Lỗ hổng trong an ninh thông tin ngân hàng số

Thứ Bảy, 12-09-2020, 14:31
Khách hàng trải nghiệm dịch vụ ngân hàng số của Vietcombank. Ảnh: HẢI ANH

Ngân hàng tiên phong về công nghệ, ngân hàng chuyển đổi số xuất sắc, hay định chế tài chính hàng đầu khu vực Đông - Nam Á, có nền tảng số tốt nhất Việt Nam…, trong cuộc chạy đua chuyển đổi số này, dù theo đuổi mục tiêu nào, vấn đề cốt lõi các ngân hàng buộc phải tuân thủ chính là bảo đảm an toàn, an ninh cho hoạt động ngân hàng số.

“Cửa ngõ” để tội phạm công nghệ tiến công 

Việt Nam được đánh giá là thị trường đầy tiềm năng, cơ hội cho phát triển ngân hàng (NH) số với khoảng 72% dân số sở hữu smartphone, hơn 130 triệu thuê bao di động, 51 triệu thuê bao internet di động, kết nối 3G/4G phủ toàn quốc, 64 triệu người dùng internet (chiếm khoảng 67% dân số). Thương mại điện tử tăng trưởng cao (30%/năm), với gần 40% dân số trưởng thành chưa có tài khoản NH. Bên cạnh đó, nền tảng kỹ thuật cho triển khai NH số đã không ngừng được đầu tư, nâng cấp với khoảng hơn 18 nghìn ATM; hơn 270 nghìn POS; 78 NH triển khai Internet Banking; 47 NH triển khai Mobile Banking; với khoảng 50.000 điểm thanh toán QRCode (cuối năm 2019).

Tuy nhiên, theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tiến công mạng là nhắm vào các tổ chức tài chính, NH. Trong khi đó, theo thống kê của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) trong nửa đầu năm 2020, cơ quan này đã ghi nhận 2.017 cuộc tiến công mạng vào các hệ thống thông tin tại Việt Nam; trong đó, có 805 cuộc tiến công lừa đảo (phishing), 788 cuộc tiến công thay đổi giao diện (deface) và 296 cuộc tiến công cài mã độc (malware). Những khảo sát này cũng cho thấy, ngành NH đang đối mặt với một số thách thức về an ninh mạng: Hacker tiến công vào hệ thống dữ liệu NH qua các đối tác của NH; tiến công trực tiếp vào website thay đổi giao diện để tống tiền, lấy dữ liệu; thâm nhập hệ thống để thực hiện lệnh chuyển tiền nhằm chiếm đoạt thông tin, tài sản của NH và cả khách hàng; lập các website mạo danh NH để lừa đảo khách hàng... Như vậy cả ba chủ thể tham gia không gian NH số: NH, khách hàng và các đối tác liên kết của NH đều có thể trở thành “cửa ngõ” để tội phạm mạng tiến công.  

Vấn đề nằm ở chỗ, trong khi các NH đặc biệt chú trọng đến bảo đảm an toàn an ninh mạng thì bên đối tác lại không đặt nặng vấn đề này; và nhiều trường hợp là không đủ năng lực, hạ tầng về an toàn thông tin. Thực tế, đã có vụ việc NH bị tiến công chỉ từ email quảng cáo mà họ đã thuê bên thứ ba thực hiện. Nếu như để vượt qua hệ thống bảo mật của NH, các hacker phải có trình độ nhất định, thì việc tiến công từ người sử dụng dịch vụ NH lại đơn giản hơn nhiều, với mánh khóe... xưa như Trái đất là đánh vào lòng tham, sự thiếu hiểu biết của khách hàng. Nhiều vụ việc xảy ra gần đây qua hình thức khách hàng bị dụ đăng nhập vào website giả mạo NH và khai báo thông tin bảo mật để nhận quà tặng, nhận tiền từ nước ngoài gửi về... Mới đây nhất, Techcombank phát hiện kẻ gian lợi dụng nhu cầu vay tiền của người dân bị mất việc làm, thu nhập giảm sút do dịch Covid-19 đã giả mạo là nhân viên NH mời chào vay vốn qua hình thức chúng tự nghĩ ra: thanh lý hồ sơ cho vay. 

Nhiều người không ý thức được rằng thông tin cá nhân cũng là tài sản cần được bảo vệ. Vì từ chính những thông tin cá nhân như số chứng minh nhân dân, số tài khoản NH, số điện thoại, hay ngày tháng năm sinh... mà họ thường dễ dàng để lại trên mạng xã hội, qua các giao dịch mua, bán hàng online đã trở thành chỉ dẫn cho kẻ gian tìm đến lừa đảo.

