Tấn công mạng ngày càng tinh vi, sẽ tăng phạt doanh nghiệp thiếu an toàn
Thông tin trên được các chuyên gia về an ninh mạng nhắc đến tại tọa đàm 'Bảo mật thông tin trong lĩnh vực chứng khoán' sáng 9/4.
Theo ông Lê Công Phú, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Vncert) - Bộ Thông tin và Truyền thông, Việt Nam hiện có Nghị định 15 quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử (ban hành ngày 3/2/2020) với chế tài rõ ràng.
"Mức phạt đang khá nhẹ nhàng. Sắp tới chúng tôi sẽ tăng nặng mức phạt, yêu cầu doanh nghiệp phải đảm bảo an toàn thông tin mạng. Khi có sự cố xảy ra, số tiền phạt có thể ít nhưng danh tiếng, uy tín của doanh nghiệp bị ảnh hưởng rất lớn", ông Phú nói.
Ông Lê Công Phú, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (Vncert), Bộ Thông tin và Truyền thông.
Ông Phú cho rằng, hiện nay, các công ty chứng khoán chưa thực sự quan tâm đến an toàn thông tin. Sau vụ việc VNDirect bị tấn công, quay lại nhìn mới thấy hệ thống công nghệ thông tin vẫn còn rối, doanh nghiệp không biết gỡ chỗ nào, chưa thực hiện đánh giá an toàn thông tin, chưa rà soát mã độc.
"Tôi cho rằng, mức độ an toàn phải được tăng lên 2 - 3 lần, làm đến đâu siết chặt đến đấy", ông Phú nêu quan điểm.
Ông Phú cũng thông tin, Công điện 33 được Thủ tướng ký hôm 7/4 đã nhấn mạnh việc cá nhân, tổ chức sẽ phải chịu trách nhiệm trước Thủ tướng và pháp luật nếu không đảm bảo an toàn thông tin theo cấp độ.
"Chúng tôi yêu cầu các công ty chứng khoán phải có báo cáo liên quan đến tình hình triển khai đảm bảo an toàn thông tin theo cấp độ và đảm bảo an toàn thông tin theo mô hình 4 lớp: lực lượng bảo vệ tài chỗ, được kiểm tra đánh giá bởi tổ chức chuyên nghiệp, được giám sát bởi tổ chức chuyên nghiệp và cuối cùng là kết nối tới Trung tâm Giám sát An toàn Không gian mạng quốc gia", ông Phú nhấn mạnh.
Theo ông Phú, hiện nay cơ quan chức năng chưa có khảo sát cụ thể với các công ty chứng khoán về khả năng phòng chống tấn công mạng. Ngoài ra, việc đầu tư nguồn nhân lực an toàn thông tin của Việt Nam cũng chưa tương xứng.
"Trong năm 2023, chúng tôi cũng có nhiều chương trình đào tạo. Dù vậy, nguồn nhân lực đảm bảo an toàn thông tin thì thiếu rất nhiều. Năng lực đội ngũ chuyên trách ở các cơ quan Nhà nước, bộ, ngành thì chưa đủ đáp ứng, chưa có đội xử lý sự cố tinh nhuệ, hiệu quả", ông Phú nói.
Thủ tướng đã ký ban hành Nghị định yêu cầu mỗi cơ quan nên có đội ứng cứu sự cố, tối thiểu là các chuyên gia. Như thế thì năng lực phát hiện và bảo vệ hệ thống mới cải thiện. Nhưng trên thực tế "có thể ví chúng ta có một hạm đội tàu ngầm hiện đại, song không có đội ngũ thủy thủ vận hành hiệu quả. Hệ thống công nghệ thông tin cũng vậy, chúng ta có giải pháp an toàn bảo mật nhiều, nhưng không có kỹ sư lành nghề thì dễ gặp rủi ro hơn.
Các hệ thống tường lửa, phòng chấm xâm nhập đều có những lỗ hổng, song việc đào tạo nhân lực không thể nhanh và đây là câu chuyện chúng tôi rất đau đáu. Hiện tại, các doanh nghiệp thay vì tuyển và giữ chân đội ngũ nhân sự tốt thì có thể thuê dịch vụ. Dù vậy, điều này chỉ giải quyết mức độ nào đó", ông Phú nêu thực trạng.
Đồng tình với ý kiến này, ông Trần Minh Quân, chuyên gia cao cấp của PwC Việt Nam nhận định, mức xử phạt không quá 100 triệu đồng là khá nhẹ so với thiệt hại của chính doanh nghiệp và khách hàng. Do đó cần phải điều chỉnh tăng lên.
Tại tọa đàm, các chuyên gia cho biết, tấn công mạng không phải gần đây mới xảy ra mà đã diễn ra nhiều vụ việc trước đó nhưng tới vụ việc của VnDirect mới thực sự được chú ý do tầm ảnh hưởng tới thị trường lớn, số lượng nhà đầu tư bị ảnh hưởng nhiều.
Hiện tấn công mạng cũng có sự thay đổi về phương thức. Hiện nay, tấn công mạng trở thành lĩnh vực thu được rất nhiều lợi nhuận.
Tại Việt Nam, riêng trong tháng 3, có hơn 11.000 báo cáo vụ lừa đảo, nhiều hơn so với tháng 1 và 2 đến vài nghìn vụ. Tổng trong quý I thì có tới 29.000 báo cáo lừa đảo.
