Cuộc đua bảo mật trong lĩnh vực ngân hàng không có điểm dừng

Ngành ngân hàng là một trong những lĩnh vực tiên phong trong quá trình chuyển đổi số (CĐS) và coi CĐS là chiến lược, yếu tố sống còn. Đây cũng là một mục tiêu ưa thích/hàng đầu của các cuộc tấn công mạng.

Hoàng Linh
09:21 AM 11/07/2022
In bài viết này
Cuộc đua bảo mật trong lĩnh vực ngân hàng không có điểm dừng

Chia sẻ bài viết này

Ngân hàng là điểm đến của tội phạm mạng

Chia sẻ về vấn đề an toàn thông tin (ATTT) mạng trong lĩnh vực ngân hàng, mới đây, ông Phạm Anh Tuấn, Thành viên HĐQT Vietcombank cho biết ngân hàng luôn mà mục tiêu mà tội phạm mạng luôn rất thích và đích đến của chúng là tiền và dữ liệu.

Ông Tuấn cho biết hiện nay, CĐS là mục tiêu sống còn của ngân hàng và để phát triển ngân hàng phải tham gia mạnh vào chuỗi hệ sinh thái ngân hàng số với ba chủ thể, gồm: ngân hàng, khách hàng và các đơn vị cung cấp dịch vụ thứ ba.

"Cả ba chủ thể này luôn luôn là đối tượng bị tấn công của các tội phạm mạng. Với ngân hàng, các điểm yếu là ở ứng dụng, hạ tầng công nghệ, kết nối. Với khách hàng là các đường "link" giả mạo. Các đơn vị bên thứ ba, điểm yếu là các sản phẩm, dịch vụ mà các công ty bên thứ ba liên kết với ngân hàng để cung cấp dịch vụ cho khách hàng", ông Tuấn cho hay.

Cũng theo nhận định của ông Tuấn, CĐS cũng đồng nghĩa với việc ngân hàng sẽ phải cung cấp đa dạng hóa các sản phẩm - dịch vụ trên kênh số, đa dạng các phương thức giao tiếp giữa khách hàng với ngân hàng. Như vậy, ngân hàng phải kết nối với nhiều nhà cung cấp dịch vụ đa dạng. Do đó, bề mặt bị tấn công sẽ ngày càng lớn. Các rủi ro, thiệt hại nếu bị tấn công và bị khai thác là điều tất yếu sẽ xảy ra.

Ý thức được vai trò quan trọng của bảo đảm ATTT trong hệ thống hoạt động của ngành ngân hàng, ông Tuấn cho biết VCB đã có những quan điểm, chiến lược, chính sách, nguồn nhân lực đồng bộ cho việc bảo đảm ATTT mạng.

VCB có quy định, quy trình rõ ràng, thường xuyên yêu cầu tất cả các bộ phận không chỉ riêng bộ phận CNTT mà tất cả các công đoạn cung ứng dịch vụ ra bên ngoài cho khách hàng đều phải được tiến hành rà soát định kỳ vấn đề ATTT; thường xuyên rà soát lại các khung ATTT để từ đó kiện toàn, xây dựng các chính sách bổ sung cho phù hợp.

Đối với đội ngũ của VCB, VCB chia làm 3 nhóm: nhóm 1 là các cán bộ làm ATTT - cần thu hút, đầu tư, bồi dưỡng liên tục thông qua các khóa đào tạo trong và ngoài nước; nhóm 2 là người nội bộ và khách hàng bên ngoài. Đối với khách hàng bên ngoài sử dụng các dịch vụ của mình, VCB sẽ thường xuyên thực hiện các cảnh báo, các thông tin hướng dẫn để khách hàng sử dụng dịch vụ ngân hàng số sao cho an toàn nhất.

Đối với người nội bộ ngân hàng, việc đào tạo cho từng đối tượng và nâng cao nhận thức ATTT là công việc thường xuyên và không giới hạn bởi có thể tiềm ẩn nguy cơ rủi ro rất cao. Theo thống kê, các rủi ro bị tấn công mà nguyên nhân từ người nội bộ chiếm tỷ lệ cao và đây là đối tượng mà các tội phạm mạng rất quan tâm khi chúng để ý đến các tổ chức, đơn vị.

Điểm tiếp theo, ông Tuấn cho hay là không thể thiếu được là các giải pháp công nghệ. "Chúng ta có thể làm tốt nhưng không có công nghệ thì không giải quyết được bài toán ATTT. VCB quan niệm các giải pháp công nghệ mới, áp dụng công nghệ hiện đại sẽ phải là những giải pháp chủ lực, hỗ trợ cho VCB trong quá trình kiểm soát ATTT trong hệ thống của mình để có thể hỗ trợ, điều tra, xử lý và phản ứng tức thời tới những vụ việc mất ATTT khi xảy ra", ông Tuấn cho hay.

Cũng theo ông Tuấn, VCB xác định tự động hóa công tác giảm sát ATTT là vấn đề mũi nhọn. "Rõ ràng khi CĐS dữ liệu càng lớn việc giám sát bằng con người có thể nói là không khả thi. Chúng ta sẽ sa lầy vào những cảnh báo giả, khi bị tấn công thực lại không biết và như vậy thiệt hại rủi ro xảy ra vô cùng lớn. Chỉ có thể áp dụng những giải pháp công nghệ tiên tiến cùng với tự động hóa giám sát thì mới có thể hỗ trợ, giải quyết một phần nào các vấn đề liên quan đến mất ATTT".

