Bảo mật ngân hàng: Đã đầu tư mạnh tay song còn chưa chuyên nghiệp

BẠCH ĐÔNG

12:13 30/05/2019

Việt Nam là quốc gia đứng đầu về tỷ lệ lây nhiễm cục bộ và các mã độc. Trong đó, có thể thấy, ngành ngân hàng là nơi lây nhiễm nhiều nhất các mã độc trong hệ thống vì tính chất nghiệp vụ, các giao dịch cũng như sự lưu chuyển dòng thông tin.

Ngân hàng cũng là ngành đặc thù có nhiều “điểm bán” (tức có nhiều phòng giao dịch), nên nguy cơ nhiễm mã độc chéo lây lan trong nội bộ rất cao nếu các ngân hàng không có phương án triển khai bảo mật thông tin phù hợp cho từng hệ thống riêng biệt cụ thể - ông Ngô Tấn Vũ Khanh, Giám đốc Phát triển Kaspersky Lab tại Việt Nam, cho hay.

Hiểm họa mất an toàn thông tin đến từ rất nhiều nguồn

Trước xu hướng chuyển đổi số đang diễn ra mạnh mẽ trên toàn cầu cũng như trong khu vực, các ngân hàng bắt buộc phải đầu tư thêm hạ tầng và ứng dụng công nghệ thông tin (CNTT), trong đó có sự tham gia của “thirt party” (nhà cung cấp thứ ba). Cho dù nhà cung cấp thứ ba này cung cấp ứng dụng hay cung cấp dữ liệu thì vẫn đều tiềm ẩn nguy cơ rất lớn về mất an toàn thông tin (ATTT). Bởi tin tặc thường tấn công vào các đơn vị thứ ba vốn được xem là mắt xích yếu nhất, dùng làm bàn đạp tấn công lên hệ thống chính của ngân hàng. Các ngân hàng ngày nay còn có xu hướng xây dựng các API vệ tinh, nhưng nếu không kiểm soát được mã nguồn (sử dụng thư viện, mã nguồn mở) và không có bộ phận QA security trong quy trình làm phần mềm thì cũng sẽ dễ dàng đối mặt với nguy cơ tấn công trung gian như kể trên.

Hiểm họa mất ATTT trong hệ thống ngân hàng còn đến từ nhiều nguồn khác. Phổ biến nhất là từ các lỗ hổng bảo mật chưa biết và chưa được vá trên các hệ điều hành và ứng dụng thuộc các server và máy tính của nhân viên trong ngân hàng. Hay, từ các lỗ hổng trên các ứng dụng tương tác với các đối tượng bên ngoài ngân hàng như khách hàng, các cổng thanh toán, các đơn vị cung cấp dịch vụ, đặc biệt là ứng dụng web (ví dụ i-banking), các ứng dụng trên điện thoại...

Hiểm họa mất ATTT trong ngân hàng cũng đến từ quy trình hoạt động nghiệp vụ có sự tham gia của yếu tố con người. Nó có thể xảy ra khi nhân viên của ngân hàng in và hủy tài liệu, nhấp chuột vào đường link, mở file đính kèm, truy cập những trang web không được phép, quản lý mật khẩu dễ dãi và lỏng lẻo, tải ứng dụng giải trí có dính mã độc lên điện thoại, cắm USB bừa bãi... Thống kê cho thấy, 80-90% các sự cố mất ATTT có nguyên nhân từ con người.

Không thể không kể đến các hiểm họa xuất phát từ khách hàng của ngân hàng, nhất là các ngân hàng có kênh bán lẻ phát triển, thông qua các giao dịch từ thiết bị cá nhân. Với nghiệp vụ thẻ, có rất nhiều kịch bản mất ATTT liên quan đến máy ATM và POS. Đó là khi thẻ bị skim (làm thẻ giả với thông tin thật bị đánh cắp), hoặc máy ATM bị hack để nhả tiền (hệ điều hành của ATM thường sử dụng các phiên bản Windows cũ, không còn bản vá và cũng rất khó vá).

Đầu tư bảo mật nhiều hơn nhưng còn chưa chuyên nghiệp

Vài năm gần đây, chúng ta chứng kiến sự thay đổi rõ rệt của ngành ngân hàng Việt Nam trong việc tăng cường bảo mật và tuân thủ các tiêu chuẩn bảo mật mà thế giới đang áp dụng.

