GC được thành lập năm 1899, có trụ sở tại bang Tây Australia. Đây là một trong những tập đoàn tinh luyện và xuất khẩu kim loại quý lớn nhất nước này, tinh luyện hơn 70% tổng khối lượng vàng mới khai thác của Australia. GC điều hành Perth Mint - xưởng đúc tiền kim loại quý lâu đời và nổi tiếng nhất tại Australia.
Để hỗ trợ việc mua bán kim loại quý trong nước và trên thị trường quốc tế, GC sử dụng bộ ứng dụng Trade (giao dịch, thương mại). Trong năm 2024 - 2025, các ứng dụng Trade đã hỗ trợ GC thực hiện hơn 73.000 giao dịch kim loại quý với giá trị khoảng 2,2 tỷ USD.
Nhiều lỗ hổng trong hệ thống giao dịch kim loại quý
Theo báo cáo kiểm toán mới nhất, bộ ứng dụng Trade - công cụ giao dịch kim loại quý chủ chốt của GC - vận hành khá hiệu quả nhưng tồn tại những điểm yếu nghiêm trọng trong bảo mật và kiểm soát truy cập. Cụ thể, OAG phát hiện 5 trong số 12 hạng mục kiểm soát của ứng dụng chưa được tăng cường chức năng bảo vệ dữ liệu và kiểm soát truy cập nhằm đảm bảo an toàn thông tin khách hàng và giao dịch. Điều đó gây rủi ro cho tính khả dụng liên tục của hệ thống.
Một trong những thiếu sót đáng lo ngại là GC chưa bắt buộc sử dụng xác thực hai bước khi thực hiện giao dịch, cập nhật thông tin cá nhân hoặc truy cập ứng dụng. Việc chỉ xác thực một lần khiến hệ thống dễ bị xâm nhập hơn, làm tăng nguy cơ xảy ra giao dịch gian lận. Ngoài ra, dữ liệu chưa được mã hóa và bảo mật đúng tiêu chuẩn, tiềm ẩn khả năng thông tin khách hàng bị truy cập hoặc tiết lộ trái phép. Mặc dù đến tháng 11/2024, GC đã giới thiệu quy trình xác thực đa yếu tố cho các ứng dụng trực tuyến, song việc áp dụng vẫn chưa bắt buộc.
OAG cũng chỉ ra rằng GC chưa tuân thủ đầy đủ chính sách quản trị dữ liệu và quy trình xử lý nội bộ, trong khi việc quản lý hợp đồng với nhà cung cấp còn nhiều bất cập. GC không giám sát chặt chẽ hiệu quả hoạt động của nhà cung cấp, đồng thời chưa bảo vệ ứng dụng khỏi các mối đe dọa an ninh mạng. Bên cạnh đó, GC và các nhà cung cấp không thực hiện báo cáo hằng tháng theo yêu cầu hợp đồng, dẫn đến khó khăn trong đánh giá và phát hiện sớm vi phạm.
Đáng chú ý, GC vẫn phụ thuộc vào nhiều quy trình thủ công kém hiệu quả, không giải quyết được nguyên nhân gốc rễ gây ra rủi ro. Trong giai đoạn từ tháng 01/2023 đến tháng 12/2024, đã có hơn 160 giao dịch không thành công do vấn đề về chất lượng dữ liệu. Việc chưa xử lý triệt để các nguyên nhân này khiến lỗi tiếp tục lặp lại, phát sinh thêm chi phí khắc phục.
Hiện đại hóa hệ thống, tăng cường bảo mật
Để đảm bảo tính bảo mật và khả dụng của các ứng dụng Trade, OAG khuyến nghị GC cần cải thiện quy trình xác thực khách hàng, bao gồm triển khai xác thực đa yếu tố; nâng cao quy trình quản lý lỗ hổng để khắc phục điểm yếu theo tiêu chuẩn nội bộ và hướng tới các thông lệ tốt hơn. Bên cạnh đó, GC cần xem xét lại hợp đồng với các nhà cung cấp, đưa ra các thỏa thuận và nghĩa vụ mới để tăng cường bảo mật thông tin, đảm bảo an ninh mạng; đồng thời, đánh giá hiệu quả hoạt động và mức độ tuân thủ hợp đồng của nhà cung cấp.
GC cũng được khuyến nghị tự động hóa các quy trình thủ công hoặc quản lý chúng trong các ứng dụng Trade nhằm đảm bảo tính toàn vẹn thông tin, đồng thời phải xác định rõ và xử lý dứt điểm nguyên nhân gây ra lỗi giữa các ứng dụng Trade và hệ thống tài chính. Ngoài ra, GC cần khẩn trương thu hồi quyền truy cập không cần thiết của nhân viên, triển khai mã hóa dữ liệu và tăng cường bảo vệ cơ sở dữ liệu.
Trước các khuyến nghị của OAG, GC thừa nhận những hạn chế trong hoạt động, đặc biệt là sự phụ thuộc vào các quy trình thủ công. Tập đoàn cho biết đang triển khai lộ trình chiến lược chuyển đổi sang nền tảng ứng dụng hiện đại trong 3 năm tới, nhằm khắc phục triệt để các bất cập hiện nay. Đồng thời, GC đã thực hiện kế hoạch đánh giá nguyên nhân gốc rễ toàn diện đối với các lỗi tích hợp, dự kiến đưa ra giải pháp dài hạn vào tháng 12/2025.
Đại diện GC khẳng định, Tập đoàn hoàn toàn đồng tình với các phát hiện và khuyến nghị của OAG, đồng thời nhấn mạnh cam kết bảo đảm tính bảo mật, toàn vẹn và khả dụng của hệ thống Trade. Nhiều hoạt động khắc phục đã được thực hiện ngay trong quá trình kiểm toán, thể hiện tinh thần chủ động và cầu thị của GC.
Hiện GC đã bắt đầu triển khai nhiều biện pháp nâng cao để xác minh thông tin khách hàng, kiểm toán quyền truy cập người dùng, mã hóa dữ liệu và xử lý các lỗ hổng được phát hiện trong báo cáo kiểm toán.
Bên cạnh đó, GC tiếp tục duy trì các biện pháp kiểm soát chặt chẽ, đồng thời hiện đại hóa cơ sở hạ tầng công nghệ nhằm bảo vệ tốt hơn tính bảo mật, tính toàn vẹn và tính khả dụng của bộ hệ thống Trade- qua đó giữ vững vị thế là tập đoàn tinh luyện và xuất khẩu kim loại quý hàng đầu Australia./.
(Theo audit.wa.gov.au)
.jpg "Tanzania: Kiểm toán hạ tầng - Đòn bẩy cho phát triển bền vững")