KỲ III: RỦI RO CÓ THỂ ĐẾN TỪ ĐÂU
Rủi ro có thể đến từ chính sự bất cẩn của khách hàng; từ sự mất cảnh giác, thiếu đạo đức nghề nghiệp của nhân viên đơn vị cung ứng dịch vụ; do thiếu đồng bộ, thiếu chuẩn về hạ tầng công nghệ của các bên tham gia thị trường. Hiện toàn bộ thông tin của chúng ta nằm trên điện thoại di động, trên mạng xã hội, email, trong lưu trữ ngân hàng, các tài khoản ví điện tử, thẻ thành viên… Nếu chúng ta kết nối vạn vật thì không chỉ điện thoại di động hay máy tính bảng mà thậm chí tủ lạnh thông minh, cây xăng, các camera ngoài đường, cảm biến quan trắc cũng có thể trở thành “cửa ngõ” để hacker tấn công. |
KHÁCH HÀNG LÀ TRUNG TÂM Lấy khách hàng hàng trung tâm, đây không phải là khẩu hiệu mà là định hướng phát triển ngân hàng số nhiều NHTM đã, đang thực hiện. Thế nhưng cũng chính vì thế, gần đây ngân hàng gặp khá nhiều rắc rối bởi sự bất cẩn, thiếu cảnh giác của “thượng đế”. Bất chấp việc các ngân hàng trong nhiều năm gần đây liên tục đưa ra cảnh báo về các phương thức lừa đảo, cách thức tấn công của kẻ gian nhưng nhiều khách hàng vẫn… sập bẫy. Từ các vụ việc khách hàng mất tiền khi sử dụng dịch vụ ngân hàng điện tử, có thể nhận thấy một số phương thức, thủ đoạn và nguy cơ rủi ro phổ biến trong thanh toán: Lừa đảo khách hàng để chiếm đoạt thông tin tài khoản qua việc tạo ra các website giả mạo giống hệt website của ngân hàng; dụ khách hàng truy cập vào và khai báo thông tin cá nhân để nhận thưởng, nhận quà khuyến mại; dọa dẫm khách hàng phải “phối hợp điều tra với cơ quan công an“. Kẻ gian cũng có thể giả danh người thân, bạn bè nhờ nhận tiền từ nước ngoài chuyển về rồi yêu cầu khách hàng đăng nhập vào đường dẫn trang web được cung cấp sẵn bằng tên đăng nhập (username) và mật khẩu tài khoản, nhập tiếp mã OTP (được ngân hàng gửi vào số điện thoại hoặc email của khách hàng). Khi khách hàng làm xong tất cả các bước này đồng nghĩa với việc tự nguyện trao quyền kiểm soát tài sản của mình cho kẻ gian. Lại có hình thức lừa đảo rất thô sơ mà khách hàng không nhận ra: Giả danh là nhân viên của chính ngân hàng yêu cầu khách hàng cung cấp số thẻ, mật khẩu và mã xác thực OTP vì… "có khoản tiền treo cần chuyển về tài khoản"... Phải khẳng định rằng, nếu tỉnh táo thì khách hàng dễ dàng nhận diện những phương thức lừa đảo trên. Vì khi cung cấp dịch vụ ngân hàng điện tử, ngân hàng luôn lưu ý khách hàng không cung cấp mã OTP và mật khẩu truy cập cho bất cứ ai, kể cả ngân hàng. *Khi cung cấp dịch vụ ngân hàng điện tử, ngân hàng luôn lưu ý khách hàng không cung cấp mã OTP và mật khẩu truy cập cho bất cứ ai, kể cả ngân hàng. |
Giải quyết được nỗi lo của người dùng về tính an toàn, bảo mật hay đảm bảo quyền lợi hợp pháp của khách hàng cũng sẽ khuyến khích người dân đến với các hình thức TTKDTM một cách vui vẻ, tự nguyện…", Phó Thống đốc NHNN Nguyễn Kim Anh. |
