Giả mạo định danh: thách thức và giải pháp
An toàn thông tin - Ngày đăng : 14:04, 04/11/2022
Theo Ngân hàng thế giới (WB), định danh số được coi là "yếu tố thay đổi cuộc chơi". Việc sử dụng rộng rãi định danh số sẽ tiết kiệm thời gian trong công việc hành chính, giảm tình trạng gian lận tài chính, mở rộng tín dụng tiêu dùng, tạo thuận lợi cho thương mại và tạo ra những thị trường mới.
Việc tăng cường, đẩy mạnh quá trình thực hiện định danh số các khách hàng trong mỗi ngân hàng không chỉ giúp hoàn thiện quy trình số hóa, giảm gian lận danh tính, duy trì quyền hạn và tăng tính minh bạch, thúc đẩy số hóa, dễ sử dụng các dịch vụ do ngân hàng cung cấp… mà về lâu dài còn có khả năng tạo ra các giá trị kinh tế số, kinh tế trưởng thành, bền vững cho mỗi quốc gia.
Tuy nhiên, cũng vì thế mà định danh số đã và đang trở thành mục tiêu số 1 của các cuộc tấn công mạng. Do đó, việc chủ động bảo vệ định danh số là một yếu tố then chốt trong chiến lược phòng thủ an ninh mạng và an toàn thông tin của các tổ chức, doanh nghiệp (DN) và cá nhân.
Định danh số không chỉ bao gồm yếu tố con người mà còn là định danh các ứng dụng, các hệ thống tự động hóa và định danh máy móc. Bảo mật định danh số cho thấy rằng bản chất của các tài khoản đặc quyền đang thay đổi nhanh chóng và mở rộng trong một thế giới mà số lượng, chủng loại và mối quan hệ tương hỗ của các định danh đang bùng nổ. Xu hướng này đang tạo ra các khía cạnh hoàn toàn mới của các nguy cơ an ninh mạng trong đó việc tổ chức bảo mật không đúng cách có thể tạo ra các luồng tấn công nghiêm trọng vào các tài sản có giá trị nhất của tổ chức, DN.
Giải pháp giúp giảm thiểu giả mạo định danh người dùng
Bảo mật định danh số tập trung vào việc bảo mật các định danh cá nhân trong suốt quá trình truy cập vào các tài sản số. Điều này có nghĩa là sẽ cần phải xác thực định danh đó một cách chính xác, cung cấp cho định danh đó quyền hạn phù hợp, cho phép truy cập vào các tài sản đặc quyền một cách có quản lý và tất cả quá trình này cần được theo dõi, kiểm tra, rà soát để chắc chắn toàn bộ quá trình hoạt động chính xác.
Theo ông Vũ Minh Tuấn, Phó Giám đốc Trung tâm tư vấn khối Tài chính - Ngân hàng của Công ty Hệ thống thông tin FPT (FPT IS), cùng với sự phát triển mạnh mẽ của xu hướng ngân hàng số, thanh toán không tiền mặt… Việt Nam đang trở thành "mảnh đất màu mỡ" để tội phạm tài chính khai thác. Thời gian qua, giao dịch trên không gian số của ngành ngân hàng đang gia tăng cả về số lượng cũng như giá trị. Cùng với đó các hành vi giả mạo, gian lận, lừa đảo, tấn công mạng, rửa tiền… cũng gia tăng gây thiệt hại không nhỏ cho người dùng ngân hàng, đồng thời cũng ảnh hưởng không nhỏ đến danh tiếng, hoạt động của các ngân hàng tổ chức tài chính.
Để chống giả mạo định danh người dùng, giả dụ một số bên có thể dùng tên, định danh cá nhân của người khác đăng ký và giao dịch (vì lý do nào đó) thì vấn đề không còn nằm ở định danh nữa mà chốt chặn cuối cùng là khâu xác thực điện tử. Nhưng xác thực an toàn nhất vẫn là sinh trắc học (vân tay, hình ảnh…), đặc biệt là áp dụng cho các giao dịch về tài chính; mục đích là để cá thể hóa bên giao dịch vào từng thời điểm giao dịch, tránh sử dụng các dạng mật mã, OTP, phương thức xác thực điện tử hay vật lý truyền thống vốn dễ bị theo dõi, đánh cắp và thường được sử dụng phổ biến trên các thiết bị cá nhân phổ biến như điện thoại di động thông minh, máy tính để bàn, máy tính xách tay…
Ông Vũ Minh Tuấn cho biết việc sử dụng hệ thống công nghệ sẽ giúp ngành tài chính - ngân hàng phát hiện sớm gian lận đặc biệt trong việc định danh khách hàng. Công nghệ giúp chúng ta nhận diện khách hàng từ thời điểm đăng ký dịch vụ, giúp xác thực thông tin định danh khách hàng từ nhiều nguồn và được thực hiện nhanh chóng, thuận tiện trên các kênh số. Các công nghệ như AI - OCR sẽ hỗ trợ nhận dạng số hóa thông tin khách hàng, AI - NLP nhận dạng chính xác tên, địa chỉ khách hàng, Face ID hỗ trợ nhận dạng liveness (Liveness detection là công nghệ có thể thông qua sinh trắc học phân tích, so sánh, định dạng những đặc điểm gương mặt người dùng và xác nhận danh tính của họ, từ đó giúp ngăn chặn những hành vi cắp dữ liệu thông tin người dùng bằng những hình ảnh, khuôn mặt, video giả mạo).
