Đó là thông tin được đại diện Cục An toàn thông tin (ATTT) – Bộ TT&TT trao đổi tại Hội thảo tiêu chuẩn về an toàn thông tin trong lĩnh vực ngân hàng, vừ diễn ra sáng nay (16/8) do Cục CNTT - Ngân hàng nhà nước Việt Nam, Cục An toàn thông tin – Bộ TT&TT phối hợp với CMC Infosec tổ chức.
Gây thiệt hại lên đến hàng tỉ đồng
Phát biểu tại hội thảo, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng cho biết, trong những năm gần đây, CNTT đã và đang được ứng dụng vào mọi mặt đời sống kinh tế - xã hội. Đặc biệt, thanh toán điện tử đã có những bước phát triển mạnh mẽ, trở thành một trong những hình thức được sử dụng ngày càng phổ biến trong thương mại điện tử, dần thay thế cho hình thức thanh toán sử dụng tiền mặt.
Song song với những lợi ích mang lại, các ngân hàng và các tổ chức tài chính cũng đang phải đối mặt với sự gia tăng nhanh chóng của các cuộc tấn công mạng nhằm vào thẻ thanh toán, trong đó nổi lên nhóm đối tượng chuyên sử dụng các thủ đoạn nhằm chiếm đoạt tài khoản ngân hàng của người dùng. Cách đây vài năm, khi các cuộc tấn công dạng này mới xuất hiện thì những vụ xảy ra thời gian gần đây đã gây thiệt hại lên đến hàng trăm triệu, thậm chí hàng tỉ đồng.
Trên thế giới và thực tiễn tại Việt Nam, các tổ chức trong ngành tài chính, ngân hàng luôn là các đơn vị đi đầu trong công tác bảo đảm an toàn thông tin cũng như có đầu tư cho các giải pháp, công cụ để ngăn chặn phát hiện sớm các rủi ro, mất mát trong thanh toán điện tử. Tuy nhiên, vẫn còn có hiện tượng các khách hàng khiếu nại về các vấn đề liên quan đến các các giao dịch bất thường mà khách hàng không trực tiếp thực hiện, dẫn đến việc mất tiền trong tài khoản.
Đây thực sự là nguy cơ đe dọa đối với sự phát triển lành mạnh và ổn định của thị trường thanh toán điện tử nói riêng và đối với cả lĩnh vực ngân hàng nói chung.
Trong bối cảnh như vậy, ngày 10/5/2017, Thủ tướng Chính phủ đã có Quyết định 632 ban hành các lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và danh mục hệ thống thông tin quan trọng quốc gia, trong đó lĩnh vực ngân hàng thuộc 11 lĩnh vực quan trọng cần ưu tiên bảo đảm ATTT mạng.
Hiện nay, Bộ TT&TT và Ngân hàng Nhà nước Việt Nam nghiên cứu, thảo luận để cùng đưa ra các phương án tổng thể cũng như các tiêu chuẩn cụ thể để đảm bảo ATTT trong lĩnh vực ngân hàng.
Không thể cá nhân trong “cuộc chiến” ATTT
Ông Nguyễn Huy Dũng, Phó Cục trưởng Cục ATTT – Bộ TT&TT cho biết theo quyết định 632 ban hành Danh mục lĩnh vực quan trọng cần ưu tiên đảm bảo an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia, Ngân hàng cùng 10 lĩnh vực quan trọng khác được ưu tiên bảo đảm an toàn thông tin mạng, bao gồm: Lĩnh vực giao thông (Bộ Giao thông Vận tải); Lĩnh vực năng lượng (Bộ Công Thương); Lĩnh vực tài nguyên và môi trường (Bộ Tài nguyên và Môi trường); Lĩnh vực thông tin (Bộ Thông tin và Truyền thông); Lĩnh vực y tế (Bộ Y tế); Lĩnh vực tài chính (Bộ Tài chính); Lĩnh vực quốc phòng (Bộ Quốc phòng); Lĩnh vực an ninh, trật tự an toàn xã hội (Bộ Công an); Lĩnh vực đô thị (UBND TP.Hà Nội, TP.HCM); Lĩnh vực chỉ đạo, điều hành của Chính phủ (Văn phòng Chính phủ).