Đi nhanh, đi xa nhưng phải bền vững

Công nghệ phát triển đến đâu sẽ cho phép các dịch vụ tài chính NH số phát triển đến đó. Thế nhưng, sản phẩm, dịch vụ hiện đại đến đâu thì có nguy cơ “hại điện” đến đó. Tội phạm mạng cũng lợi dụng chính sự tiến bộ của công nghệ để tiến công NH. 

Để bảo đảm cho dịch vụ NH số thông suốt, an toàn, chính xác các NH đã, đang không ngừng đầu tư cho công tác an toàn, bảo mật thông tin. Một khảo sát của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam cho thấy, 100% số tổ chức tín dụng đầu tư các giải pháp an ninh, bảo mật  từ cơ bản đến nâng cao: Tường lửa, hệ thống phát hiện xâm nhập; hệ thống chống vi-rút xác thực đa thành tố; hệ thống phòng, chống thư rác; hệ thống lọc dữ liệu; công nghệ chữ ký số KPI; xác thực sinh trắc học... Tuy nhiên, chi phí đầu tư cho công tác an toàn thông tin nhìn chung vẫn chiếm tỷ lệ nhỏ (dưới 10%) trong tổng vốn đầu tư cho phát triển sản phẩm, dịch vụ NH số.

Lãnh đạo vụ chức năng Ngân hàng Nhà nước (NHNN) cho biết, để bảo đảm an toàn, an ninh thông tin (ATTT) trong ngành NH, thời gian tới NHNN sẽ tiếp tục hoàn thiện cơ chế  chính sách, hành lang pháp lý về ATTT mạng; xây dựng khung đánh giá rủi ro ATTT theo thông lệ quốc tế để chuẩn hóa hạ tầng ATTT ngành NH; phối hợp với Bộ Công an, Bộ Thông tin và Truyền thông kiểm tra, đánh giá an toàn bảo mật các hệ thống thông tin của các đơn vị trong ngành. NHNN cũng yêu cầu tổ chức tín dụng quan tâm đầu tư, triển khai các giải pháp an ninh, bảo mật tương ứng với mức độ quan trọng và rủi ro của hệ thống thông tin; bảo đảm tỷ lệ kinh phí chi cho các sản phẩm, dịch vụ ATTT mạng đạt tối thiểu 10% trong tổng kinh phí triển khai kế hoạch ứng dụng CNTT hằng năm. Tổ chức tín dụng phải triển khai đồng bộ các giải pháp bảo vệ, phòng, chống lộ lọt dữ liệu trên toàn bộ hệ thống thông tin; tăng cường kiểm tra, giám sát toàn bộ quy trình, các khâu có tiềm ẩn phát sinh rủi ro về ATTT. NH và các đơn vị cung ứng dịch vụ trung gian thanh toán cũng phải xây dựng các quy trình, kịch bản và tổ chức diễn tập định kỳ ứng phó với các sự cố, rủi ro mất ATTT để nâng cao năng lực ngăn chặn, giảm các tác động tiêu cực, hậu quả của các cuộc tiến công mạng… 

Nhìn từ điểm tích cực, dịch Covid-19 đã cho NH và các đơn vị cung ứng dịch vụ tài chính cơ hội, động lực để đẩy nhanh tiến trình số hóa NH. Trong tiến trình này, NH nào cũng muốn đi nhanh, đi xa nhưng để bền vững thì vấn đề cốt lõi là phải giảm rủi ro, bảo đảm an toàn, bảo mật, không chỉ cho hoạt động kinh doanh của NH mà cho cả khách hàng.

20_1-1599813129835.jpg

Chi phí đầu tư cho công tác an toàn thông tin nhìn chung vẫn chiếm tỷ lệ nhỏ (dưới 10%) trong tổng vốn đầu tư cho phát triển sản phẩm, dịch vụ NH số. Ảnh: HỒNG NHUNG

Ngân hàng Nhà nước đang lấy ý kiến đối với Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 23/2014/TT-NHNN về hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán. Trong đó, sửa đổi lớn nhất liên quan việc cho phép NH được quyết định gặp hoặc không gặp trực tiếp khách hàng khi lần đầu thiết lập mối quan hệ. Đây là điều cả hệ thống tài chính mong chờ trong nhiều năm qua nhằm đạt được bước đột phá trong chuyển đổi số và phát triển tài chính toàn diện.

Tổ chức chuyên đề:

LƯU LAN HƯƠNG, NGÔ PHƯƠNG THẢO, LÊ ĐỨC NGHĨA.

HÀ AN