VNDirect làm việc. Ngoài ra, công ty còn áp dụng một số nền tảng khác như DGO, Dstock, Stockbook.

Cuối 2022, VNDirect ghi nhận giá trị còn lại của đối với tài sản là phần mềm máy tính số tiền hơn 27 tỷ đồng. Con số này gấp đôi sau 1 năm, lên gần 54 tỷ đồng tại cuối 2023.

Tại báo cáo thường niên 2022, VPS cho biết các dự án về công nghệ và nguồn lực triển khai dự án được đầu tư và nâng cấp thường xuyên. Đến cuối 2023, Chứng khoán VPS ghi nhận nguyên giá phần mềm, công nghệ 355 tỷ đồng, hao mòn lũy kế 209 tỷ đồng, giá trị còn lại gần 146 tỷ đồng. Con số này giảm hơn 13% so với cuối 2022. Tuy vậy, đây đang là CTCK duy nhất có giá trị đầu tư (giá trị còn lại) trên 100 tỷ đồng.

Những cái tên dẫn đầu thị phần như VPS, SSI, VNDirect đang đồng thời chi nhiều tiền nhất vào công nghệ. 

Các đơn vị ngành chứng khoán đang ghi nhận số tiền hàng chục tỷ đồng cuối năm 2023 đối với chương trình, phần mềm máy vi tính kể đến như Chứng khoán MB (Mã: MBS) (44 tỷ đồng), Chứng khoán KIS Việt Nam (31 tỷ đồng), Agriseco (Mã: AGR) (24 tỷ đồng)...

Nhiều doanh nghiệp đầu tư vài chục tỷ đồng vào phát triển phần mềm như Chứng khoán Sài Gòn - Hà Nội (Mã: SHS), Chứng khoán Dầu khí (Mã: PSI), Chứng khoán FPT (FPTS - Mã: FTS)… qua thời gian sử dụng đã khấu hao gần hết. Trong đó, FPTS, thành viên thuộc hệ sinh thái Tập đoàn FPT, đã khấu hao toàn bộ giá trị 16 tỷ đồng trong năm 2023.