Tội phạm mạng luôn nhắm đến hệ thống dữ liệu của các công ty chứng khoán để đánh cắp thông tin người dùng

“Mỏ vàng” của tội phạm mạng

Theo Tổng công ty Lưu ký và Bù trừ chứng khoán Việt Nam (VSDC), đến hết tháng 9/2025, Việt Nam có hơn 11 triệu tài khoản giao dịch chứng khoán của nhà đầu tư cá nhân và tổ chức. Báo cáo mới nhất của Công ty An ninh mạng Viettel (VCS) cho thấy, ngành tài chính, bao gồm chứng khoán, bảo hiểm và ngân hàng, đứng đầu về số lượng các cuộc tấn công lừa đảo, giả mạo, chiếm tới 41,18% tổng số vụ việc. Số tài khoản Việt Nam bị lộ, lọt chiếm 1,7% tổng lượng tài khoản rò rỉ toàn cầu, tương đương gần 8,5 triệu tài khoản.

“Dữ liệu là một tài sản, một tài nguyên chiến lược, nhưng lại có thể nhân bản, vì thế càng khó bảo vệ hơn các loại tài sản khác. Rủi ro lộ, lọt luôn ở mức cao. Thống kê cho thấy, hơn 40% vụ rò rỉ dữ liệu đến từ bên thứ ba, 11% đến từ bên thứ tư, nên việc liên thông, kết nối dữ liệu cũng tiềm ẩn nhiều thách thức. Ngoài ra, nhiều tổ chức tài chính sử dụng dữ liệu cá nhân và công nghệ AI để nâng cao trải nghiệm khách hàng, nhưng nếu không kiểm soát tốt, đây lại trở thành mục tiêu để tin tặc tấn công, chiếm đoạt dữ liệu từ AI”, ông Lê Quang Hà, Phó giám đốc Công ty An ninh mạng Viettel cho biết.

Thị trường chứng khoán Việt Nam đang trên đà phát triển mạnh mẽ, đặc biệt khi chính thức được nâng hạng vào tháng 1/2026, dự kiến thu hút dòng vốn khổng lồ từ nước ngoài cùng lượng lớn nhà đầu tư mới. Đây cũng là giai đoạn mà tội phạm mạng có thể lợi dụng để tấn công vào thị trường chứa lượng dữ liệu nhạy cảm bậc nhất này.

Trong 9 tháng đầu năm 2025, hệ thống giám sát an toàn thông tin trên không gian mạng ghi nhận 412 vụ lộ, lọt và rao bán thông tin tại Việt Nam, với 3,4 tỷ dữ liệu bị phát hiện rò rỉ. Số tiền tin tặc đòi chuộc gần 1 triệu USD, tăng 4 lần so với cùng kỳ năm 2024.

(Nguồn: Công ty An ninh mạng Viettel)

Đại tá, TS. Nguyễn Hồng Quân, Giám đốc Trung tâm Huấn luyện (Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao - A05, Bộ Công an) cho biết, trong lĩnh vực chứng khoán, dữ liệu tài chính là dạng dữ liệu nhạy cảm nhất, từ giao dịch, biến động đến tăng trưởng tài sản. Nếu không được bảo vệ, dữ liệu cá nhân sẽ trở thành “mỏ vàng” cho tội phạm mạng, kéo theo nguy cơ bị khai thác, xâm phạm đời tư và tài sản.

“Ngành chứng khoán là một ngành kinh doanh đặc biệt, nên yêu cầu bảo vệ dữ liệu cá nhân ở đây không chỉ cần thiết, mà là bắt buộc”, ông Quân nhấn mạnh.

Theo ông Võ Anh Trung, Trưởng ban Công nghệ và Chuyển đổi số (Ủy ban Chứng khoán nhà nước), điểm yếu đáng lo ngại nhất trong quản trị dữ liệu niêm yết, giao dịch và công bố thông tin hiện nay chính là tình trạng lộ, lọt dữ liệu. Các biện pháp tấn công mạng ngày càng tinh vi, phức tạp, đến từ cả bên thứ ba có liên kết, sử dụng trí tuệ nhân tạo (AI) hoặc thậm chí từ chính nội bộ tổ chức.