"Chúng ta có thể kiểm tra hình ảnh khách hàng trên các kênh khác nhau, so sánh trùng khớp với thông tin đăng ký, xác thực thông tin khách hàng qua cuộc gọi video và xây dựng chân dung, hành vi khách hàng dựa trên công nghệ phân tích dữ liệu lớn", ông Vũ Minh Tuấn chia sẻ thêm.
Bảo mật định danh ứng dụng
Theo ông Đỗ Đức Huy, chuyên gia tư vấn giải pháp, Cyber Ark khu vực Đông Nam Á, CĐS mang lại nhiều lợi ích, giúp giảm chi phí vận hành, tăng cường trải nghiệm người dùng. Tuy nhiên, khi CĐS thì số lượng các giải pháp ứng dụng được triển khai cũng gia tăng đáng kể. Điều này dẫn đến tình trạng quản lý các tài khoản định danh đặc quyền đối với hệ thống thông tin, ứng dụng của DN trở nên phức tạp hơn bao giờ hết.
Ví dụ, hệ thống tự động hóa quy trình làm việc xử lý một loạt những hành động được lặp lại nhiều lần trong ngân hàng có thể sử dụng hàng trăm bot khác nhau. Để hệ thống hoạt động trơn tru, các bot này cần được lập trình và thiết lập các thông tin cần thiết.
Theo chia sẻ của ông Huy, trong giai đoạn CĐS hiện nay, số lượng tài khoản ứng dụng sử dụng hiện nay có thể gấp 40 - 50 lần tài khoản do con người sử dụng. Để các hệ thống đó có thể tương tác và làm việc với nhau thì các tài khoản ứng dụng với người dùng (user) và mật khẩu (password) cụ thể sẽ được thiết lập để tương tác với nhau, khi đó thông tin này được lưu trữ trên mạng và rất dễ bị rò rỉ.
Các tài khoản đặc quyền này là yếu tố cực kỳ mạnh mẽ, cho phép các người dùng đặc quyền đăng nhập và có toàn quyền điều khiển hệ thống với đầy đủ thông tin nhất. Tài khoản tích lũy càng nhiều đặc quyền và quyền truy cập, thì khả năng lạm dụng, lợi dụng hoặc lỗi càng lớn. Lỗ hổng này có khả năng gây ra những tổn thất lớn về tài chính và thiệt hại nặng về danh tiếng cho các DN. Đối với DN, mối đe dọa nội bộ tiềm tàng này là đặc biệt khó khăn để quản lý, bởi chúng được lưu trữ trên từng hệ thống một và tạo ra các các ốc đảo, khi số lượng tăng lên thì rất khó kiểm soát; các tài khoản đặc quyền có thông tin bảo mật rất khó áp dụng cơ chế chính sách bảo mật chung,…
Thực hiện quản lý đặc quyền không chỉ giảm thiểu khả năng xảy ra vi phạm bảo mật mà còn giúp hạn chế phạm vi vi phạm nếu có vi phạm xảy ra.
Để thực hiện việc này, ông Đỗ Đức Huy cho biết, các tổ chức, DN có thể sử dụng giải pháp quản PIM (Privileged Identity Management) của CyberArk. Giải pháp giúp bảo mật, quản lý chặt chẽ các bản ghi tất cả các tài khoản đặc quyền và các hoạt động liên quan đến quản lý trung tâm dữ liệu. Các tài khoản đặc quyền trong DN, tổ chức được bảo vệ bằng cách tự động luân phiên các thông tin đăng nhập dựa trên chính sách đã được định sẵn bởi quản trị cấp cao. Một điểm khác biệt giữa PIM và các loại công nghệ bảo mật khác là PIM có thể tháo dỡ nhiều điểm của chuỗi tấn công mạng, cung cấp khả năng bảo vệ chống lại cả cuộc tấn công từ bên ngoài cũng như các cuộc tấn công xâm nhập vào mạng và hệ thống./.