Nhà đầu tư lo lắng
Ông Nguyễn Vũ Long, Tổng Giám đốc VNDirect cho biết, hệ thống công ty đã bị tấn công và mã hóa toàn bộ dữ liệu bởi một tổ chức chuyên nghiệp. Ngay khi phát hiện sự cố, công ty đã nhận được sự hỗ trợ từ nhiều chuyên gia để tìm giải pháp khắc phục. Tất cả tài sản của khách hàng tại VNDirect hoàn toàn không bị ảnh hưởng bởi sự cố xâm nhập này. Mặc dù đây là hình thức tấn công phổ biến nhưng tương đối phức tạp và cần thời gian để khắc phục.
VNDirect cho biết, đã khôi phục được hệ thống và đang tiến hành rà soát, đánh giá để bảo đảm tuyệt đối về an toàn, an ninh cho khách hàng. Công ty sẽ triển khai lộ trình mở lại hệ thống theo bốn giai đoạn. Cụ thể, giai đoạn 1 - Hệ thống tra cứu được trạng thái và thông tin tài khoản của khách hàng trên My Account. Giai đoạn 2 - Mở lại hệ thống giao dịch tiền, giao dịch chứng khoán cơ sở và phái sinh trên cơ sở thông sàn với Sở giao dịch. Giai đoạn 3 - Các sản phẩm tài chính khác đi vào hoạt động trở lại. Giai đoạn 4 - Toàn bộ các tính năng khác. Hiện tại VNDirect đã hoàn thành giai đoạn 1. Nhà đầu tư đã có thể tra cứu số dư trên hệ thống My Account. Mốc thời gian đưa hệ thống vận hành trở lại sẽ được thông báo sau.
Ba phiên trôi qua vẫn chưa biết ngày nào mới giao dịch được trở lại, nhiều khách hàng của VNDirect như ngồi trên đống lửa. Anh Nguyễn Tuấn Tú (Hà Nội) đặt ra nhiều tình huống: Khi không thể giao dịch, chúng tôi bị thiệt hại cả về cơ hội và thời gian. Nếu thị trường giảm mạnh, muốn bán mà không bán được, lợi nhuận sẽ bị ảnh hưởng. Trong tình huống cổ phiếu rơi về điểm mua, nhà đầu tư không thể mua thêm, thiệt hại này được tính ra sao?
Trong khi đó, chị Bích Ngọc (Quảng Ninh) - một nhà đầu tư cá nhân lâu năm chia sẻ: Mấy ngày nay không thể vào app, tôi cảm giác rất bất an. Dù tài sản vẫn được cam kết bảo đảm an toàn nhưng việc bị tấn công có thể khiến thông tin tài khoản của tôi cùng các khách hàng nhỏ lẻ khác bị lộ.
Sự cố của VNDirect khiến nhà đầu tư cá nhân không thể chốt lời cắt lỗ, tâm lý không thoải mái tuy nhiên thiệt hại ra sao vẫn còn là vấn đề bỏ ngỏ! Luật sư Trương Thanh Đức, Chủ tịch Hội đồng thành viên Công ty Luật Basico cho biết: Rất khó để xem xét trách nhiệm, nhất là trách nhiệm bồi thường vì có hay không có giao dịch cũng không dễ dàng chứng minh được thiệt hại bao nhiêu, như thế nào? Từ trước đến nay, đã từng xảy ra nhiều vụ việc như thế này nhưng pháp luật chưa có quy định cụ thể, rõ ràng về trách nhiệm.
Nguy cơ mất an toàn hệ thống
Từ sự cố nghiêm trọng của VNDirect, ông Huỳnh Minh Tuấn, Chủ tịch HĐQT Công ty CP FIDT cho rằng: Khi quy mô thị trường lớn lên, khi câu chuyện bảo mật của các công ty đang càng ngày càng trọng yếu thì không chỉ VNDirect mà có thể toàn bộ các thành viên đang giao dịch trên thị trường chứng khoán phải chú ý đến điều này. Ủy ban Chứng khoán cũng như các sở giao dịch thành viên sẽ phải siết chặt hơn nữa vấn đề này trong tương lai gần. Qua sự việc này, tất cả các thành viên phải nâng cao bảo mật để tránh một “sự cố VND” thứ hai.