“Các đối tượng tấn công không chỉ nhắm vào hệ thống giao dịch, mà còn cả dữ liệu cá nhân, dữ liệu giao dịch của nhà đầu tư, gây thiệt hại nghiêm trọng về tài chính và niềm tin. Ngoài ra, còn tồn tại nhiều khó khăn như công nghệ chưa được cập nhật thường xuyên, thiếu nhân lực chất lượng cao, lỗ hổng từ bên thứ ba và hạn chế trong khả năng ứng phó khi xảy ra sự cố”, ông Trung chia sẻ.

Xây dựng “lá chắn số” bảo vệ dữ liệu chứng khoán

Một trong những hạn chế hiện nay là nhiều công ty chứng khoán chưa quan tâm đúng mức đến an toàn thông tin, dẫn tới việc chưa đầu tư đầy đủ hệ thống bảo mật để đáp ứng yêu cầu kỹ thuật và quy định pháp luật, đặc biệt là nhóm doanh nghiệp có quy mô nhỏ.

Ông Vũ Ngọc Sơn, Giám đốc công nghệ Công ty An ninh mạng NCS cho rằng, có nhiều nguyên nhân dẫn tới tình trạng bị tấn công và đánh cắp dữ liệu, như lỗ hổng kỹ thuật (chậm vá lỗi, thiếu giám sát), yếu tố con người, chuỗi cung ứng phức tạp phụ thuộc bên thứ ba, khác biệt pháp lý và quy định quốc tế, đặc biệt là thiếu đầu tư cho an ninh mạng.

Giải pháp, theo ông Sơn là cập nhật và vá lỗi phần mềm thường xuyên; áp dụng xác thực đa yếu tố (MFA); xây dựng hệ thống giám sát giao dịch bất thường bằng AI để kiểm soát rủi ro; thực hiện kiểm toán và đánh giá bảo mật định kỳ đối với đối tác, bên thứ ba; đào tạo nhân viên nâng cao nhận thức về an ninh mạng.

Về phía cơ quan quản lý, cần sớm hoàn thiện khung pháp lý chặt chẽ về bảo vệ dữ liệu cá nhân, tăng cường hợp tác quốc tế trong chia sẻ thông tin tình báo mạng và thiết lập cơ chế ứng cứu khẩn cấp xuyên biên giới khi xảy ra sự cố.

Còn theo ông Võ Anh Trung, để bảo vệ nhà đầu tư và duy trì niềm tin vào thị trường, Ủy ban Chứng khoán Nhà nước đang hoàn thiện thể chế, ban hành các quy định, tiêu chuẩn về giao dịch điện tử; yêu cầu các thành viên thị trường tuân thủ nghiêm ngặt tiêu chuẩn an toàn thông tin, kiểm tra định kỳ và kịp thời vá lỗ hổng bảo mật. Song song đó, cơ quan này cũng tổ chức đào tạo, hội thảo chuyên sâu nhằm nâng cao năng lực cho đội ngũ kỹ thuật, đồng thời triển khai Hệ thống Giám sát an ninh tập trung (SOC).

Tương tự, ông Ngô Tuấn Anh, Trưởng ban An ninh dữ liệu (Hiệp hội An ninh mạng Quốc gia) chia sẻ, thời gian qua đã xảy ra nhiều vụ việc nghiêm trọng liên quan đến rò rỉ dữ liệu của các tổ chức lớn. Tới đây, các cơ quan quản lý sẽ không còn “nương tay” trong việc kiểm tra tuân thủ an toàn thông tin. Doanh nghiệp không được “nợ” quy định an toàn thông tin; nếu để xảy ra sự cố, người đứng đầu phải chịu trách nhiệm trực tiếp.

Ông Tuấn Anh dẫn Thông báo số 552/TB-VPCP, ngày 13/10 vừa qua của Văn phòng Chính phủ, kết luận Phiên họp lần thứ tư của Ban Chỉ đạo Chính phủ về phát triển khoa học, công nghệ, đổi mới sáng tạo, chuyển đổi số và Đề án 06, trong đó nhấn mạnh yêu cầu các dự án công nghệ thông tin phải dành tối thiểu 15% tổng kinh phí cho an toàn, an ninh mạng.

“Điều đó có nghĩa, đảm bảo an toàn thông tin không còn là lựa chọn, mà là nghĩa vụ pháp lý bắt buộc đối với các doanh nghiệp”, ông Tuấn Anh khẳng định.