Thách thức quản trị rủi ro, đảm bảo an toàn trong kỷ nguyên số

An toàn thông tin mạng diễn biến phức tạp

Chia sẻ tại hội thảo, ông Trần Đăng Khoa, Phó Cục trưởng Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết, trong 9 tháng năm 2022 tại Việt Nam, Cục đã ghi nhận và hướng dẫn xử lý 9.519 cuộc tấn công mạng; ngăn chặn 926 website lừa đảo, trong đó có nhiều trang giả mạo các ngân hàng, tổ chức tài chính; ghi nhận gần 4.000 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông tin tới hệ thống cảnh báo, qua kiểm tra, có nhiều trường hợp lừa đảo giả mạo website của ngân hàng, công ty tài chính… Hiện nay có hơn 2 triệu website lừa đảo trên thế giới, trong đó có gần 1.000 website lừa đảo giả mạo ngân hàng Việt Nam.

Ước tính, trên thế giới có hơn 900 cuộc tấn công mạng, 5 mã độc mới sinh ra trong mỗi giây, phát hiện 40 điểm yếu, lỗ hổng mỗi ngày. Năm 2021, nhiều vụ tấn công mạng trên thế giới, gây hậu quả nghiêm trọng đã xảy ra. Ví dụ như vụ tấn công mã độc tống tiền ransomware nhằm vào Công ty công nghệ thông tin Kaseya (Mỹ), dùng mã độc tống tiền để tấn công hàng loạt doanh nghiệp sử dụng dịch vụ của công ty này dẫn đến hậu quả là khoảng 800 - 1.500 doanh nghiệp khắp thế giới bị ảnh hưởng. Đây được xem là một trong những đợt tấn công mã độc tống tiền có quy mô lớn kỷ lục trong lịch sử. Hay vụ tấn công vào Sàn giao dịch chứng khoán Công ty Dịch vụ tài chính Robinhood Markets Inc (Mỹ), nhằm lấy cắp các dữ liệu cá nhân, gây ảnh hưởng đến hơn 22 triệu người dùng giao dịch cổ phiếu, hối đoái và tiền điện tử.

Một thống kê mới đây cho biết, chỉ riêng trong tháng 8/2022, trên thế giới đã ghi nhận 112 vụ việc mất an toàn thông tin mới được tiết lộ công khai với hơn 97,4 triệu hồ sơ bị vi phạm, trong đó có không ít các vụ việc xảy ra trong lĩnh vực tài chính – ngân hàng. Đó là vụ Công ty tiền điện tử Nomad (Mỹ) bị tấn công khai thác điểm yếu đánh cắp tiền mã hóa dẫn đến thiệt hại hơn 190 triệu USD. Tin tặc đã đánh cắp mật khẩu để truy cập hơn 140.000 thiết bị đầu cuối thanh toán trên toàn cầu do Wiseasy - một công ty công nghệ có trụ sở tại Singapore, chuyên cung cấp các giải pháp ngân hàng số và thiết bị thanh toán, với hơn 350 đối tác và đại lý tại 114 quốc gia và khu vực trên toàn thế giới. Hiện nay vẫn chưa có đánh giá về tổn thất do sự có này gây ra.

“Tình hình an toàn thông tin trên thế giới nói chung và tại Việt Nam nói riêng đang diễn ra ngày càng phức tạp. Các ngân hàng và các doanh nghiệp, tổ chức hoạt động trong ngành tài chính – ngân hàng đã quan tâm, triển khai các biện pháp bảo đảm an toàn thông tin. Tuy nhiên, theo tôi, như thế vẫn chưa đủ để đối mặt với những rủi ro, nguy cơ về an toàn, an ninh mạng mà các tổ chức phải đối mặt”, ông Trần Đăng Khoa nhấn mạnh.

