Đảm bảo an toàn thông tin mạng trong hoạt động ngân hàng
Ngành Ngân hàng đóng vai trò "huyết mạch" của nền kinh tế, có tác động, ảnh hưởng lớn đến ổn định kinh tế vĩ mô, nhưng cũng phải đối mặt với nhiều thách thức đến từ không gian mạng. Do đó, các tổ chức, doanh nghiệp trong ngành tài chính - ngân hàng cần triển khai các công nghệ bảo mật tân tiến và đúc rút kinh nghiệm để nâng cao năng lực ứng phó với các rủi ro trong kỷ nguyên số.
Thách thức đối với lĩnh vực tài chính - ngân hàng trong kỷ nguyên số
Ngành Ngân hàng được đánh giá là một trong những lĩnh vực đi đầu trong chuyển đổi số quốc gia. Đồng thời cũng đã tiệm cận với các quốc gia phát triển trong khu vực, tạo điều kiện cho các doanh nghiệp hưởng lợi, góp phần đưa nền kinh tế đất nước đi lên.
Tuy nhiên, trong thời gian qua, tình hình an toàn thông tin (ATTT) có nhiều diễn biến phức tạp khó lường. Các cuộc tấn công mạng không chỉ là mối đe dọa đến tình hình chính trị, an ninh quốc gia mà còn là mối đe dọa thường trực tới hoạt động của mọi cơ quan, tổ chức, doanh nghiệp, đặc biệt là các tổ chức hoạt động trong lĩnh vực tài chính - ngân hàng, nơi được coi là "huyết mạch" của nền kinh tế quốc gia.
Theo dữ liệu từ Tập đoàn FPT, trong năm 2021, thiệt hại do tội phạm gây ra cho lĩnh vực tài chính - ngân hàng toàn cầu là 3,6 tỷ USD, trong đó 2,7 tỷ USD là số tiền các ngân hàng bị phạt do liên quan tới hoạt động rửa tiền.
Cũng trong năm 2021, theo báo cáo "Security Endpoint Threat Report", Việt Nam đứng thứ 2 châu Á về số lượng mã độc tống tiền (ransomware), tăng 200% so với năm 2020. Nghiên cứu của công ty mạng Viettel năm 2021 cũng cho thấy, 90% cuộc tấn công mạng liên quan hệ thống tài chính - ngân hàng trong năm 2021, tăng đến 42,4% so với năm 2020.
Đến năm 2022, theo thông tin từ Kaspersky - hãng sản xuất và phân phối phần mềm bảo mật của Nga, Việt Nam thuộc nhóm 5 nước đứng đầu khu vực châu Á - Thái Bình Dương (APAC) về nguy cơ bị tấn công mạng, chiếm 5%, ngang bằng với Nhật Bản và xếp sau Ấn Độ (6%).
Năm 2022, Group-IB, công ty hàng đầu thế giới về an ninh mạng có trụ sở chính tại Singapore, đã phát hiện một vụ tấn công lừa đảo chưa từng có tiền lệ tại Việt Nam. Theo đó, 240 tên miền liên kết giả mạo nhằm mạo danh 27 tổ chức tài chính, ngân hàng quen thuộc của Việt Nam để tìm cách thu thập chi tiết thông tin cá nhân của các khách hàng, thậm chí là đánh cắp tài khoản ngân hàng của họ và sử dụng các kỹ thuật vượt qua bước xác minh OTP.
Các vụ việc lừa đảo trên mạng có xu hướng gia tăng, trong đó hầu hết là website giả mạo các tổ chức tài chính ngân hàng. Bộ Thông tin và Truyền thông (TT&TT) cho biết, trong 6 tháng đầu năm 2023, đã nhận được hơn 4.000 phản ánh về trường hợp lừa đảo do người dùng Internet Việt Nam gửi đến qua các hệ thống cảnh báo, trong đó hơn 95% cảnh báo này liên quan đến giả mạo, lừa đảo trong lĩnh vực ngân hàng - tài chính.
Thời gian qua, Việt Nam nói chung và ngành tài chính - ngân hàng nói riêng đã nỗ lực để triển khai công tác đảm bảo ATTT mạng, tuy nhiên vẫn còn tiềm ẩn những thách thức, nguy cơ và mối đe doạ về an toàn, an ninh mạng.
Một số khuyến nghị giúp đảm bảo ATTT mạng trong hoạt động ngân hàng
Trước tình hình ATTT trên thế giới nói chung và tại Việt Nam nói riêng ngày càng diễn biến phức tạp, Bộ TT&TT khuyến nghị các cơ quan, tổ chức trong ngành lưu ý:
Thứ nhất, cần chỉ định, kiện toàn đầu mối đơn vị chuyên trách về ATTT mạng, làm tốt hơn công tác tham mưu, tổ chức triển khai công tác đảm bảo an toàn, an ninh mạng theo hướng triển khai đầy đủ các quy định của pháp luật.
Thứ hai, tăng cường quán triệt về 2 nguyên tắc đảm bảo ATTT mạng, đó là: Hệ thống thông tin chưa kết luận đảm bảo ATTT mạng thì chưa đưa vào sử dụng; Hệ thống thông tin thử nghiệm có dữ liệu thật thì phải đảm bảo ATTT như hệ thống thật đã đưa vào vận hành và khai thác.
Thứ ba, cần tổ chức triển khai đầy đủ các giải pháp đảm bảo ATTT mạng. Cụ thể: các phần mềm nội bộ do doanh nghiệp cung cấp cần tuân thủ khung phát triển phần mềm an toàn DevOps; hệ thống thống tin cần triển khai đầy đủ phương án đảm bảo ATTT theo các cấp độ. Đồng thời, hệ thống thông tin cần được kiểm tra và đánh giá ATTT mạng định kỳ theo quy định về bảo đảm an toàn hệ thống thông tin.
Thứ tư, cần triển khai đánh giá theo chu kỳ ngắn hơn khi nhận được nguy cơ cảnh báo để các tổ chức trong ngành có thể rà soát, phát hiện lỗ hổng và săn tìm các mối nguy hại nhanh chóng.
Thứ năm, hệ thống thông tin cần được triển khai quản lý và vận hành đầy đủ theo mô hình 4 lớp theo Chỉ thị số 14/CT-TTg về tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam.
Theo ông Trần Đăng Khoa, Phó Cục trưởng Bộ TT&TT, tài chính - ngân hàng là 1/11 lĩnh vực quan trọng cần được ưu tiên đảm bảo ATTT, do đó cần triển khai đội ứng cứu sự cố máy tính (CERT) để điều phối, cảnh báo các mối đe doạ, nguy cơ riêng cho ngành Tài chính - ngân hàng ngoài việc tham gia CERT chung của Việt Nam (VNCERT).