Khuyến nghị cho ngân hàng đảm bảo ATTT trong kỷ nguyên số

Thách thức đối với lĩnh vực tài chính ngân hàng trong kỷ nguyên số

Ngành ngân hàng đóng vai trò "huyết mạch" của nền kinh tế quốc dân, có tác động, ảnh hưởng lớn đến ổn định kinh tế vĩ mô. Do đó, xác định rõ nhiệm vụ và trọng trách của mình, thời gian qua Ngân hàng Nhà nước (NHNN) đã luôn bám sát các chủ trương, định hướng chỉ đạo của Đảng, Chính phủ, Thủ tướng Chính phủ,... để chỉ đạo trên toàn ngành chủ động, tích cực triển khai đồng bộ nhiều giải pháp nhằm chủ động nắm bắt cơ hội từ cuộc CMCN 4.0 gắn với việc xây dựng và triển khai các chiến lược, kế hoạch chuyển đổi số (CĐS) toàn ngành cũng như tại từng tổ chức tín dụng.

Với quan điểm tiếp cận lấy người dân làm trung tâm và sự thuận tiện, trải nghiệm của người sử dụng dịch vụ là thước đo, ngành ngân hàng đã đạt được những thành quả bước đầu được đáng khích lệ, từ công tác kiến tạo thể chế, xây dựng hạ tầng công nghệ, phát triển dịch vụ, đảm bảo an ninh an toàn và được đánh giá là một trong những lĩnh vực đi đầu trong CĐS quốc gia. Ngành ngân hàng, tài chính Việt Nam cũng đã tiệm cận với các quốc gia phát triển trong khu vực, tạo điều kiện cho các DN hưởng lợi, góp phần đưa nền kinh tế đất nước đi lên.

Tuy nhiên, trong thời gian qua, tình hình ATTT có nhiều diễn biến phức tạp, khó dự báo. Các cuộc tấn công mạng không chỉ là mối đe dọa đến tình hình chính trị, an ninh quốc gia mà còn luôn là mối đe dọa thường trực tới hoạt động của mọi cơ quan, tổ chức, doanh nghiệp, đặc biệt là các tổ chức hoạt động trong lĩnh vực tài chính, ngân hàng, nơi được coi là huyết mạch của nền kinh tế quốc gia.

Chia sẻ tại chuyên đề 4 "Quản trị rủi ro và đảm bảo ATTT, an ninh mạng hoạt động ngân hàng trong kỷ nguyên số" trong khuôn khổ Diễn đàn cấp cao về CĐS ngân hàng (Smart banking 2022), ông Vũ Minh Tuấn, Phó Giám đốc Trung tâm tư vấn khối tài chính - ngân hàng của FPT, trong năm 2021, thiệt hại do tội phạm gây ra cho lĩnh vực tài chính ngân hàng toàn cầu là 3,6 tỷ USD, trong đó 2,7 tỷ USD là số tiền các ngân hàng bị phạt do liên quan tới hoạt động rửa tiền.

Theo báo cáo "Security Endpoint Threat Report", Việt Nam đứng thứ 2 châu Á về số lượng mã độc tống tiền (ransomware), tăng 200% so với năm 2020. Nghiên cứu của công ty mạng Viettel năm 2021 cũng cho thấy 90% cuộc tấn công mạng liên quan hệ thống tài chính ngân hàng trong năm 2021, tăng đến 42,4% so với năm 2020.

Theo thông tin từ Group-IB, công ty hàng đầu thế giới về an ninh mạng có trụ sở chính tại Singapore, đã phát hiện một vụ tấn công lừa đảo chưa từng có tiền lệ tại Việt Nam. Theo đó, Group-IB đã phát hiện 240 tên miền liên kết giả mạo nhằm mạo danh 27 tổ chức tài chính, ngân hàng quen thuộc của Việt Nam để tìm cách thu thập chi tiết thông tin cá nhân của các khách hàng, thậm chí là đánh cắp tài khoản ngân hàng của họ và sử dụng các kỹ thuật cho phép chúng vượt qua bước xác minh OTP. 

Ông Trần Đăng Khoa, Phó Cục trưởng Cục ATTT, Bộ TT&TT cũng cho biết các vụ việc lừa đảo trên mạng có xu hướng gia tăng, trong đó hầu hết là website giả mạo các tổ chức tài chính ngân hàng. "Chúng tôi đã nhận được hơn 4.000 phản ánh về trường hợp lừa đảo do người dùng Internet VN gửi đến qua các hệ thống cảnh báo và chúng tôi thực hiện kiểm tra. Kết quả hơn 95% cảnh báo này đều liên quan đến giả mạo, lừa đảo trong lĩnh vực ngân hàng và tài chính", ông Khoa bổ sung thêm.