Cũng theo ông Huy Dũng, thông tin và tài sản thông tin, đặc biệt với các tổ chức ngân hàng, có giá trị không thua kém các tài sản hữu hình khác. Theo đó, chu trình đảm bảo an toàn thông tin, từ thiết kế, xây dựng đến vận hành, nâng cấp, thậm chí huỷ bỏ cũng cần đáp ứng theo chu trình đảm bảo an toàn thông tin.
Đại diện Cục ATTT ghi nhận các ngân hàng Việt Nam đầu tư nhiều giải pháp, công nghệ để tự bảo vệ mình trước nguy cơ bị tấn công mạng. Tuy nhiên, trong không gian mạng mỗi tổ chức cá nhân, mỗi ngân hàng không thể tự đứng mình mà phải chung tay góp sức trong “cuộc chiến” này.
Từ đó, Cục ATTT đề xuất 3 hành động mà các ngân hàng nên cùng liên kết thực hiện trong việc thúc đẩy an toàn thông tin thời gian sắp tới: Tạo các nhóm liên kết để hia sẻ thông tin về các sự cố, các kỹ thuật tấn công mới, hay các mẫu mã độc,…; Tạo ra sự tin tưởng giữa các đơn vị thành viên trong nhóm, từ đó các đơn vị thành viên phối hợp, cùng nhau xử lý khi xảy ra vấn đề về an toàn thông tin; và nâng cao năng lực chuyên môn của chính các cán bộ qua các sự vụ, tình huống thực tế.
Với việc phối hợp này, các ngân hàng tham gia chia sẻ thông tin sẽ đạt được nhiều lợi ích. Đầu tiên là phải kể tới việc tối ưu được nguồn lực. Kết nối nguồn lực hợp lý giữa các dự án được đầu tư chung cho cơ quan quản lý nhà nước và các dự án của các tổ chức tài chính, ngân hàng. Cùng với đó, các ngân hàng sẽ kết hợp sức mạnh và ưu thế của mỗi bên để mang lại sức mạng tập thể, hỗ trợ công tác đảm bảo an toàn thông tin chung.
Không những thế, các đơn vị còn tận dụng được ngay nguồn lực công nghệ cao với nhiều các sản phẩm và nghiên cứu đã sẵn triển khai tại một đơn vị; tiết kiệm được thời gian đầu tư vào phần quan trọng nhất là con người, có được đội ngũ chuyên gia mạnh thực sự về chuyên môn ATTT ở mỗi đơn vị; Tiết kiệm chi phí so với việc mỗi đơn vị tự trang bị các giải pháp giống nhau hay phải mua các dịch vụ của nước ngoài với giá cao.
Trước tình hình an ninh mạng nổi lên như là một thách thức lớn không chỉ riêng với ngành Ngân hàng, các TCTD đã tích cực triển khai và đạt những kết quả quan trọng đảm bảo an ninh, an toàn và hoạt động liên tục cho hệ thống CNTT: Hầu hết các ngân hàng triển khai trang thiết bị an ninh bảo mật cơ bản như hệ thống tường lửa (firewall); hệ thống phát hiện xâm nhập (IDS/IPS); hệ thống phòng chống virus; xác thực đa thành tố đối với các giao dịch điện tử và đã ban hành và cập nhật thường xuyên các quy trình, quy định sử dụng vận hành hệ thống hạ tầng CNTT; Giám sát tuân thủ các quy trình, quy định sử dụng vận hành hệ thống hạ tầng CNTT; Thường xuyên cập nhật chính sách bảo mật đã triển khai.