Đảm bảo an toàn, an ninh thông tin ngân hàng: Cần xây dựng "kịch bản" cụ thể cho mọi tình huống tấn công

Đỗ Minh| 29/12/2021 12:29
Theo dõi ICTVietnam trên

Khi các đối tượng, tội phạm sử dụng công nghệ cao ngày càng gia tăng, hình thức tấn công luôn tinh vi, nhanh, bất ngờ thì việc các tổ chức tín dụng, ngân hàng (NH) luôn phải chủ động, tăng cường các giải pháp bảo vệ, bảo mật, an toàn thông tin (ATTT) trở thành nhiệm vụ quan trọng, sống còn, đảm bảo sự phát triển.

Để góp phần nâng cao hiệu quả cho nhiệm vụ này, mới đây, Ban Cơ yếu Chính phủ, Tập đoàn Dữ liệu quốc tế Việt Nam (IDG) đã tổ chức hội thảo Vietnam Cyber Security 2021 với chủ đề "Đảm bảo an toàn, an ninh thông tin (ATANTT) ngành NH giai đoạn bình thường mới".

Các NH cần xây dựng các kịch bảnđể khắc phục sự cố khi bị tấn công

Đánh giá kết quả hiện trạng công tác này, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ, cho biết, số lượng các vụ tấn công vào hệ thống mạng năm 2021 vẫn tăng cao, đặc biệt các vụ tấn công truy cập trái phép mạng, lây nhiễm mã độc tăng 30% so với năm 2020 và Việt Nam vẫn nằm trong số quốc gia bị tấn công mạng, lây nhiễm mã độc nhiều.

Phương thức chủ yếu của các cuộc tấn công này thường trực tiếp vào hệ thống dữ liệu của NH, đối tác khách hàng, website, hệ thống, giao diện chuyển tiền… Bên cạnh đó, sự phát triển của các hoạt động thương mại, thanh toán điện tử ở Việt Nam đã tạo cơ hội để tội phạm mạng khai thác tấn công gây mất trật tự an ninh, bức xúc dư luận xã hội.

"Khi Việt Nam đang thúc đẩy mọi thanh toán không dùng tiền mặt thì nhiệm vụ của các bên cung cấp dịch vụ tài chính, các ngân hàng cần đảm bảo tăng cường các giải pháp bảo mật, đảm bảo an ATANTT là việc quan trọng, cấp thiết, ưu tiên hiện nay", Trưởng ban Ban Cơ yếu Chính phủ nhấn mạnh.

Đồng quan điểm về việc này, Thiếu tướng Nguyễn Văn Giang, Phó Cục trưởng Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an cho biết, các đối tượng công nghệ cao khi tấn công vào hệ thống mạng đã gây ra hậu quả, hệ lụy tổn thất khó lường.

Đảm bảo AT, ANTT ngân hàng: Cần xây dựng

Thiếu tướng Nguyễn Văn Giang cho rằng các NH cần chung sức, hợp lực từ nhiều phía (đối tác dịch vụ mạng, người sử dụng)...

Tính đến nay, có 11,9 triệu tài liệu của 14 công ty, dịch vụ tài chính trên thế giới bị tin tặc tấn công, thu thập… Tại Việt Nam, hệ thống thông tin của các cơ quan Đảng, Chính phủ, tập đoàn kinh tế, tổng công ty, NH, tổ chức tài chính liên tục là mục tiêu hàng đầu để tin tặc tấn công.

Năm 2021, cơ quan chức năng đã phát hiện hàng nghìn trang, cổng thông tin điện tử Việt Nam bị tấn công chèn nội dung, thông điệp của tin tặc và thay đổi giao diện; phát hiện hàng nghìn địa chỉ IP của khách hàng, nhà cung cấp dịch vụ Internet trong nước bị tấn công mã độc.

"Các vụ tấn công mạng đã khiến lĩnh vực NH tổn thất hàng trăm tỷ đồng, đồng thời, gây ra các tình trạng mất an ninh, an toàn, lộ, lọt thông tin, dữ liệu các khách hàng vay, nợ, gửi tiền tiết kiệm…", Thiếu tướng Nguyễn Văn Giang nhấn mạnh.

