Rủi ro an ninh mạng ở các ngân hàng
Việt Nam đứng thứ 21 trên thế giới về các vụ tấn công lừa đảo và xu hướng tấn công mạng dự đoán sẽ còn tiếp tục trong tương lai gần.
Ngân hàng, tổ chức tài chính là nạn nhân chính
Thực tế, tội phạm mạng đang gia tăng với mức độ ngày càng tinh vi. Theo báo cáo về tội phạm mạng của FBI, kể từ khi đại dịch Covid-19 bắt đầu, một số loại tấn công mạng đã tăng hơn 300% và chi phí liên quan của một số tội phạm mạng tăng hơn 2,400% (WEF, 2020). Xu hướng này cũng được Google khẳng định khi công bố rằng mỗi ngày công ty đã chặn hơn 18 triệu nỗ lực lừa đảo bằng cách ghi tên Corona lên các tệp hoặc link chứa mã độc (FBI, 2020). Còn theo tổ chức Cybersecurity Ventures, thiệt hại do tội phạm mạng ước tính lên tới 6 ngàn tỷ đô la Mỹ vào năm 2021 và 10.5 ngàn tỷ USD vào năm 2025 so với chỉ 3 ngàn tỷ vào năm 2015. Con số này tương đương với GDP của nền kinh tế lớn thứ ba thế giới chỉ sau Mỹ và Trung Quốc (Steve Morgan, 2021).
Trong số các lĩnh vực bị tấn công, tài chính - ngân hàng là lĩnh vực thu hút sự chú ý nhất của tội phạm mạng. Trong báo cáo toàn cầu về An ninh mạng của Keepersecurity (2020), gần 70% tổ chức tài chính từng là nạn nhân của các cuộc tấn công mạng. Còn theo báo cáo về an ninh mạng của Insights (2021), hơn 25% các cuộc tấn công bằng phần mềm độc hại là nhằm vào các ngân hàng và tổ chức tài chính; số lượng này nhiều hơn bất kỳ ngành nào khác. Điều này có lẽ xuất phát từ tính đặc thù của ngành Tài chính - Ngân hàng khi mà mô hình hoạt động kinh doanh cũng như việc cung ứng sản phẩm dịch vụ của ngành dựa trên nền tảng công nghệ kỹ thuật số.
Riêng Việt Nam hiện đứng thứ 21 trên thế giới về các vụ tấn công lừa đảo với 673,743 cuộc tấn công được ghi nhận trong năm 2020. Nếu xét riêng khu vực Đông Nam Á, Việt nam ở trong nhóm dẫn đầu bị tấn công mạng, chỉ sau Thái Lan và Indonesia.
Theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tấn công mạng là nhằm vào các tổ chức tài chính và ngân hàng. Còn theo báo cáo của Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, trong năm 2020 các ngân hàng đã bị thiệt hại khoảng 100 tỷ đồng từ 4,000 vụ tấn công an ninh mạng. Trong đó có ngân hàng bị thiệt hại tới 44 tỷ đồng.
Giải pháp nào cho ngân hàng Việt?
Thời gian qua, các ngân hàng thương mại Việt Nam đã đẩy mạnh quá trình chuyển đổi số nhằm nâng cao hiệu quả hoạt động, gia tăng trải nghiệm và tạo thuận lợi cho khách hàng trong sử dụng dịch vụ ngân hàng hiện đại. Tuy nhiên, cùng với xu hướng chuyển đổi số chính là những thách thức về an ninh mạng. Điển hình như hệ thống dữ liệu ngân hàng bị xâm nhập để lấy cắp dữ liệu hoặc để thực hiện các hành vi gây thiệt hại về tài sản của ngân hàng và khách hàng.
Các vụ tấn công nhằm vào khách hàng của ngân hàng thường ở những hình thức phổ biến: lừa tiền qua tài khoản, mạo danh nhân viên ngân hàng hoặc gửi link giả mạo, lập các website mạo danh ngân hàng để lừa tiền khách hàng...