2 nguyên tắc và 4 giải pháp

Ngày 10/8/2022 vừa qua, Thủ tướng Chính phủ đã ký ban hành Quyết định số 964/QĐ-TTg Phê duyệt Chiến lược an toàn, an ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030. Theo đó, an toàn an ninh mạng là trọng tâm của quá trình chuyển đổi số, là trụ cột quan trọng tạo lập niềm tin số và sự phát triển thịnh vượng trong kỷ nguyên số. An toàn, an ninh mạng là nhiệm vụ trọng yếu, thường xuyên, lâu dài nhằm khởi tạo và duy trì môi trường mạng an toàn, lành mạnh, tin cậy cho các cơ quan, tổ chức, doanh nghiệp và mỗi người dân. Việc đầu tư cho an toàn an ninh mạng là đầu tư cho phát triển bền vững và tạo ra giá trị.

Cục An toàn thông tin đã đề nghị lãnh đạo các ngân hàng, doanh nghiệp, tổ chức hoạt trong ngành tài chính - ngân hàng cần sớm nhận thức rõ các nguy cơ, rủi ro mất an toàn thông tin tiềm ẩn trên không gian mạng và khẩn trương chỉ đạo, tổ chức triển khai các biện pháp nhằm bảo đảm an toàn cho các hệ thống thông tin. Các ngân hàng, doanh nghiệp phải chỉ định, kiện toàn đầu mối đơn vị, bộ phận chuyên trách về an toàn thông tin mạng.

Ông Trần Đăng Khoa nhấn mạnh: “Phải đảm bảo hai nguyên tắc bảo đảm an toàn thông tin mạng: thứ nhất hệ thống chưa kết luận bảo đảm an toàn thông tin mạng chưa đưa vào sử dụng; thứ hai, hệ thống thử nghiệm, có dữ liệu thật thì phải tuân thủ đầy đủ quy định như hệ thống chính thức”.

Ông Trần Đăng Khoa cũng yêu cầu các đơn vị phải tổ chức triển khai đầy đủ 4 giải pháp bảo đảm an toàn thông tin mạng: phần mềm nội bộ do đơn vị chuyên nghiệp phát triển tuân thủ quy trình Khung phát triển phần mềm an toàn (DevSecOps); hệ thống thông tin triển khai đầy đủ phương án bảo đảm an toàn thông tin mạng theo cấp độ; hệ thống thông tin được kiểm tra, đánh giá an toàn thông tin mạng trước khi đưa vào sử dụng, khi nâng cấp, thay đổi, định kỳ theo quy định; hệ thống thông tin được quản lý, vận hành theo mô hình 4 lớp theo Chỉ thị số 14/CT-TTg ngày 7/6/2019 của Thủ tướng Chính phủ.

Nhiều giải pháp, ứng dụng đảm bảo an toàn thông tin mạng

Hội thảo là cơ hội cho các vị lãnh đạo cấp cao, lãnh đạo công nghệ thông tin và an toàn thông tin của các ngân hàng, doanh nghiệp, tổ chức hoạt trong ngành tài chính - ngân hàng trao đổi kinh nghiệm, nắm bắt và đánh giá được các rủi ro, hiểm họa an toàn thông tin mạng, cũng như đề xuất các phương án giúp các tổ chức ứng phó kịp thời trước sự phát triển nhanh chóng của các nguy cơ mất an toàn thông tin, từ đó có thể tối ưu các nguồn lực cho phát triển kinh doanh đồng thời đảm bảo tuân thủ các quy định an toàn, an ninh mạng mới.

Tại Hội thảo, đại diện các đơn vị như FPT, VNPT… đã giới thiệu nhiều giải pháp, ứng dụng để hỗ trợ doanh nghiệp giám sát, quản lý an toàn thông tin, ngăn chặn gian lận trên môi trường mạng.

Đại diện VNPT cho biết, đơn vị đã triển khai Ứng dụng nền tảng giám sát, quản lý an toàn thông tin cho Smart Banking (VNPT MSS) cho doanh nghiệp. Đây là nền tảng giám sát, quản lý an toàn thông tin hỗ trợ cho các doanh nghiệp và tổ chức nhằm kịp thời phát hiện, xử lý, ứng cứu các rủi ro gây mất an toàn thông tin trước các cuộc tấn công từ cả bên trong và bên ngoài. Sự xuất hiện của VNPT MSS sẽ giúp bảo vệ tài sản, trí tuệ, lợi nhuận cũng như giá trị thương hiệu của các doanh nghiệp, tổ chức một cách đơn giản, hiệu quả và tiết kiệm nhất.