Ngân hàng - "Địa chỉ đỏ" của hacker Khoảng 73% các cuộc tấn công trên không gian mạng là tấn công vào hệ thống tài – chính ngân hàng. Trong năm 2019, trên thế giới đã xảy ra nhiều vụ tấn công gây thiệt hại lớn, như: Vụ tội phạm tấn công vào ngân hàng Maita chuyển 13 triệu USD qua các giao dịch quốc tế; 3 ngân hàng ở Bangladesh bị tin tặc cài phần mềm độc hại lấy đi 3 triệu USD; hay vụ một máy chủ của nhà cung cấp dịch vụ tài chính Brazil có lỗ hổng bảo mật dẫn đến bị lộ lượng dữ liệu khổng lồ lên đến 250GB về khách hàng của ngân hàng… Theo số liệu của EY Việt Nam, trong năm 2018, có 8.319 cuộc tấn công mạng liên quan đến ngành ngân hàng ở Việt Nam; 560.000 máy tính bị ảnh hưởng bởi phần mềm độc hại có thể đánh cắp thông tin tài khoản ngân hàng. Việt Nam xếp hạng 7 toàn cầu trong mục tiêu tấn công của Trojan (chương trình độc hại) ngân hàng năm 2018. Rủi ro về bảo mật gia tăng làm ảnh hưởng đến lòng tin của khách hàng và được xem là một trong những nhân tố chính cản trở sự phát triển các phương tiện giao dịch điện tử tại Việt Nam. Năm 2019, một số NHTM Việt Nam đã bị tin tặc tấn công lấy thông tin khách hàng để tống tiền, rao bán trên mạng. Ông Lê Mạnh Hùng, Cục trưởng Cục Công nghệ thông tin (NHNN), cho biết chỉ với 50 USD đến 2.000 USD tin tặc đã có thể mua được công cụ tấn công mạng. Thông tin về thẻ tín dụng của một khách hàng có thể bán được 2 USD đến 10 USD trên thị trường chợ đen. Do đó, theo ông Hùng: “Nếu chúng ta chỉ quan tâm phát triển sản phẩm dịch vụ mà không triển khai các giải pháp an ninh bảo mật tương ứng với mức độ quan trọng và rủi ro của hệ thống thì hậu quả sẽ rất lớn”. |
“Nếu chỉ quan tâm phát triển sản phẩm mà không triển khai các giải pháp an ninh bảo mật thì hậu quả sẽ rất lớn” - ông Lê Mạnh Hùng. |
Theo thống kê từ Ngân hàng Nhà nước, đến cuối tháng 9/2019, trên toàn quốc có khoảng 18.940 máy ATM; 275.660 máy POS. Số lượng giao dịch qua ATM trong 9 tháng đầu năm 2019 đạt 257.611.904 món với giá trị giao dịch 705.091 tỷ đồng, thanh toán qua POS đạt 87.127.076 món với giá trị giao dịch 158.483 tỷ đồng; số lượng giao dịch tài chính qua kênh Internet đạt hơn 310 triệu giao dịch, qua điện thoại trên 350 triệu giao dịch… Tóm lại, 46,3 triệu người trưởng thành ở Việt Nam đã mở khoảng 84,9 triệu tài khoản cá nhân. Từ các tài khoản này, khách hàng có thể chuyển tiền, TTKDTM cho rất nhiều loại hóa đơn (điện, nước, điện thoại, game, internet, truyền hình, vé xem phim…) và thậm chí cho cả các giao dịch kinh doanh không được pháp luật thừa nhận (như đầu tư tiền ảo, tham gia cá cược, đánh bạc trên mạng…), giao dịch bị nghi ngờ là rửa tiền... Do đó, trong số hàng trăm triệu giao dịch TTKDTM nói trên thì việc xảy ra rủi ro là không thể tránh khỏi. Ngoài những nguyên nhân mang tính khách quan, bất khả kháng nêu trên, cũng phải thừa nhận thực tế là rủi ro còn đến từ đạo đức nghề nghiệp của nhân viên ngân hàng, nhân viên bên trung gian thanh toán. Tháng 11/2019, lần đầu tiên một NHTM đã quyết định công khai việc xử lý cán