Thực trạng an toàn, an ninh thông tin tại Việt Nam, đặc biệt là trong ngành ngân hàng và tại các cơ quan quản lý Nhà nước năm qua diễn biến rất phức tạp, khó lường.
An toàn an ninh thông tin mạng đã được các ngân hàng chú ý tuy nhiên việc đầu tư vẫn còn khiêm tốn.
|
Theo thống kê của Trung tâm Giám sát an toàn không gian mạng quốc gia (Bộ TT-TT), trong năm 2018 xảy ra 10.220 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam. Trong đó có 5.932 cuộc tấn công lừa đảo (Phishing); 3.198 cuộc tấn công thay đổi giao diện (Deface) và 1.090 cuộc tấn công cài cắm mã độc (Malware).
Riêng trong lĩnh vực ngân hàng và dịch vụ bán lẻ kết nối hệ thống ngân hàng, trong năm qua có nhiều vụ tấn công điển hình, gây hậu quả nghiêm trọng cho các doanh nghiệp, tổ chức như sự cố lộ hơn 5,4 triệu dữ liệu cá nhân được cho là khách hàng của chuỗi cửa hàng Thế Giới Di Động vào tháng 11/2018, hay sự cố lộ dữ liệu của hàng nghìn nhân viên hệ thống bán lẻ Con Cưng. Trước đó là sự cố website của Ngân hàng Hợp tác xã Việt Nam (Co-opbank) bị tấn công và nhóm tin tặc tuyên bố đã lấy được 275.000 dữ liệu khách hàng.
Bên cạnh đó, mức độ đầu tư cho an toàn thông tin của mỗi ngân hàng hiện được đánh giá còn khá khiêm tốn. Bởi theo kết quả khảo sát mức độ quan tâm về an toàn thông tin của 30 ngân hàng thương mại, thương mại cổ phần và 16 đơn vị cung cấp dịch vụ tài chính, bảo hiểm tại Việt Nam, do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam và IDG Việt Nam thực hiện, cho thấy về ngân sách đầu tư cho an toàn thông tin năm 2018, ở mức từ 10.000 – 50.000 USD chiếm 50%; từ 50.000 – 100.000 USD chiếm 30%. Mức từ 100.000 USD chiếm 20%.
“Như vậy mức trung bình đầu tư cho an toàn thông tin của mỗi ngân hàng vào khoảng 1 – 2 tỷ mỗi năm. Con số này còn khá khiêm tốn”, ông Nguyễn Trọng Đường, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam nhận định.
Về ngân sách đầu tư cho an toàn thông tin trong tổng đầu tư về công nghệ thông tin, có 40% tổ chức cho biết ngân sách này chiếm từ 10 – 15%; khoảng 30% cho biết trên 15%.
Đánh giá về thực trạng mất an toàn an ninh trong lĩnh vực ngân hàng ông Nguyễn Quang Vinh - Phó Giám đốc Cty công nghệ thông tin VNPT cho biết, hiện nay khi giao dịch ngân hàng đều quy định các thực thể tham gia giao dịch đều phải được xác nhận được gọi là KYC (Know Your Customer) là quá trình xác minh danh tính của các thành viên nhằm giúp cho hệ thống tuân thủ luật chống rửa tiền (AML) và bảo vệ hệ thống trước các hành vi phạm pháp. Tất cả các giao dịch đều phải được xác nhận người giao dịch đấy có đúng là chủ tài khoản không.
“Thực tế việc mất dữ liệu ngân hàng thì một số những vấn đề nội cộm ngoài việc hack từ cây ATM, còn có hiện tượng mất giao dịch, nghĩa là có giao dịch diễn ra gây thất thoát cho chủ tài khoản nhưng cả chủ tài khoản cho rằng mình không giao dịch, còn phía ngân hàng khẳng định là có đến quầy giao dịch” – ông Vinh đưa ví dụ. “Nếu chúng ta làm tốt được việc định danh và xác thực khách hàng trong tất cả mọi giao dịch sẽ giúp việc này không xảy ra nữa” vị này nhận định.
Việc định danh rõ ràng còn có vai trò quan trọng trong việc chống rửa tiền, chống gian lận. “Tuy nhiên với việc số hóa các dịch vụ ngân hàng như internet banking việc định danh không phải dễ dàng do khách hàng không cần trực tiếp đến quầy giao dịch” – ông Vinh cho biết.
Vậy làm sao để chứng thực định danh của khách hàng trên không gian số?
Hiện nay, cách làm thông dụng là thông qua ID và tài khoản user của khách hàng và xác thực mã OTP để gửi tin nhắn. “Nhưng để an toàn hơn cần có các công cụ nhận diện sinh trắc học để định danh chính xác” - Phó Giám đốc Cty công nghệ thông tin VNPT cho biết.
Theo đó với việc tích hợp công nghệ nhận diện khuôn mặt hoặc bằng giọng nói, đây là những hình thức rất khó để qua mặt phần mềm nhận dạng. “Đây là giải pháp đã được VNPT phối hợp với một số ngân hàng đang trong giai đoạn thử nghiệm, còn thực tế đã triển khai cho toàn bộ mạng viễn thông tỉnh thành của Vinaphone”.
Vướng mắc trong lĩnh vực tích hợp khi giải pháp của VNPT kết hợp với Ngân hàng bản thân ngân hàng cũng đã có sẵn hệ thống core banking, hệ thống giao dịch cũng như các hệ thống về chăm sóc khách hàng và khi triển khai hệ thống định dạng cũng không thể triển khai độc lập mà cần phải tích hợp vào các hệ thống hiện có của ngân hàng.
“Theo tôi đánh giá đấy cũng là một khó khăn trong triển khai cần sự nỗ lực hơn nữa của các bên để làm tốt được”- ông Vinh cho biết.