Cũng theo Thiếu tướng Giang, bên cạnh nỗi lo thường trực bị tấn công, các NH hiện đang tồn tại các hạn chế: Chưa phổ biến nhiều kỹ năng cần thiết cho khách hàng khi sử dụng, thực hiện các giao dịch, dịch vụ trên không gian mạng; nhân viên NH chỉ chú trọng về chỉ tiêu, gia tăng số lượng khách hàng (chưa chấp hành tốt quy định về định danh khách hàng, phòng chống rửa tiền, nhiều tài khoản ngân hàng rách làm tăng nguy cơ rửa tiền, tài trợ khủng bố); công tác bảo mật thông tin khách hàng còn sơ hở (có tình trạng mua bán trái phép thông tin, dữ liệu khách hàng); chưa áp dụng mạnh mẽ các ứng dụng kỹ thuật, CNTT, các quy định phòng, chống rửa tiền, phong tỏa tài khoản thanh toán …

Do vậy, để đảm bảo ATANTT cho ngành NH, theo Thiếu tướng Giang, các NH cần chung sức, hợp lực từ nhiều phía (đối tác dịch vụ mạng, người sử dụng); cần sự hỗ trợ tích cực từ các đơn vị cung cấp giải pháp CNTT, bảo mật dữ liệu, cơ quan quản lý nhà nước, cơ quan Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an.

Cùng với đó, các NH cần tập trung nâng cao nhận thức, kỹ năng phòng, chống tội phạm mạng cho cho cán bộ, nhân viên ngân hàng, khách hàng; xây dựng, ban hành, chấp hành nghiêm các quy trình nghiệp vụ NH về việc đóng, mở, giao dịch tài khoản; tăng cường phối hợp, trao đổi thông tin với cơ quan công an khi phát sinh các tình huống thực thế…

"Các NH phải tăng cường nâng cao tiềm lực về con người và phương tiện thông qua đào tạo, tập huấn, đặc biệt, đầu tư kinh phí xây dựng hệ thống giám sát, điều hành an ninh mạng (ANM) để theo dõi, ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng, đánh giá các điểm yếu, lỗ hổng mạng hệ thống tài chính NH và phải xây dựng các "kịch bản" cụ thể cho mọi tình huống tấn công để giảm thiểu tổn thất, hậu quả", Thiếu tưởng Giang nhấn mạnh.

Mã độc tấn công mạng đã phát triển và trở thành mối đe dọa phổ biến

Không chỉ nêu quan điểm tập chung cho các giải pháp kỹ thuật để nhận diện các cuộc tấn công mạng, ông Robert Trọng Trần, Phó Tổng giám đốc Dịch vụ rủi ro công nghệ & an toàn thông tin mạng của Ernst &Young Việt Nam cho rằng, các NH khi thực hiện công việc này cần tạo môi trường điều hành theo hướng mở, ở đó không có khoảng cách giữa ban lãnh đạo và các bộ phận, nhân viên kỹ thuật ATTT.

"Ngành tài chính, NH muốn đảm bảo ATANTT, khi ban lãnh đạo họp không thể thiếu thành phần tham dự là bộ phận nghiệp vụ ATANTT và bộ phận này cần phải được ưu tiên, chú trọng đầu tư nhằm nâng cao năng lực, trình độ", ông Robert Trọng Trần nhấn mạnh.

Trên quan điểm khác, ông Nguyễn Ngọc Quân, Giám đốc Trung tâm ATTT, Tập đoàn VNPT cho biết thêm hiện nay xu hướng tấn công và các rủi ro trong hoạt động thanh toán NH năm 2021 đang tồn tại những hạn chế: Các ứng dụng, nền tảng số chưa áp dụng quy trình phát triển; các hệ thống thử nghiệm chưa đảm bảo ATANTT kết nối dữ liệu thật; lộ dữ liệu cá nhân khách hàng; nguy cơ mất ATANTT trên các thiết bị đầu cuối.

Đối với các NH, các rủi ro ATANTT đang tồn tại như: dử dụng bộ công cụ phần mềm (SDK), ứng dụng phần mềm bên thứ ba (third-party software), mã nguồn mở (open source)… khó kiểm soát; các hệ thống ứng dụng web, giao tiếp lập trình ứng dụng (API) công khai ra Internet không được đánh giá ATANTT; các tính năng module trên web và các ứng dụng di động phát triển liên tục.

Đảm bảo AT, ANTT ngân hàng: Cần xây dựng

Ông Nguyễn Ngọc Quân, Giám đốc Trung tâm ATTT, Tập đoàn VNPT cho rằng các NH cần thường xuyên kiểm tra thử nghiệm cấp độ an toàn mạng (Penetration Test).

Trong khi đó, rủi ro đối với các giao dịch thanh toán (bao gồm mobile money) là: mở tài khoản trực tuyến NH số thông qua định danh khách hàng điện tử eKYC; chưa đồng nhất các giao dịch, liên kết, đơn vị trung gian thanh toán, NH; các tính năng module trên web và ứng dụng di động phát triển liên tục chưa kiểm soát về ATANTT; các hành vi lừa đảo người dùng (phishing) ngày càng tinh vi trong quá trình giao dịch thanh toán.