bộ có hành vi đánh cắp tài liệu nội bộ mang tính bảo mật. “Hành vi vi phạm của cán bộ nhân viên này đã được bộ phận An ninh thông tin chủ động phát hiện và ngăn chặn kịp thời, khẳng định quy trình quản trị rủi ro hiệu quả nhằm bảo mật dữ liệu của ngân hàng và thông tin khách hàng", thông cáo của ngân hàng này viết và cảnh báo: Sự việc chắc chắn sẽ tạo một tì vết không nhỏ trong hồ sơ cá nhân của V., bởi những hành vi vi phạm nghiêm trọng đạo đức nghề nghiệp sẽ không được chấp nhận trong hệ thống ngân hàng và các tổ chức chuyên nghiệp khác – vốn luôn coi trọng bảo vệ giá trị tài sản trí tuệ, bảo vệ lợi ích khách hàng. Theo ông Lê Xuân Minh, Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an): Chỉ một lần chúng ta bỏ qua quy trình bảo mật đã tạo lỗ hổng cho tin tặc. Trong khi các ngân hàng ở trụ sở chính bảo mật cao thì ở nhiều chi nhánh chưa cảnh giác. Tại thời điểm tháng 12/2019, toàn ngành Ngân hàng Việt Nam có khoảng 5.700 cán bộ làm việc trong lĩnh vực công nghệ thông tin. Gần đây, kịch bản của các hacker là tấn công từ cấp thấp - các kỹ sư công nghệ thông tin của đơn vị, rồi “nằm vùng” để dần chiếm quyền của cấp cao hơn. Ông Nguyễn Thế Thịnh, Phó Giám đốc Trung tâm Công nghệ thông tin Vietinbank cho biết, để bảo vệ khỏi các cuộc tấn công của hacker từ trong nội bộ, Vietinbank chủ trương đầu tư nhiều khâu phòng thủ theo chiều sâu, xây tưởng lửa, thiết lập hệ thống giám sát quản lý lỗ hổng bảo mật. Vietinbank cũng thường xuyên cập nhật các biện pháp bảo mật. Hệ thống đầu cuối (thiết bị cá nhân của nhân viên) đều phải được cài phần mềm kiểm soát. Tất cả bộ phận của ngân hàng đều có nhu cầu truy cập internet nên nguy cơ xảy ra rủi ro khá lớn. Do đó, ngân hàng chỉ cho phép cán bộ, nhân viên truy cập thông qua vùng máy ảo, vùng đệm với mật khẩu được tự động thay đổi sau mỗi lần truy cập. Được biết, nhiều ngân hàng cũng không cho phép cán bộ dùng máy tính, email cá nhân để truy cập mạng nội bộ khi làm việc. Các thiết bị điện tử nếu dùng truy cập vào hệ thống nội bộ đều phải cài phần mềm theo dõi, kiểm soát nhằm giảm vi rút và giảm nguy cơ tấn công. Truy cập của một người nếu có dấu hiệu bất thường như truy cập thời gian dài, truy cập vào vùng không “phận sự”… đều sẽ bị đưa vào dạng nghi vấn. Đã có ngân hàng đuổi việc một cán bộ công nghệ thông tin chỉ vì tò mò vào xem số dư trên tài khoản của khách hàng. |
Tuy nhiên, lãnh đạo một NHTM lớn cũng thừa nhận: “Cả hệ thống của chúng tôi có gần 24.000 cán bộ, nhân viên thì việc kiểm soát từng việc làm, hành động, thao tác của mỗi người là bất khả thi”. Do đó, tất cả các biện pháp bảo mật kỹ thuật trên sẽ không hiệu quả nếu chính nhân viên không nắm vững và tuân thủ các nguyên tắc bảo mật tối thiểu. Các NHTM phải luôn chú trọng công tác đào tạo cả về trình độ và nhận thức cho cán bộ, nhân viên của mình về an toàn thông tin. Nói như lãnh đạo Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Lê Xuân