Chứng khoán VNDirect nằm trong tốp 3 công ty có thị phần môi giới lớn nhất thị trường, sở hữu lượng khách hàng đông đảo cả tổ chức và cá nhân. Đây không phải lần đầu hệ thống giao dịch gặp sự cố. Lần gần nhất vào đầu tháng 4/2022, hàng loạt nhà đầu tư chứng khoán bất ngờ phản ánh không thể truy cập website, bảng giá của VNDirect...
Không riêng tại VNDirect, công ty nắm thị phần môi giới lớn nhất thị trường là Chứng khoán VPS cũng từng gặp sự cố nghiêm trọng khi từ ngày 23 đến 29/7/2020 hệ thống bị từ chối dịch vụ. Cũng thuộc tốp đầu, Chứng khoán SSI trong ngày 7/7/2021 từng ghi nhận lỗi hệ thống khiến các nhà đầu tư không thể đăng nhập tài khoản. Cùng trong phiên này, các công ty chứng khoán khác như VNDirect, FPTS, VPS cũng cho biết, gặp khó khăn trong việc đăng nhập. Sự cố hy hữu cũng từng xảy ra vào phiên 22/1/2018 trên sàn HoSE khi hệ thống giao dịch không thể khớp lệnh xác định giá đóng cửa (ATC).
Ủy ban Chứng khoán Nhà nước đã ra văn bản yêu cầu các công ty kiểm tra các quy trình giao dịch trực tuyến, quy trình kiểm soát rủi ro, quy trình sao lưu dự phòng hệ thống, dữ liệu, quy trình quản trị vận hành các hệ thống công nghệ thông tin, xây dựng các biện pháp ứng phó và khắc phục các rủi ro về an toàn bảo mật. Trong trường hợp phát hiện các dấu hiệu mất an toàn bảo mật phải chủ động, tập trung nguồn lực để xử lý, khắc phục, kịp thời báo cáo Ủy ban Chứng khoán, các sở giao dịch, Tổng công ty Lưu ký và Bù trừ chứng khoán Việt Nam và các cơ quan chức năng để phối hợp, chỉ đạo. Ủy ban Chứng khoán cũng lưu ý các công ty chứng khoán phải bảo đảm hệ thống công nghệ thông tin, cơ sở dữ liệu dự phòng hoạt động an toàn và liên tục theo quy định của Luật Chứng khoán.
Liên quan tới vụ tấn công hệ thống của chứng khoán VNDirect, một chuyên gia trong lĩnh vực công nghệ thông tin cho biết: “Rất có khả năng VNDirect bị tấn công bằng hình thức ransomware. Đây là loại phần mềm độc hại. Khi đã xâm nhập vào hệ thống máy tính nạn nhân, nó khóa tất cả các tệp mà nó có thể truy cập bằng thuật toán mã hóa mạnh. Cuối cùng phần mềm yêu cầu trả tiền chuộc (thường là bằng bitcoin) để giải mã các tệp và khôi phục hoạt động cho hệ thống”.
Nhiều chuyên gia cho rằng, không chỉ các công ty chứng khoán mà các công ty tài chính, trong đó có cả ngân hàng cần tập trung hơn vào việc bảo mật. Với sự trợ giúp của trí tuệ nhân tạo, việc tìm ra lỗ hổng bảo mật của một website sẽ nhanh và dễ dàng hơn trước đây. Khi công nghệ phát triển, các công ty cũng phải tăng cường tính bảo mật theo công nghệ mới, nếu không sẽ ảnh hưởng đến cả hệ thống.