Trước thực trạng đó, ông Quân cho rằng, giải pháp đảm bảo ATTT cho các NH số cần: Thường xuyên kiểm thử mức độ an toàn mạng (penetration test) - đây là một tiêu chí bắt buộc đối với các hệ thống thông tin có kết nối, cung cấp thông tin, dịch vụ ra Internet, kết nối với khách hàng và bên thứ ba; thường xuyên tổ chức kiểm tra, đánh giá ATANTT (thực hiện định kỳ theo các cấp độ của hệ thống thông tin); hệ thống các dịch vụ giao dịch trực tuyến áp dụng biện pháp giám sát chặt chẽ và phát hiện cảnh báo các giao dịch đáng ngờ.

Nhìn nhận ở khía cạnh khác, ông Nguyễn Khánh Lượng, phụ trách giải pháp bảo mật, IBM Việt Nam cho biết, hiện nay các mã độc tống tiền (ransomware) hiện nay đã phát triển và trở thành mối đe dọa phổ biến, hoạt động liên kết hoặc chuyển nhượng quyền, cho phép nhiều phương thức (vector) lây nhiễm sử dụng cùng một phần mềm tống tiền.

"Thật không may, không phải tất cả các cuộc tấn công mạng đều đến từ bên ngoài và bất kỳ ai cũng có thể là người trong cuộc (14% người dùng bị xâm phạm, 62% người dùng bất cẩn)", ông Lượng dẫn chứng.

Trên quan điểm là đại diện hiệp hội, ông Vũ Quốc Khánh, Phó Chủ tịch Hiệp hội ATTT Việt Nam, cho biết để ngăn chặn các rủi ro, sự cố mất ATANTT, các NH cần tích cực tham gia vào các mạng lưới ứng cứu sự cố quốc gia và thực hiện quy định việc báo cáo các sự cố .

