Ông Jason Yuen, lãnh đạo cấp cao của Ernst & Young

Ngân hàng Việt: Không phải chi nhiều tiền là bảo mật tốt

Trả lời câu hỏi của Báo Đầu tư điện tử - baodautu.vn, ông Jason Yuen cho hay, điểm yếu chung của các ngân hàng Việt Nam là hay tập trung đầu tư vào hoạt động kiểm kiêm soát mang tính phòng thủ. Trong khi đó, đầu tư về hoạt động giám sát, ứng phó xử lý sự cố và đặc biệt là điều tra sau khi sự cố đầu ra lại ít hơn.

Đặc biệt, theo chuyên gia này, mỗi ngân hàng có một điểm yếu bảo mật riêng. Cần phải biết ngân hàng mình có điểm yếu nào để đầu tư đúng chỗ, không phải cứ chi nhiều tiền là an toàn mà phải đầu tư theo góc độ rủi ro. Không phải cứ chi nhiều tiền là an toàn.

"Có người hỏi tôi nên đầu tư bao nhiêu tiền vào hệ thống an ninh thì sẽ an toàn? Thực ra, các ngân hàng nên xem an toàn bảo mật là rủi ro kinh doanh. Một ngân hàng bỏ 20 triệu USD vào hệ thống chưa chắc đã an toàn hơn một nhà băng đầu tư 10 triệu USD nếu như đầu tư dàn trải và không có trọng tâm”, ông Jason khuyến cáo.

Lãnh đạo EY cho hay, nhiều ngân hàng chi nhiều tiền cho bảo mật, song lại lơ là trong vận hành và rà soát bảo mật định kỳ, khiến rủi ro vẫn xảy ra liên tục. Cụ thể, trong quá trình tham gia đánh giá, tư vấn cho một số tổ chức tín dụng, ông Jason phát hiện có nhiều ngân hàng vi phạm lỗi cơ bản là đặt username và mật khẩu quản trị tất cả đều là "admin" và "admin" – rất dễ bị đoán ra.  "Việc đặt username và mật khẩu như vậy rất dễ để kẻ gian xâm nhập và tiếm quyền quản trị hệ thống. Điều này cho thấy ngân hàng đó không có sự đầu tư đúng mực cho quy trình vận hành và rà soát bảo mật định kỳ", ông Jason nói.

10 bài học bảo mật “nhớ đời” cho các ngân hàng

Tại một Hội thảo về bảo mật toàn cầu cách đây ít lâu, một chuyên gia công nghệ đã “biểu diễn” “trộm tiền” ngoạn mục: Chỉ với vài thao tác trên bàn phím, chuyên gia này đã khiến nhiều cây ATM ngân hàng nhả tiền rào rào từ xa. Rõ ràng, bảo mật ngân hàng ngày càng trở nên thách thức. Theo ông Jason Yuen, có 10 bài học, cũng là thách thức lớn nhất về bảo mật mà các ngân hàng phải thuộc ghi nhớ để chống lại hacker.

Bài học thứ nhất, không có mạng nào an toàn. Lâu nay, nhiều ngân hàng vẫn tin tưởng vào một số mạng bảo mật tốt, đơn cử như hệ thống nhắn tin bảo mật SWIFT. Tuy nhiên, ông Jason cảnh báo, ngân hàng phải cẩn thận với tất cả mạng lưới, kể cả các mạng lưới an toàn nhất. Dẫn chứng là đầu năm nay, hacker đã xâm nhập được phần mềm SWIFT, tấn công Ngân hàng Bangladesh và cuỗm mất 81 triệu USD. Kiểu tấn công này được tin tắc sử dụng với một ngân hàng Việt Nam gần đây và may mắn đã bị chặn kịp thời.

Bài học thứ hai, ai cũng có thể trở thành mục tiêu tấn công của hacker, không có mục tiêu nào là nhỏ. Điều tra của Verizon năm 2015 cho thấy, hầu hết tất cả lĩnh vực đều từng gặp sự cố về an ninh thông tin, trong đó, dịch vụ công cộng có số lượng sự cố an ninh thông tin lớn nhất với hơn 50.0000 vụ; lĩnh vực tài chính với 642 sự cố.

Bài học thứ ba, không phải lúc nào cũng là lợi ích tài chính. Việc tấn công của tin tặc vào hệ thống Vietnam Airline là điển hình.

Bài học thứ tư, ngay cả kẻ mạnh nhất cũng bị đánh bại. NASA - cơ quan an ninh được xem là mạnh của Mỹ cũng nhiều lần bị xâm nhập, tấn công có chủ đích.

Bài học thứ năm, đối tác cũng có thể trở thành mối nguy về bảo mật. Cách đây vài năm, dư luận Hàn Quốc rúng động 20 triệu thẻ tín dụng bị lộ. Sau khi điều tra, con số thẻ bị lộ thực tế lên tới gần 40 triệu thẻ, tức gần bằng tổng số dân Hàn Quốc. Kết quả điều tra cho thấy, thông tin thẻ bị lộ là do một nhân viên của Công ty Cục tín dụng Hàn Quốc - đối tác của các công ty thẻ - ăn cắp và sao chép vào USB sau đó bán lại.

 Bài học số 6, công nghệ mới nhất sẽ không có tác dụng nếu ngân hàng không sử dụng.  Minh chứng cho sự cố này là năm 2013, 40 triệu khách hàng của chuỗi siêu thị Target đã bị tấn công, lấy cắp thông tin thẻ tín dụng. Điều tra cho thấy, cơ quan an ninh thông tin của Target nhận được nhiều cảnh báo trước đó, song họ đã bỏ qua.

Bài học số 7: sẽ có người bấm vào link lừa đảo (tấn công lừa đảo fishing). Đây là một trong những thủ đoạn phổ biến. Tại Việt Nam, nguy cơ này là rất lớn. Số liệu từ báo cáo mới đây của Kaspersky Lab cho thấy, Việt Nam đứng thứ 2 về nguồn gốc của thư rác. Trong khi đó, theo thống kê, 23% số người dùng sẽ mở các email giả mạo và 11% sẽ click vào những tập tin đính kèm. Để tránh rủi ro này, các ngân hàng phải thường xuyên, liên tục đào tạo, nâng cao nhận thức cho toàn bộ nhân viên và có biện pháp kiểm soát khác.

Bài học số 8: nguy cơ từ sự chia sẻ thông tin. Rất nhiều người sẵn sàng chia sẻ thông tin về mình với người lạ, thậm chí là thông tin về tài khoản ngân hàng. Đây cũng là một trong những thách thức về bảo mật ngân hàng.
Bài học số 10:

Bìa học 9: Tại sao an ninh thông tin nói chung, bảo mật ngân hàng ngày càng khó khăn? Lý do là bởi tội phạm mạng đã thành một ngành công nghiệp hàng triệu USD. Các công cụ, phần mềm phục vụ hacker chào bán rộng rãi trên internet.

Bài học số 10: Nhiều ngân hàng thiệt hại không hẳn là do lỗ hổng tinh vi mới phát hiện mà có tới 99,9% vụ tấn công khai thác các điểm yếu lỗ hổng đã được công bố trước đó hơn 1 năm. Thậm chí, nhiều lỗ hổng đã có bản vá nhưng các tổ chức cũng không mang về vá. Điều này cho thấy, hoạt động vận hành an toàn thông tin của nhiều các tổ chức là không tốt, đây là nguyên nhân dẫn tới rủi ro.