Hiện tại, VNPT MSS cung cấp 4 dịch vụ cho doanh nghiệp gồm: giám sát an toàn thông tin (Security Monitoring); ứng cứu sự cố (Incident Response); điều tra truy vết (Forensic); săn tìm mối nguy (Threats Hunting).

VNPT MSS sử dụng công nghệ lõi MSS được chuyển giao từ Tập đoàn IBM, như vậy VNPT làm chủ công nghệ lõi. Đội ngũ vận hành chuyên nghiệp, trình độ quốc tế, trải rộng trên 63 tỉnh thành phố. Hệ thống hạ tầng, mạng lưới băng rộng cố định lớn nhất Việt Nam đảm bảo hệ cơ sở dữ liệu nguy cơ an toàn thông tin trên mạng lưới lớn.

Ông Vũ Minh Tuấn, Phó Giám đốc Trung tâm tư vấn khối Tài chính - Ngân hàng của Công ty Hệ thống thông tin FPT (FPT IS) chia sẻ, cùng với sự phát triển mạnh mẽ của xu hướng ngân hàng số, thanh toán không tiền mặt… Việt Nam đang trở thành “mảnh đất màu mỡ” để tội phạm tài chính khai thác. Ngân hàng và các tổ chức tài chính Việt Nam đang trong giai đoạn chuyển đổi số rất mạnh mẽ. Thời gian qua, giao dịch trên không gian số của ngành Ngân hàng đang gia tăng cả về số lượng cũng như giá trị. Cùng với đó các hành vi giả mạo, gian lận, lừa đảo, tấn công mạng, rửa tiền… cũng gia tăng gây thiệt hại không nhỏ cho người dùng ngân hàng, đồng thời cũng ảnh hưởng không nhỏ đến danh tiếng, hoạt động của các ngân hàng tổ chức tài chính.

Sử dụng hệ thống công nghệ sẽ giúp ngành tài chính – ngân hàng phát hiện sớm gian lận đặc biệt trong việc định danh khách hàng. Công nghệ giúp chúng ta nhận diện khách hàng từ thời điểm đăng ký dịch vụ, giúp xác thực thông tin định danh khách hàng từ nhiều nguồn và được thực hiện nhanh chóng, thuận tiện trên các kênh số. Các công nghệ như AI – OCR sẽ hỗ trợ nhận dạng số hóa thông tin khách hàng, AI – NLP nhận dạng chính xác tên, địa chỉ khách hàng, Face ID hỗ trợ nhận dạng liveness. "Chúng ta có thể kiểm tra hình ảnh khách hàng trên các kênh khác nhau, so sánh trùng khớp với thông tin đăng ký, xác thực thông tin khách hàng qua video call và xây dựng chân dung, hành vi khách hàng dựa trên công nghệ Bigdata & Analytics", ông Vũ Minh Tuấn chia sẻ thêm.

Ngoài ra, công nghệ cũng giúp doanh nghiệp nâng cao hiệu năng và hiệu quả hoạt động các hệ thống phòng chống tội phạm tài chính hiện đại, xây dựng nền tảng quản lý rủi ro và tuân thủ hoàn chỉnh.

Đại diện FPT IS đưa ra giải pháp cho ngân hàng: “FPT IS nghiên cứu và phát triển hệ thống công nghệ phòng chống tội phạm gian lận tài chính, tạo thành bức tranh tổng thể phát hiện và ngăn chặn kịp thời mọi rủi ro có thể xảy ra. Với những công nghệ như Digital Onboarding, FPT.IDCheck... chúng tôi đã đồng hành cùng hàng trăm doanh nghiệp ngành tài chính - ngân hàng trong việc xây dựng hàng rào bảo mật, giảm thiểu thao tác thủ công, phát hiện và giảm thiểu gian lận, tăng cường trải nghiệm khách hàng".