Bởi vì, một nửa hệ thống bảo mật thông tin của công ty – là do tôi tự tay thiết kế.

Từ những lối đi ẩn sâu nhất, quy tắc lưu trữ nhật ký, logic giám sát lưu lượng bất thường,

đến cấu trúc lồng ghép của hệ thống phân quyền – chỉ có tôi là người hiểu rõ nhất.

Và chính cái cổng sau cấp siêu quản trị viên được cài giấu trong hệ thống nhân sự – thứ đã gây ra vụ rò rỉ lần này – cũng là…

Do chính giám đốc Triệu Nhất Minh này, ba năm trước, lấy lý do “tạo điều kiện cho lãnh đạo

tập đoàn tra cứu nhanh khi cần”, đã đích thân gửi email yêu cầu tôi thiết lập, bất chấp quy định bảo mật.

Bản email gốc, tôi vẫn giữ cho đến hôm nay.

“Anh Trần: Lãnh đạo tập đoàn đôi khi cần gấp thông tin lương của một số nhân viên để phục vụ ra quyết định, nhưng mỗi lần làm theo quy trình thì quá chậm.

Xin hãy tạo một cổng truy xuất dự phòng trong hệ thống nhân sự. Quyền truy cập chỉ giới hạn trong ba người: tôi, CFO và CEO.

Việc này không cần ghi vào tài liệu chính thức, xử lý theo trường hợp đặc biệt.”

Khi đó, tôi đã phản hồi bằng một bản phân tích rủi ro dài ba trang, liệt kê mười hai lỗ hổng bảo mật có thể xảy ra, đồng thời đưa ra khuyến nghị bằng văn bản:

“Hành động này vi phạm nghiêm trọng nguyên tắc phân quyền tối thiểu và quy định bảo mật dữ liệu. Rất không nên thực hiện.”

Anh ta phê duyệt vỏn vẹn: “Làm theo yêu cầu. Rủi ro trong tầm kiểm soát. Xử lý ngay.”

Giờ thì rủi ro đã tới.

Bằng cách mà anh ta không bao giờ “kiểm soát” nổi.

Và nó đã phát nổ ngay trước mặt từng người trong công ty.

Tôi nhìn anh ta, bất giác nhớ lại cảm giác ba tháng trước – khi nằm trên giường bệnh đọc tin thông báo bị quy kết là “vắng mặt không phép”.

Cảm giác đó: lạnh ngắt, phi lý, như có một bàn tay siết chặt lấy tim.

Giờ thì tới lượt anh rồi, giám đốc Triệu.

07

Căn phòng yên lặng như tờ.

Chỉ còn tiếng thở gấp đầy tuyệt vọng của Triệu Nhất Minh, và âm thanh hỗn loạn lờ mờ từ các phòng ban khác vọng lại.

Tôi ngồi xuống, mở laptop, tiếp tục viết bản báo cáo bảo mật quý.

Ở mục “Tóm tắt rủi ro đã biết”, tôi gõ từng dòng một cách ngay ngắn:

“Vấn đề tồn đọng:

Hệ thống nhân sự tồn tại giao diện truy xuất không chính thức (tạo từ tháng 11/2024, lý do tạo: nhu cầu đặc biệt từ lãnh đạo), có quyền truy cập quá rộng và không có nhật ký giám sát, là mối đe dọa rò rỉ dữ liệu kéo dài.

Một số vị trí quản lý có thói quen xử lý đặc cách, lách quy trình bảo mật, tạo thành các ‘cổng sau đặc quyền’.

Cơ chế thu hồi quyền hạn thực hiện không nghiêm, việc tạm ngưng quyền của nhân sự bị xử lý vi phạm có độ trễ.”

Ở mục “Kiến nghị”, tôi ghi:

“1. Xóa bỏ toàn bộ giao diện không chính thức, quy trách nhiệm cụ thể.

2. Tăng cường kỷ luật quy trình, chấm dứt các trường hợp ngoại lệ.

3. Kiến nghị truy trách nhiệm toàn diện vụ rò rỉ, bao gồm cả yếu tố kỹ thuật lẫn trách nhiệm quản lý.”

Viết xong, tôi bấm lưu lại rồi đóng laptop.

Tôi đứng dậy, đeo ba lô lên vai.

“Giám đốc Triệu,” – tôi nói khi bước ngang qua anh ta – “tôi vẫn đang trong thời gian nghỉ bệnh, bác sĩ khuyên nên nghỉ ngơi nhiều hơn. Tôi xin phép về sớm.”

“Hẹn gặp lại tuần sau – nếu công ty vẫn còn tồn tại.”

Tôi không quay đầu, rời khỏi phòng kỹ thuật, băng qua khu làm việc đang hỗn loạn, bước vào thang máy.

Cửa thang máy khép lại, cách biệt mọi tiếng ồn bên ngoài.

Người trong gương vẫn còn hơi tái, nhưng ánh mắt thì rất sáng.

Rất sáng.

08

Vụ rò rỉ lương như một quả bom kích nổ dưới làn nước tưởng chừng bình yên, kéo theo cơn sóng thần cuốn sạch mọi thứ.

Tối hôm đó, bản chụp màn hình bắt đầu lan ra khỏi công ty.

Các diễn đàn ẩn danh, nhóm chat ngành nghề, thậm chí cả hộp thư phản ánh của một số tờ báo kinh tế địa phương đều nhận được thông tin…

“Lộ bảng lương nội bộ của một công ty sắp niêm yết” trở thành đề tài nóng nhất cuối tuần.

Sáng thứ Hai, cuộc họp khẩn của hội đồng quản trị kéo dài liên tục sáu tiếng.

Thứ Ba, khách hàng chiến lược “Viễn Chiếu Capital” gửi công văn chính thức chất vấn, lấy

lý do “năng lực bảo mật dữ liệu yếu kém nghiêm trọng” để tạm hoãn hợp đồng 50 triệu đang chuẩn bị ký.

Thứ Tư, tổ tư vấn niêm yết của Ủy ban Chứng khoán gửi thông báo: buổi thẩm định hồ sơ IPO dự kiến tuần sau bị hoãn vô thời hạn.

Công ty được yêu cầu trước tiên phải nộp báo cáo đặc biệt về “lỗ hổng kiểm soát nội bộ nghiêm trọng”.

Thứ Năm, ba hãng luật đại diện cho tập thể nhân viên đồng loạt gửi thư yêu cầu: công ty

phải công khai giải trình về bất công trong lương thưởng và tiến hành đền bù hợp lý.

Thứ Sáu, Triệu Nhất Minh bị đình chỉ chức vụ.

Lý do: “Thiếu trách nhiệm quản lý, vi phạm quy trình, gây tổn thất nghiêm trọng cho công ty.”

Nhưng đó chỉ mới là sự khởi đầu.

Trong vòng một tháng tiếp theo, hàng loạt vấn đề khác bị phanh phui:

Nhật ký truy cập của cổng sau trong hệ thống nhân sự cho thấy: trong suốt một năm qua, Triệu Nhất Minh đã sử dụng nó hơn 200 lần để xem thông tin lương của nhân viên.