Ngân hàng cũng là ngành đặc thù có nhiều “điểm bán” (tức có nhiều phòng giao dịch), nên nguy cơ nhiễm mã độc chéo lây lan trong nội bộ rất cao nếu các ngân hàng không có phương án triển khai bảo mật thông tin phù hợp cho từng hệ thống riêng biệt cụ thể - ông Ngô Tấn Vũ Khanh, Giám đốc Phát triển Kaspersky Lab tại Việt Nam, cho hay.

Hiểm họa mất an toàn thông tin đến từ rất nhiều nguồn

Trước xu hướng chuyển đổi số đang diễn ra mạnh mẽ trên toàn cầu cũng như trong khu vực, các ngân hàng bắt buộc phải đầu tư thêm hạ tầng và ứng dụng công nghệ thông tin (CNTT), trong đó có sự tham gia của “thirt party” (nhà cung cấp thứ ba). Cho dù nhà cung cấp thứ ba này cung cấp ứng dụng hay cung cấp dữ liệu thì vẫn đều tiềm ẩn nguy cơ rất lớn về mất an toàn thông tin (ATTT). Bởi tin tặc thường tấn công vào các đơn vị thứ ba vốn được xem là mắt xích yếu nhất, dùng làm bàn đạp tấn công lên hệ thống chính của ngân hàng. Các ngân hàng ngày nay còn có xu hướng xây dựng các API vệ tinh, nhưng nếu không kiểm soát được mã nguồn (sử dụng thư viện, mã nguồn mở) và không có bộ phận QA security trong quy trình làm phần mềm thì cũng sẽ dễ dàng đối mặt với nguy cơ tấn công trung gian như kể trên. 

Hiểm họa mất ATTT trong hệ thống ngân hàng còn đến từ nhiều nguồn khác. Phổ biến nhất là từ các lỗ hổng bảo mật chưa biết và chưa được vá trên các hệ điều hành và ứng dụng thuộc các server và máy tính của nhân viên trong ngân hàng. Hay, từ các lỗ hổng trên các ứng dụng tương tác với các đối tượng bên ngoài ngân hàng như khách hàng, các cổng thanh toán, các đơn vị cung cấp dịch vụ, đặc biệt là ứng dụng web (ví dụ i-banking), các ứng dụng trên điện thoại...

Hiểm họa mất ATTT trong ngân hàng cũng đến từ quy trình hoạt động nghiệp vụ có sự tham gia của yếu tố con người. Nó có thể xảy ra khi nhân viên của ngân hàng in và hủy tài liệu, nhấp chuột vào đường link, mở file đính kèm, truy cập những trang web không được phép, quản lý mật khẩu dễ dãi và lỏng lẻo, tải ứng dụng giải trí có dính mã độc lên điện thoại, cắm USB bừa bãi... Thống kê cho thấy, 80-90% các sự cố mất ATTT có nguyên nhân từ con người.

Không thể không kể đến các hiểm họa xuất phát từ khách hàng của ngân hàng, nhất là các ngân hàng có kênh bán lẻ phát triển, thông qua các giao dịch từ thiết bị cá nhân. Với nghiệp vụ thẻ, có rất nhiều kịch bản mất ATTT liên quan đến máy ATM và POS. Đó là khi thẻ bị skim (làm thẻ giả với thông tin thật bị đánh cắp), hoặc máy ATM bị hack để nhả tiền (hệ điều hành của ATM thường sử dụng các phiên bản Windows cũ, không còn bản vá và cũng rất khó vá).

Đầu tư bảo mật nhiều hơn nhưng còn chưa chuyên nghiệp

Vài năm gần đây, chúng ta chứng kiến sự thay đổi rõ rệt của ngành ngân hàng Việt Nam trong việc tăng cường bảo mật và tuân thủ các tiêu chuẩn bảo mật mà thế giới đang áp dụng.

Không chỉ nhóm ngân hàng thương mại nhà nước lớn mà nhóm ngân hàng thương mại cổ phần cũng có sự tiến bộ khi xem xét những giải pháp bảo mật thông minh hơn, như sử dụng tường lửa thế hệ sau, giảm dần việc sử dụng các hệ điều hành, ứng dụng không có bản quyền, quản lý bản vá... Một số ngân hàng còn mạnh dạn sử dụng nhân sự người nước ngoài vào các vị trí trách nhiệm cao về CNTT và bảo mật, giúp công tác quản lý và tuân thủ tốt hơn. Tuy nhiên, bên cạnh đó, một số ngân hàng nhỏ vẫn còn khá thờ ơ với vấn đề này.

