- Theo ông Nguyễn Trọng Đường - Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, mức đầu tư trung bình khoảng 1 – 2 tỷ đồng mỗi năm cho an toàn thông tin của các ngân hàng là con số "khiêm tốn". Trong khuôn khổ Hội thảo Quốc gia về An ninh - Bảo mật 2019 (
Ông Nguyễn Quang Vinh - Phó Giám đốc Cty công nghệ thông tin VNPT chia sẻ về giải pháp xác thực khách hàng, giúp giảm thiểu rủi ro trong giao dịch ngân hàng
| Trong năm 2019, các vấn đề được quan tâm hàng đầu là chống thất thoát dữ liệu qua hệ thống mạng; phát hiện và khắc phục lỗ hổng ATTT; kết xuất báo cáo phục vụ công tác phân tích, đánh giá tình hình về ATTT mạng và bảo vệ hệ thống CNTT trước các cuộc tấn công mạng. |
Theo số liệu từ Khảo sát, ngân sách đầu tư cho an toàn thông tin (ATTT) năm 2018 có các số liệu tương ứng như sau: Mức từ 10.000 – 50.000 USD chiếm 50%; từ 50.000 – 100.000 USD chiếm 30%; mức từ 100.000 USD chiếm 20%.
So sánh tương quan ngân sách cho ATTT trong tổng đầu tư về CNTT, có 40% tổ chức cho biết ngân sách này chiếm từ 10 – 15%; khoảng 30% cho biết trên 15%.
Trước những con số này, ông Nguyễn Trọng Đường , Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam nhận định: “Như vậy mức trung bình đầu tư cho ATTT của mỗi ngân hàng vào khoảng 1 – 2 tỷ mỗi năm. Con số này còn khá khiêm tốn”.
Tuy nhiên, một tín hiệu lạc quan là các tổ chức tài chính, ngân hàng đã đầu tư đúng hướng. Nếu như trước đây đầu tư nhiều cho phần cứng, phần mềm thì hiện nay đầu tư nhiều hơn cho đào tạo nâng cao năng lực với 35% đầu tư cho dịch vụ tư vấn, trong khi đầu tư cho phần cứng và phần mềm chiếm khoảng 15%.
Khi được hỏi về các trở ngại lớn nhất trong việc đảm bảo ATTT, có 70% câu trả lời cho rằng gặp trở ngại trong việc nhân viên thường xuyên vi phạm các chính sách an toàn bảo mật thông tin; 45% gặp hạn chế về nguồn nhân lực CNTT, bảo mật; 40% cho biết gặp trở ngại trong việc chọn nhà cung cấp giải pháp và 30% bị hạn chế bởi kiến thức nghiệp vụ, kỹ năng chuyên môn.
Đặc biệt, có đến 1/3 (30%) số người trả lời cho biết gặp trở ngại trong việc thuyết phục các lãnh đạo về tầm quan trọng của an toàn bảo mật thông tin.
Về các loại tấn công mạng, các tổ chức tài chính, ngân hàng cho hay thường xuyên đối mặt gồm có tấn công bằng mã độc, phần mềm gián điệp, mất an toàn từ các thiết bị đầu cuối, mất an toàn từ hệ thống mạng, email giả mạo và rò rỉ thông tin từ nội bộ.
Về vấn đề bảo mật các tổ chức tài chính, ngân hàng quan tâm, có tới 60% quan tâm tới vấn đề rò rỉ dữ liệu từ bên trong (vấn đề nội gián, chính sách quy định, tuân thủ kỷ luật là những vẫn đề lớn), chỉ 40% cho rằng cuộc tấn công từ bên ngoài quan trọng hơn.
Trước thực tế trên, trong năm 2019 – 2020, các ngân hàng, tổ chức tài chính cho hay sẽ tăng cường hợp tác với các đơn vị quản lý nhà nước về an toàn thông tin, áp dụng các tiêu chuẩn quốc tế về an toàn thông tin, theo dõi sát sao các hoạt động tấn công mạng. Ngoài ra, tiếp tục áp dụng các đề xuất của đơn vị tư vấn và tận dụng các nguồn lực bên ngoài.
|
"Làm chặt" việc định danh khách hàng, sẽ giảm thiểu rủi ro Theo ông Nguyễn Quang Vinh - Phó Giám đốc Cty CNTT VNPT, theo quy định, các thực thể tham gia giao dịch ngân hàng đều phải được xác nhận KYC (Know Your Customer). Đây là quá trình xác minh danh tính của các thành viên nhằm giúp hệ thống tuân thủ luật chống rửa tiền (AML) và bảo vệ hệ thống trước các hành vi phạm pháp. Tất cả các giao dịch đều phải được xác nhận người giao dịch đấy có đúng là chủ tài khoản không. “Thực tế, việc mất dữ liệu ngân hàng, ngoài một số những vấn đề bên ngoài (chẳng hạn hack từ cây ATM), còn có hiện tượng mất giao dịch - nghĩa là có giao dịch diễn ra gây thất thoát cho chủ tài khoản nhưng chủ tài khoản cho rằng mình không giao dịch, còn phía ngân hàng khẳng định là có đến quầy giao dịch. Đây là một lỗ hổng về KYC. Nếu chúng ta làm tốt được việc "định danh" và "xác thực" khách hàng trong tất cả mọi giao dịch sẽ giúp việc này không xảy ra nữa”, ông Vinh nói. Việc định danh rõ ràng còn có vai trò quan trọng trong việc chống rửa tiền, chống gian lận. “Tuy nhiên với việc số hóa các dịch vụ ngân hàng như internet banking việc định danh không phải dễ dàng do khách hàng không cần trực tiếp đến quầy giao dịch” – ông Vinh cho biết. Hiện nay, cách làm thông dụng là thông qua ID và tài khoản user của khách hàng và xác thực mã OTP để gửi tin nhắn. Nhưng để an toàn hơn cần có các công cụ nhận diện sinh trắc học để định danh chính xác, chẳng hạn như tích hợp công nghệ nhận diện khuôn mặt hoặc bằng giọng nói, đây là những hình thức rất khó để qua mặt phần mềm nhận dạng. “Giải pháp này đã được VNPT triển khai cho toàn bộ mạng viễn thông tỉnh thành của Vinaphone, đồng thời phối hợp với một số ngân hàng thử nghiệm”, ông Vinh cho biết. Vướng mắc trong lĩnh vực tích hợp khi giải pháp của VNPT kết hợp với Ngân hàng bản thân ngân hàng cũng đã có sẵn hệ thống core banking, hệ thống giao dịch cũng như các hệ thống về chăm sóc khách hàng và khi triển khai hệ thống định dạng cũng không thể triển khai độc lập mà cần phải tích hợp vào các hệ thống hiện có của ngân hàng. |