Minh: Nếu mất một vài tỷ đồng, ngân hàng hoàn toàn có thể xử lý được. Nhưng nếu khách hàng mất niềm tin chỉ với một ngân hàng, dẫn đến rút tiền hàng loạt sẽ ảnh hưởng đến toàn bộ hệ thống TCTD chứ không chỉ đối với một ngân hàng đó… "Nếu mất một vài tỷ đồng, ngân hàng hoàn toàn có thể xử lý được. Nhưng nếu khách hàng mất niềm tin chỉ với một ngân hàng, dẫn đến rút tiền hàng loạt, sẽ ảnh hưởng đến toàn bộ hệ thống TCTD…", Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an), Lê Xuân Minh |
NHNN đã ban hành Thông tư 18/2018/TT-NHNN ngày 21/8/2018, quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng; Thông tư 35/2018/TT-NHNN ngày 24/12/2018 quy định về an toàn bảo mật khi cung cấp dịch vụ ngân hàng trên internet; Chỉ thị 01/CT-NHNN ngày 8/1/2019 của Thống đốc NHNN về tổ chức hực hiện các nhiệm vụ giải pháp trọng tâm của năm 2019, trong đó có nhấn mạnh về đảm bảo an ninh, an toàn trong hoạt động công nghệ thông tin… Cơ sở pháp lý, văn bản chỉ đạo của NHNN cho các TCTD về đảm bảo an ninh, an toàn trong hoạt động ngân hàng không ít, tuy nhiên phần lớn TCTD vẫn gặp nhiều khó khăn trong việc triển khai và tuân thủ các yêu cầu liên quan tới quá trình chuyển đổi số, đặc biệt là vấn đề quản lý sử dụng dịch vụ công nghệ thông tin của bên thứ ba. Bên cạnh đó, xu hướng các ngân hàng hợp tác với fintech như hiện nay cũng đặt ra yêu cầu về bảo mật thông tin và quản lý rủi ro đối với hệ thống ngân hàng vì fintech sẽ được tiếp cận và sử dụng các nguồn dữ liệu của ngân hàng. Khảo sát của EY tại 100 fintech lớn trên thế giới thì có tới 98 fintech có lỗ hổng an ninh. Ngày càng nhiều ngân hàng bắt tay với fintech, đồng nghĩa nguy cơ bị tấn công cũng tăng lên. Trên thực tế, dù ngân hàng không có quyền quản lý trực tiếp nhưng họ vẫn phải chịu hoàn toàn trách nhiệm pháp lý nếu rủi ro phát sinh liên quan đến bên thứ ba là các fintech. Lãnh đạo nhiều ngân hàng khẳng định, bảo mật ở ngân hàng tốt hơn rất nhiều so với fintech, song việc bị tấn công là chắc chắn sẽ xảy ra, vấn đề chỉ là khi nào. “Hiện đại thì hại điện” - câu nói vui này có vẻ luôn luôn… đúng. Theo ông Robert Trọng Trần, Trưởng bộ phận Dịch vụ tư vấn an ninh mạng của EY Việt Nam: "Trong thời đại số ngân hàng phải chấp nhận sống cùng rủi ro an toàn thông tin. Vì vậy, trong chiến lược phát triển ngân hàng số phải bao gồm chiến lược về an toàn thông tin để nếu có tấn công xảy ra thì ngân hàng sẵn sàng đối phó...". Dù vậy, tôi vẫn rất thích đọc báo giấy. Đến bây giờ, tôi vẫn duy trì thói quen đọc 4 tờ báo giấy mỗi ngày và chỉ lên mạng đọc những thông tin nóng mới cập nhật thôi. "Trong thời đại số ngân hàng phải chấp nhận sống cùng rủi ro an toàn thông tin. Vì vậy, trong chiến lược phát triển ngân hàng số phải bao gồm chiến lược về an toàn thông tin để nếu có tấn công xảy ra thì ngân hàng sẵn sàng đối phó...", Robert Trọng Trần. |
Bài viết: An Bình, Minh Khuê, Hà Thành |
Trình bày: Lê Thành, Anh Quân |