Ông Ngô Việt Khôi, chuyên gia bảo mật, Giám đốc công nghệ Công ty cổ phần VietNet, nhận định ngân sách cho bảo mật của các ngân hàng Việt Nam hiện đã được tăng cường và sử dụng tốt hơn nhưng vẫn còn khoảng cách khá xa so với yêu cầu. Bắt đầu có sự chuyên môn hóa bộ phận ATTT song hầu hết vẫn thuộc các đơn vị đúng ra phải chịu sự quản lý của bộ phận ATTT như hạ tầng, CNTT. Vẫn rất phổ biến chuyện nhân viên CNTT kiêm nhiệm công tác ATTT. Chưa nhiều ngân hàng có các chức danh như CSO (giám đốc bảo mật thông tin), CDO (giám đốc phụ trách dữ liệu)..., mà các vị trí này vẫn được kiêm nhiệm bởi giám đốc CNTT, dù chúng có những chức năng rất khác biệt. Chức danh CISO (giám đốc công nghệ và bảo mật) được tôn trọng hơn nhưng chưa được đánh giá đúng mức bởi các lãnh đạo của ngân hàng, dẫn tới tiếng nói của họ khó được lĩnh hội và lắng nghe như nó cần có.

Cũng có một thực tế đáng ghi nhận là hiện nay nhiều ngân hàng tích cực đầu tư hệ thống bảo mật nhưng lại đầu tư một cách phân mảnh, không ra được bài toán tổng thể phù hợp cho chính doanh nghiệp mình. Điều này dẫn đến tình trạng cái cần bảo vệ thì không được bảo vệ, trong khi cái không/hoặc chưa cần thiết thì lại tập trung bảo vệ, gây lãng phí mà hệ thống vẫn nằm trong danh mục những đơn vị dễ bị tấn công của tin tặc.

Sao cho hiệu quả?

Đầu tư bảo mật thông tin cho hệ thống ngân hàng tất nhiên tốn rất nhiều chi phí. Tuy nhiên, ông Ngô Tấn Vũ Khanh cho rằng, nếu doanh nghiệp có một lộ trình cụ thể trong một bức tranh tổng thể được cập nhật theo nhu cầu và tầm nhìn phát triển kinh doanh của doanh nghiệp, thì sẽ giảm được chi phí đáng kể, tránh lãng phí, tối ưu đầu tư. Trong bản đồ chiến lược CNTT của ngành ngân hàng luôn phải có các lưu ý về giải pháp bảo mật kèm theo, tránh tình trạng xây dựng ứng dụng và hạ tầng rầm rộ xong mới quay lại bài toán bảo mật.

Lưu ý rằng con người luôn là yếu tố then chốt nhất trong các vấn đề về ATTT. Vì vậy, cần tổ chức đào tạo cho bộ phận bảo mật ở ngân hàng, đảm bảo những người làm công tác về bảo mật luôn được cập nhật kiến thức mới nhất. Thêm vào đó, nhân viên các bộ phận khác trong ngân hàng cũng phải có kiến thức cơ bản về bảo mật để giảm thiểu sự mất ATTT từ bên trong, từ đó tạo thuận lợi cho việc phòng ngừa từ bên ngoài.

Đầu tư giải pháp bảo mật thế nào và khai thác ra sao để đạt hiệu quả cao nhất là bài toán mà mỗi doanh nghiệp phải tự tìm lời giải. Bởi lẽ, các ngân hàng có mức độ phát triển khác nhau, có những rủi ro khác nhau, và kể cả khi giống nhau đi nữa thì họ cũng có những nguồn phân bổ ngân sách khác nhau, được quyết bởi những người có trình độ và nhận thức khác nhau. 

(Theo Thời báo Kinh tế Sài Gòn)

Bài liên quan

3 bước cơ bản để tạo thói quen tài chính tốt

Vinalines đã chuyển tiền mua 75,01% cổ phần Cảng Quy Nhơn

CTCP Thương mại Đầu tư Sản xuất HN phát hành thành công 600 tỷ đồng trái phiếu

EVN sắp thoái toàn bộ vốn tại Công ty CP Tư vấn Xây dựng điện 3