Cũng theo Phó Cục trưởng Cục ATTT, tình hình ATTT trên thế giới nói chung và tại Việt Nam nói riêng ngày càng diễn biến phức tạp, trong thời gian qua Việt Nam và ngành tài chính ngân hàng của Việt Nam đã có rất nhiều nỗ lực để triển khai công tác đảm bảo ATTT mạng. Tuy nhiên, những nỗ lực đó vẫn là chưa đủ trước những thách thức, nguy cơ và mối đe doạ về an toàn, an ninh mạng (ATANM) có khả năng xảy ra.

Trước tình hình đó, ngày 10/8/2022, Thủ tướng Chính phủ đã ban hành Quyết định 964/QĐ-TTg phê duyệt Chiến lược ATANM quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030 với ba quan điểm xuyên suốt. Đó là ATANM là trọng tâm của quá trình CĐS, là trụ cột quan trọng tạo niềm tin số và sự phát triển thịnh vượng trong kỷ nguyên số; ATANM là nhiệm vụ trọng yếu, thường xuyên, lâu dài nhằm khởi tạo và duy trì môi trường an toàn, lành mạnh, tin cậy cho các cơ quan tổ chức, DN và người dân và đầu tư cho ATANM là đầu tư cho phát triển bền vững và tạo ra giá trị.

Chính vì vậy, thông qua hội thảo hôm nay, ông Trần Đăng Khoa mong muốn người lãnh đạo, người đứng đầu các tổ chức tài chính ngân hàng sớm nhận thức rõ hơn về vấn đề ATANM trong ngành, đồng thời khẩn trương chỉ đạo tổ chức triển khai những biện pháp đảm bảo ATANM.

Một số khuyến nghị giúp đảm bảo ATANM hoạt động ngân hàng

Phó Cục trưởng Cục ATTT cũng khuyến nghị một số nội dung mà các cơ quan, tổ chức trong ngành cần lưu ý. Đầu tiên là chỉ định, kiện toàn đầu mối đơn vị chuyên trách về ATTT mạng để làm tốt hơn công tác tham mưu, tổ chức triển khai công tác đảm bảo ATANM theo hướng triển khai đầy đủ các quy định của pháp luật về ATANM.

Thứ hai là tăng cường quán triệt tất cả cán bộ, công chức, viên chức, người lao động của ngành về 2 nguyên tắc đảm bảo ATTT mạng, đó là: hệ thống thông tin (HTTT) chưa kết luận đảm bảo ATTT mạng thì chưa đưa vào sử dụng và HTTT thử nghiệm có dữ liệu thật thì phải đảm bảo ATTT như hệ thống thật đã đưa vào vận hành và khai thác.

Thứ ba là tổ chức triển khai đầy đủ các giải pháp đảm bảo ATTT mạng. Cụ thể là các phần mềm nội bộ do DN cung cấp khi triển khai xây dựng cần tuân thủ khung phát triển phần mềm an toàn DevOps; hệ thống thống tin phải triển khai đầy đủ phương án đảm bảo ATTT theo các cấp độ. Đồng thời hệ thống thông tin phải được kiểm tra và đánh giá ATTT mạng định kỳ theo quy định của pháp luật. Nghị định 85/2016/NĐ-CP ngày 01/07/2022 quy định về bảo đảm an toàn HTTT theo cấp độ đã đưa ra các tiêu chí cụ thể để xác định 5 cấp độ HTTT và quy định cụ thể về thời gian lâu nhất phải đánh giá ATTT. Nhưng ngành tài chính ngân hàng là ngành được tội phạm mạng quan tâm nhất nên cần triển khai đánh giá theo chu kỳ đánh giá ngắn hơn, đặc biệt là khi nhận được nguy cơ cảnh báo của các cơ quan chức năng, các tổ chức trong ngành có thể rà soát để phát hiện lỗ hổng và săn tìm các mối nguy hại.

Thứ tư là HTTT phải được triển khai quản lý và vận hành đầy đủ theo mô hình 4 lớp theo Chỉ thị số 14/CT-TTg ngày 07/6/2019 của Thủ tướng Chính phủ về việc tăng cường bảo đảm ATANM nhằm cải thiện chỉ số xếp hạng của Việt Nam.

Ngoài ra, theo ông Trần Đăng Khoa, tài chính ngân hàng là 1/11 lĩnh vực quan trọng cần được ưu tiên đảm bảo ATTT, do đó cần triển khai đội ứng cứu cự cố máy tính (CERT) lĩnh vực để điều phối, cảnh báo các mối đe doạ, nguy cơ riêng cho ngành tài chính ngân hàng ngoài việc tham gia CERT chung của Việt Nam (VNCERT).

Cũng tại phiên thảo luận của hội thảo chuyên đề 4, các diễn giả đã thảo luận về những mối đe dọa mới đang thách thức các ngân hàng thương mại và tổ chức tài chính; những bài học kinh nghiệm rút ra từ năm 2021 để tăng cường bảo mật nhằm phát hiện và ngăn chặn các cuộc tấn công cũng như cách ứng dụng các công nghệ mới để đảm bảo an toàn cho hoạt động ngân hàng./.