Bảo mật ngân hàng số: Vá lỗi hay nâng cao nhận thức người dùng?

3 sự cố bảo mật chính

Theo báo cáo về các mối đe dọa điểm cuối, năm 2021, Việt Nam đứng thứ 2 ở châu Á về số lượng mã độc tống tiền - ransomware, tăng 200% so với năm 2020. Nghiên cứu “Fraud Report 2020” của Veriff cho thấy Việt Nam đứng đầu về các nghi ngờ tội phạm sử dụng chứng minh thư nhân dân, căn cước công dân giả để xác thực, chiếm tới 12,9% trên toàn cầu.

Hệ thống ngân hàng Việt Nam được đánh giá tăng trưởng mạnh mẽ về chuyển đổi số ở mức thứ hai trong khu vực, tăng nhanh cả về số lượng và khối lượng giao dịch trên kênh số. Nhưng đồng thời, tội phạm tài chính đang tận dụng chính công nghệ để tấn công rất mạnh mẽ. Công nghệ đang trở thành con dao hai lưỡi khi vừa là công cụ hỗ trợ trong ngành ngân hàng vừa tạo điều kiện cho tội phạm tấn công.

Tổng giám đốc một ngân hàng thương mại cổ phần cho biết: “Hàng năm, không chỉ ngân hàng tôi mà các ngân hàng khác đều chi hàng tỷ đồng cho vấn đề bảo mật nhưng khi sự cố xảy ra lại là câu chuyện khác”.

Một lãnh đạo cao cấp Công ty Hệ thống Thông tin FPT (FPT IS) nhận định, hiện tại có 3 loại sự cố chính. Thứ nhất, lợi dụng tính năng chuyển hướng cuộc gọi (call forwarding) để đánh cắp thông tin mã OTP các dịch vụ của khách hàng. Thứ hai, hình thức bị sử dụng tên thương hiệu, tên ngân hàng (SMS brandname) và gắn kèm liên kết dẫn đến trang web giả mạo, liên kết này có tên gần giống với trang web chính thức của các thương hiệu, ngân hàng. Thứ ba, “gài” vào trong app, khi khách hàng click vào link sẽ bị chiếm quyền.

“Để xử lý loại sự cố/cách thức thứ ba sẽ phải tốn chi phí rất nhiều, phương án phòng ngừa cũng tốn kém nhất. Còn hai sự cố trên thì phòng ngừa thông qua các phương tiện truyền thông nhưng điều này lại không dễ dàng bởi lệ thuộc vào khách hàng là chính”, vị lãnh đạo FPT IS cho biết.

Liên quan đến vấn đề này, ông Nguyễn Hưng, Tổng Giám đốc TPBank, nhận định đại dịch Covid-19 đã thúc đẩy người dân thử nghiệm kinh tế số, các công nghệ tài chính đang ngày càng thu hút được sự chú ý của người dùng nhờ sự an toàn và tiện lợi, tuy nhiên cũng kéo theo các cuộc tấn công mạng (cyber attacks) tăng nhanh chóng cả về số lượng lẫn tính phức tạp, nhằm vào tất cả các tổ chức, đặc biệt là ngân hàng.

Theo ông Nguyễn Hưng, thực chất các vụ lừa đảo là do khách hàng chưa có nhiều nhận thức trong việc sử dụng các dịch vụ số. Các thủ thuật lừa đảo tập trung vào việc thao túng tâm lý khách hàng nhiều hơn là khai thác vào lỗ hổng của ngân hàng số hay an toàn bảo mật.

Do vậy, khách hàng cần nâng cao ý thức bảo đảm nguyên tắc an toàn như tránh để lộ thông tin cá nhân, tự bảo mật mọi thông tin liên quan đến dịch vụ ngân hàng kỹ thuật số, chẳng hạn mật khẩu truy cập, mật khẩu giao dịch một lần, mật khẩu truy cập địa chỉ email cá nhân, sử dụng dịch vụ nhận thông báo (SMS hoặc Notification) về các biến động của tài khoản hoặc thẻ ngay khi giao dịch được thực hiện nhằm quản lý các giao dịch, phòng ngừa, hạn chế rủi ro...

“Việc áp dụng ngân hàng số trong giao dịch là xu hướng tất yếu, ngày càng phát triển. Sự phối hợp chặt chẽ giữa hành động tự bảo mật của khách hàng và sự liên tục hoàn thiện về an ninh bảo mật của các ngân hàng sẽ giúp cho giao dịch trên nền tảng số ngày càng an toàn và tiện lợi, phát triển rộng rãi trong cộng đồng”, ông Nguyễn Hưng nói.

Cần cái “bắt tay” win – win

Để tạo được môi trường an toàn, trước hết, Ngân hàng Nhà nước (NHNN) cần đẩy mạnh nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế trong các văn bản quy phạm pháp luật, điều chỉnh hoạt động ứng dụng công nghệ thông tin (CNTT) của các tổ chức tín dụng (TCTD), đảm bảo an toàn, bảo mật; áp dụng khung đánh giá rủi ro CNTT theo thông lệ quốc tế để nâng cao chất lượng công tác kiểm tra tuân thủ các quy định về an toàn bảo mật tại các TCTD, tổ chức trung gian thanh toán (TGTT). Bên cạnh đó, cần tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh CNTT ngành ngân hàng.