Không chỉ nhóm ngân hàng thương mại nhà nước lớn mà nhóm ngân hàng thương mại cổ phần cũng có sự tiến bộ khi xem xét những giải pháp bảo mật thông minh hơn, như sử dụng tường lửa thế hệ sau, giảm dần việc sử dụng các hệ điều hành, ứng dụng không có bản quyền, quản lý bản vá... Một số ngân hàng còn mạnh dạn sử dụng nhân sự người nước ngoài vào các vị trí trách nhiệm cao về CNTT và bảo mật, giúp công tác quản lý và tuân thủ tốt hơn. Tuy nhiên, bên cạnh đó, một số ngân hàng nhỏ vẫn còn khá thờ ơ với vấn đề này.

Ông Ngô Việt Khôi, chuyên gia bảo mật, Giám đốc công nghệ Công ty cổ phần VietNet, nhận định ngân sách cho bảo mật của các ngân hàng Việt Nam hiện đã được tăng cường và sử dụng tốt hơn nhưng vẫn còn khoảng cách khá xa so với yêu cầu. Bắt đầu có sự chuyên môn hóa bộ phận ATTT song hầu hết vẫn thuộc các đơn vị đúng ra phải chịu sự quản lý của bộ phận ATTT như hạ tầng, CNTT. Vẫn rất phổ biến chuyện nhân viên CNTT kiêm nhiệm công tác ATTT. Chưa nhiều ngân hàng có các chức danh như CSO (giám đốc bảo mật thông tin), CDO (giám đốc phụ trách dữ liệu)..., mà các vị trí này vẫn được kiêm nhiệm bởi giám đốc CNTT, dù chúng có những chức năng rất khác biệt. Chức danh CISO (giám đốc công nghệ và bảo mật) được tôn trọng hơn nhưng chưa được đánh giá đúng mức bởi các lãnh đạo của ngân hàng, dẫn tới tiếng nói của họ khó được lĩnh hội và lắng nghe như nó cần có.

Cũng có một thực tế đáng ghi nhận là hiện nay nhiều ngân hàng tích cực đầu tư hệ thống bảo mật nhưng lại đầu tư một cách phân mảnh, không ra được bài toán tổng thể phù hợp cho chính doanh nghiệp mình. Điều này dẫn đến tình trạng cái cần bảo vệ thì không được bảo vệ, trong khi cái không/hoặc chưa cần thiết thì lại tập trung bảo vệ, gây lãng phí mà hệ thống vẫn nằm trong danh mục những đơn vị dễ bị tấn công của tin tặc.

Sao cho hiệu quả?

Đầu tư bảo mật thông tin cho hệ thống ngân hàng tất nhiên tốn rất nhiều chi phí. Tuy nhiên, ông Ngô Tấn Vũ Khanh cho rằng, nếu doanh nghiệp có một lộ trình cụ thể trong một bức tranh tổng thể được cập nhật theo nhu cầu và tầm nhìn phát triển kinh doanh của doanh nghiệp, thì sẽ giảm được chi phí đáng kể, tránh lãng phí, tối ưu đầu tư. Trong bản đồ chiến lược CNTT của ngành ngân hàng luôn phải có các lưu ý về giải pháp bảo mật kèm theo, tránh tình trạng xây dựng ứng dụng và hạ tầng rầm rộ xong mới quay lại bài toán bảo mật.

Lưu ý rằng con người luôn là yếu tố then chốt nhất trong các vấn đề về ATTT. Vì vậy, cần tổ chức đào tạo cho bộ phận bảo mật ở ngân hàng, đảm bảo những người làm công tác về bảo mật luôn được cập nhật kiến thức mới nhất. Thêm vào đó, nhân viên các bộ phận khác trong ngân hàng cũng phải có kiến thức cơ bản về bảo mật để giảm thiểu sự mất ATTT từ bên trong, từ đó tạo thuận lợi cho việc phòng ngừa từ bên ngoài.

Đầu tư giải pháp bảo mật thế nào và khai thác ra sao để đạt hiệu quả cao nhất là bài toán mà mỗi doanh nghiệp phải tự tìm lời giải. Bởi lẽ, các ngân hàng có mức độ phát triển khác nhau, có những rủi ro khác nhau, và kể cả khi giống nhau đi nữa thì họ cũng có những nguồn phân bổ ngân sách khác nhau, được quyết bởi những người có trình độ và nhận thức khác nhau.

(Theo Thời báo Kinh tế Sài Gòn)

Bài liên quan