Một việc nữa, theo ông Tuấn, ngân hàng cần thực hiện là ứng dụng trí tuệ nhân tạo (AI), dữ liệu lớn (big data), học máy (machine learning) vào phân tích dữ liệu bị tấn công.

"Ngân hàng có khối lượng dữ liệu lớn nên chỉ có thể áp dụng công nghệ tiên tiến thì mới có thể giúp mô hình hóa hành trình của các đối tượng tham gia vào trong hệ thống của mình để từ đó có những cảnh báo sớm, kịp thời, bất thường xảy ra, từ đó có thể giảm thiểu rủi ro ở mức thấp nhất".

Cuối cùng, ông Tuấn cho rằng phải thường xuyên rà soát các điểm yếu trong hệ thống. "Chúng ta không thể "ngồi yên, ngủ yên" trên vấn đề chúng ta nghĩ là an toàn. Việc chủ động dò tìm các điểm yếu khi phát hiện ra sẽ giúp có hướng xử lý, giảm thiểu thiệt hại nếu bị khai thác, tấn công".

Cuộc đua bảo mật trong lĩnh vực ngân hàng không có điểm dừng - Ảnh 1.

Tổng kết lại, ông Tuấn nhấn mạnh: "Trong ngành ngân hàng, tài chính cuộc đua bảo mật không có điểm dừng. Cuộc đua này là cuộc đua của những người bảo vệ và những kẻ tấn công. Tham gia vào cuộc đua này với tâm thế của những người bảo vệ cần chú ý điểm quan trọng là hỗ trợ cái gì, chủ động ra sao. Có như vậy khi tham gia vào cuộc đua bảo mật mới hy vọng bảo vệ an toàn hệ thống ở mức cao nhất và giảm thiểu tối đa thiệt hại xảy ra nếu bị khai thác các lỗ hổng mà chúng ta chưa thể rà soát, phát hiện kịp thời".

Một số rủi ro ATTT mạng đối với ngân hàng, tài chính

Trao đổi thêm về một số rủi ro tiềm ẩn đối với lĩnh vực tài chính, ngân hàng, ông Phó Đức Giang, Giám đốc, Công ty TNHH Dịch vụ ATTT PwC Việt Nam cho biết trong báo cáo khảo sát gần nhất Global Digital Trust Insights của PwC thực hiện trong hai năm liên tiếp 2021 - 2022 đã đề cập một số rủi ro mà các tổ chức ngân hàng, tài chính cần lưu ý.

Đầu tiên là các rủi ro đến từ bên thứ ba, thứ tư (third/fourth party) đã trở nên phổ biến. Theo ông Giang, trước đây không phải không có rủi ro đến từ bên thứ ba, thứ tư nhưng khi các ngân hàng CĐS, xây dựng một hệ sinh thái thì phải bắt tay với các bên thứ ba, thứ tư về các lĩnh vực, trong đó có công nghệ… để cung cấp giá trị gia tăng tốt nhất cho khách hàng, từ đó gia tăng tính cạnh tranh, thu hút nhiều khách hàng và tiến tới đạt được mục tiêu kinh doanh.

"Rủi ro đến từ bên thứ ba, thứ tư có thể kể đến những vụ việc liên quan đến chuỗi cung ứng (supply chain) xảy ra gần đây. Thời gian tới, sẽ còn nhiều hơn nữa những vụ việc như vậy khi kẻ tấn công không tấn công trực diện mà sẽ đi qua bên thứ ba. Tấn công kiểu này dễ dàng hơn", ông Giang cho hay.

Tiếp theo là rủi ro đến từ di động (mobile) và đám mây (cloud). Hiện nay, ưu tiên di động (mobile first) là xu thế. Nhiều người hiện đã làm việc trên di động thay vì máy tính. Theo đó, những rủi ro này có thể đến từ ứng dụng của ngân hàng hoặc đến từ những thiết bị của nhân viên ngân hàng. 

Một tác nhân rủi ro nữa mà ông Giang cho biết chưa phổ biến ở Việt Nam nhưng đã phổ biến trên toàn cầu là rủi ro đến từ các thiết bị IoT. Khi có nhiều thiết bị kết nối với Internet và kết nối với nhau, việc tương tác nhiều hơn và mang lại trải nghiệm tốt nhất cho khách hàng, thì rủi ro từ thiết bị IoT sẽ tăng lên. Trong 1 - 2 năm tới, Việt Nam sẽ phải quan tâm tới xu hướng này.

Ông Đỗ Công Phú, Phó Giám đốc Trung tâm ứng cứu khẩn cấp không gian mạng VNCERT thuộc Cục ATTT - Bộ TT&TT cho biết bên cạnh những nguy cơ truyền thống trong những năm gần đây, các nước đang đối mặt với nguy cơ từ chuỗi cung ứng. Theo khảo sát của cơ quan an ninh mạng châu Âu (ENISA), các cuộc tấn công vào chuỗi cung ứng năm 2021 tăng gấp 4 lần so với năm 2020./.