Với các TCTD, cần tiếp tục triển khai các nội dung về rà soát, đánh giá rủi ro và triển khai các giải pháp an ninh, bảo mật cho toàn bộ vòng đời của một hệ thống thông tin; trang bị các hệ thống hỗ trợ giám sát giao dịch điện tử, điều tra gian lận, từng bước tổng hợp, phân tích dữ liệu của khách hàng và xây dựng bộ quy tắc để phát hiện và ngăn chặn sớm các gian lận; xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường; xây dựng trung tâm điều hành an ninh mạng để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng; thường xuyên định kì đánh giá các điểm yếu, lỗ hổng của hệ thống CNTT.

Ngoài ra, ông Nguyễn Hưng cũng lưu ý rằng, cần nhìn nhận một cách công bằng là rủi ro hiện tại phần nhiều nằm ở việc gia tăng nhận thức cho cá nhân/doanh nghiệp sử dụng dịch vụ số. Các ngân hàng đang nỗ lực đầu tư rất nhiều vào hệ thống công nghệ để đảm bảo an toàn an ninh cho hệ thống nhưng khó có thể đảm bảo 100% khách hàng không bị thao túng, lợi dụng. Ngoài ra, các rủi ro còn có thể xảy ra từ chính các kết nối hệ sinh thái với ngân hàng.

“Do vậy, vấn đề quan trọng không phải là “vá” hệ thống mà chính là nâng cao nhận thức về an toàn bảo mật, có phương án xử lý, phòng ngừa hợp lý khi giao dịch trong môi trường số”, ông Nguyễn Hưng nhấn mạnh.

Về phía các ngân hàng, theo ông Nguyễn Hưng, cần tăng cường bảo mật thông tin khách hàng, áp dụng công nghệ để giám sát, đảm bảo bí mật thông tin của khách hàng, có nhân lực trình độ cao đáp ứng yêu cầu kỹ thuật để vận hành giải pháp, áp dụng an toàn thông tin theo các tiêu chuẩn quốc tế (chuẩn ISO 27001, PCI DSS, Customer Security Framework của SWIFT…).

Đối với Chính phủ, ông Nguyễn Hưng cho rằng, cần đẩy nhanh xây dựng và phát triển hệ thống Cơ sở dữ liệu quốc gia về định danh cá nhân và Cơ chế chia sẻ thông tin, quy định về bảo vệ dữ liệu người dùng, cho phép liên thông dữ liệu cũng như đẩy nhanh tiến độ nghiên cứu xây dựng Luật Giao dịch điện tử thay thế hoặc sửa đổi, bổ sung Luật cũ có từ năm 2005. Cần có chính sách nâng cao quy định về chất lượng dịch vụ cũng như áp dụng chung quy định về bảo mật dữ liệu khách hàng với các công ty Fintech, nhà cung cấp các dịch vụ kết nối tương tự như áp dụng với ngân hàng.

Ông Nguyễn Hưng nhấn mạnh: “Các biện pháp này nếu được triển khai đồng bộ, cùng với sự nâng cao ý thức bảo vệ thông tin cá nhân từ chính khách hàng, sẽ giúp giảm thiểu rủi ro khi giao dịch trên môi trường số, thúc đẩy phát triển kinh tế số quốc gia”.

Trao đổi với Tạp chí Đầu tư Tài chính, ông Phạm Quang Minh, Tổng giám đốc Mambu Việt Nam, cho rằng chủ động giảm thiểu rủi ro luôn là phương án tốt nhất. Với ngân hàng, bên cạnh việc lựa chọn công nghệ phù hợp cũng phải đảm bảo việc thiết kế và tuân thủ đầy đủ các mô hình vận hành kiểm soát rủi ro cao nhất, áp dụng tối đa công nghệ trí tuệ nhân tạo để dự báo trước các tình huống xấu, từ đó chủ động ra quyết định nhanh chóng, chính xác.

“Do đó, việc cân nhắc lựa chọn nhà cung cấp giải pháp nền tảng ngân hàng trên nền điện toán đám mây đáp ứng các tiêu chuẩn bảo mật cao nhất cần được ưu tiên xem xét”, ông Minh nói.

Xung quanh vấn đề này, lãnh đạo FPT IS chia sẻ, tuy việc “bắt tay” giữa ngân hàng và công ty công nghệ đang được tạo điều kiện thúc đẩy mạnh mẽ trong bối cảnh chuyển đổi số những năm gần đây nhưng trên thực tế vẫn còn hạn chế, do các cơ chế hợp tác giữa ngân hàng và đơn vị cung cấp giải pháp công nghệ chưa được chú trọng xây dựng. Bên cạnh đó, nhiều ngân hàng đang loay hoay trong việc lựa chọn đối tác uy tín trong việc tư vấn, triển khai giải pháp phù hợp với nhu cầu, thực trạng của doanh nghiệp.

“Giải pháp cho vấn đề này nằm ở việc cần có sự hợp tác tin cậy, chia sẻ giữa ngân hàng và công ty công nghệ trên tinh thần win - win, cũng như xây dựng cơ chế hợp tác để đưa các giải pháp ứng dụng các công nghệ mới nhất vào ngân hàng”, vị lãnh đạo FPT IS nhấn mạnh.