"Đặc biệt, khi tham gia, các NH cần cam kết việc bảo mật thông tin, chia sẻ các vấn đề kỹ thuật; cấp lãnh đạo cần tìm hiểu, nhận thức đúng tầm quan trọng của ATANTT để sử dụng hiệu quả trong các nghiệp vụ, dịch vụ NH", ông Khánh nhấn mạnh./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Những đại học tuyển sinh ngành Vi mạch bán dẫn năm 2024, lương SV ra trường gần 220 triệu đồng/năm sau thuế
    Đứng trước những tiềm năng nghề nghiệp rộng mở của ngành công nghiệp bán dẫn, các ngành và chuyên ngành liên quan đang nhận được rất nhiều sự quan tâm của nhiều thí sinh và phụ huynh.
  • Cha mẹ hiểu biết để bảo vệ trẻ em trên không gian mạng
    Các chủ đề bảo mật, an toàn mạng trên quy mô toàn cầu là một phần công việc và dịch vụ hàng ngày mà các công ty viễn thông cung cấp cho người dùng. Mặc dù Internet đại diện cho một nguồn khả năng vô tận, nhưng bên cạnh những mặt tích cực, các công nghệ mới cũng ẩn chứa rất nhiều rủi ro nếu chúng được sử dụng một cách liều lĩnh và chúng ta không nhận thức được những rủi ro này. Đó là lý do tại sao phải nâng cao nhận thức cho người dùng, đặc biệt là những người trẻ tuổi nhất biết bảo vệ bản thân trong môi trường ảo.
  • Tổng Bí thư Nguyễn Phú Trọng dành sự quan tâm đặc biệt cho việc xây dựng nền báo chí cách mạng
    Đồng chí Nguyễn Phú Trọng bắt đầu sự nghiệp bằng nghề báo. Ông trải qua các vị trí công tác ở Tạp chí Học tập, nay là Tạp chí Cộng sản từ cán bộ tư liệu, biên tập viên, Trưởng ban, Phó Tổng Biên tập đến Tổng Biên tập. Là một nhà báo, ông còn tham gia giảng dạy, đào tạo đội ngũ người làm báo Việt Nam tại Học viện Báo chí-Tuyên truyền.
  • Cuốn sách giới thiệu tổng quan về tư tưởng và triết lý Phật giáo
    “Tư tưởng Phật Giáo - Một giới thiệu toàn diện về truyền thống Ấn Độ” là cuốn sách đầu tiên mở đầu cho tủ sách về Phật giáo của Omega+, được xuất bản với sự giới thiệu và hợp tác dịch thuật của Dự án Phật học Tinh hoa Thế giới.
  • Từ đại học số đến đại học AI
    Trong khuôn khổ chương trình Hội nghị chiến lược của trường Đại học (ĐH) CMC, ông Nguyễn Trung Chính, Chủ tịch Tập đoàn công nghệ CMC, Chủ tịch Hội đồng trường ĐH CMC đã công bố ra mắt “AI University”.
Đừng bỏ lỡ
  • 7 bài học rút ra từ sự cố CrowdStrike
    Sự cố CrowdStrike xảy ra mới đây là một lời cảnh tỉnh cho các công ty, chính phủ và ngành công nghệ. Và các đội ngũ CNTT có thể học được điều gì từ thảm họa cập nhật phần mềm đã gây chấn động này?
  • Một kỷ niệm không bao giờ quên về Tổng Bí thư!
    Hội báo Xuân đầu năm 2015 cách đây gần 10 năm, khi còn đang làm việc tại báo điện tử VnMedia, tôi rất vinh dự được đón tiếp Bác tới thăm quan gian báo chí của Liên chi hội nhà báo Thông tin và Truyền thông.
  • Doanh nghiệp viễn thông đang tiên phong triển khai cáp quang biển quốc tế
    Các doanh nghiệp (DN) viễn thông đang tiên phong triển khai các tuyến cáp quang biển quốc tế. Dự kiến, đến cuối năm 2024 sẽ có thêm 1 tuyến (ADC) đi vào hoạt động, năm 2025 thêm 1 tuyến (SJC5) và trước 2027 thêm 1 tuyến (ALC).
  • Amazon ghi nhận doanh số kỷ lục mùa Prime Day 2024
    Các doanh nghiệp nhỏ và vừa đã góp phần tạo nên sự đa dạng trong danh mục sản phẩm trên Amazon, bán ra hơn 200 triệu sản phẩm trong 2 ngày diễn ra sự kiện Prime Day.
  • Olympic Paris 2024: Cơ hội để tội phạm mạng tấn công
    Các chuyên gia công nghệ của FortiGuard Labs đưa ra dự đoán sự kiện sắp tới Thế vận hội Olympic Paris 2024 (26/7 - 11/8/2024) tới tại Paris (Pháp), sẽ là thời điểm tội phạm mạng tìm kiếm cơ hội tấn công người dùng mạng.
  • ‏6 tháng đầu năm 2024, người Việt chi hơn 143.000 tỷ đồng mua sắm trên các sàn TMĐT ‏
    Thương mại điện tử (TMĐT) Việt Nam đang tiếp tục phát triển ổn định khi 5 sàn hàng đầu có mức tăng trưởng trên 54% về doanh số và sản lượng khi ‏đạt 143,9 nghìn tỷ đồng cùng 1.533 triệu sản phẩm giao thành công trong 6 tháng đầu năm 2024.‏
  • Kỳ lân AI Cohere được định giá 5,5 tỷ USD
    Công ty khởi nghiệp (startup) về trí tuệ nhân tạo (AI) Cohere hiện là một trong những công ty AI có giá trị nhất thế giới và là một trong những startup lớn nhất tại Canada.
  • Tổng Bí thư Nguyễn Phú Trọng - Nhà báo say mê, yêu nghề, ham học hỏi
    Nhà báo Nguyễn Phú Trọng đã kinh qua nhiều công việc của nghề báo, nắm rất chắc tư duy và phương pháp làm báo và biết được sự trăn trở, suy tư của người làm báo để có được một tác phẩm báo chí tốt và kịp thời phục vụ công chúng.
  • Vietnam F&B Summit 2024: Hội nghị cấp cao về Kinh doanh Ẩm thực tại Việt Nam
    iPOS.vn sẽ tổ chức Hội nghị Vietnam F&B Summit 2024 với quy mô lớn. Với chủ đề: Dòng tiền Thông thái, hội nghị sẽ tập trung thảo luận về các vấn đề về thị trường F&B trong 6 tháng đầu năm 2024, và tìm ra phương án đầu tư, kinh doanh hiệu quả trong thời kỳ kinh tế khó khăn. Chương trình tự hào được đồng hành và tài trợ bởi Nestle Việt Nam và Tân Nhất Hương.
  • Các chiêu thức lừa đảo tinh vi lợi dụng sự cố CrowdStrike
    Theo cảnh báo từ chính phủ Mỹ và nhiều chuyên gia an ninh mạng, tội phạm mạng đã lợi dụng sự hỗn loạn từ sự cố ngừng hoạt động CNTT toàn cầu trên diện rộng ngày 19/7 bằng cách quảng bá các trang web giả mạo chứa đầy phần mềm độc hại được thiết kế để tấn công những nạn nhân không mảy may nghi ngờ.
Đảm bảo an toàn, an ninh thông tin ngân hàng: Cần xây dựng "kịch bản" cụ thể cho mọi tình huống tấn công
POWERED BY ONECMS - A PRODUCT OF NEKO