Có thể thấy hoạt động ngân hàng số ở Việt Nam đang đứng trước rủi ro an ninh mạng rất cao. Bởi cả 3 chủ thể tham gia vào hoạt động ngân hàng số gồm: Ngân hàng, các đối tác và các khách hàng đều có thể là mục tiêu tấn công của tội phạm mạng.
Để khắc phục được những điều này, chúng tôi đề xuất các nhóm giải pháp xoay quanh 3 trụ cột chính: Quy trình (Processes), Công nghệ (Technology), và Con người (People).
Về quy trình, các ngân hàng cần tập trung vào các bước trong quản trị rủi ro an ninh mạng để giúp ngân hàng nhận diện, đánh giá các mối đe dọa, qua đó có kế hoạch ngăn chặn các vi phạm an ninh mạng, nhất là có phương án sẵn sàng ứng phó khi sự cố xảy ra.
Đối với công nghệ, “Trí tuệ nhân tạo (AI) và “Tự động hóa, phản hồi, điều phối và bảo mật” đang được các ngân hàng trên thế giới đánh giá cao nhất và ưu tiên đầu tư, như cách giảm thiểu rủi ro an ninh mạng ở ngân hàng.
Về nhân sự, ngân hàng cần đẩy mạnh nhận thức và xây dựng văn hóa an ninh mạng trong ngân hàng.
Hiện tại, dù ngân hàng số toàn diện chưa được phép tại Việt Nam nhưng đây là hướng đi mà các ngân hàng nhắm đến. Trên cơ sở kinh nghiệm phát triển của ngân hàng số C6 ở Brazil (Keri Pearlson và cộng sự, 2020), chúng tôi đề xuất chính sách an ninh mạng cho ngân hàng số toàn diện trên 5 nhóm chính: nhóm phòng thủ, nhóm kỹ thuật, nhóm quản trị, nhóm an toàn ứng dụng, và nhóm phụ trách văn hóa an ninh mạng.
Bên cạnh đó, rủi ro an ninh mạng cũng cần được kiểm soát chặt chẽ bằng cách sử dụng mô hình kiểm soát rủi ro 3 lớp liên quan đến: quy trình hoạt động;kiểm soát rủi ro - tính tuân thủ các nguyên tắc bảo mật và lớp liên quan đến kiểm soát nội bộ.
Về phía khách hàng, nhằm bảo vệ bản thân trước rủi ro bị tấn công an ninh mạng, khách hàng cần: luôn giữ thông tin cá nhân ở mức an toàn cao nhất có thể (sử dụng các phần mềm chống virus, tường lửa trên các thiết bị có kết nối mạng), đề phòng các trang mạng không uy tín, email, tin nhắn mạo danh lừa đảo (đặc biệt cảnh giác với hình thức lừa đảo thông qua hình thức mở tệp đính kèm hoặc liên kết được nhúng), sử dụng mật khẩu mạnh, khác nhau cho các tài khoản khác nhau (không nên sử dụng thông tin cá nhân để đặt làm mật khẩu).
Rõ ràng, rủi ro an ninh mạng là một trong những vấn đề vấn đề sống còn trong quá trình chuyển đổi số của hệ thống ngân hàng Việt Nam hiện nay. Để hạn chế rủi ro này, các ngân hàng cần phải áp dụng đồng bộ các giải pháp nêu trên cũng như phát triển văn hoá an ninh mạng.
Tuy nhiên, các giải pháp này sẽ chỉ khả thi khi có được sự hỗ trợ của Chính phủ và các cơ quan ban ngành về các khía cạnh pháp lý và định hướng phát triển chính sách an ninh mạng ở tầm quốc gia.
TS. Phan Chung Thủy và Nhóm tác giả (Khoa Ngân hàng, Trường Kinh doanh UEH)
Ngọc Thủy lược ghi
FILI
|