Dù các cuộc tấn công mạng vào Việt Nam có xu hướng giảm, theo Cục An toàn thông tin (Bộ TT&TT), các ngân hàng không thể lơ là cảnh giác. Bởi theo báo cáo mới nhất, trong 8 tháng đầu năm 2020, 90% trong số 3 triệu vụ cảnh báo tấn công mạng là nhắm đến hệ thống tài chính, ngân hàng Việt, theo Viettel Cyber Security.

Trong đó, có ba hình thức tấn công phổ biến mà các hệ thống tài chính, ngân hàng phải đối mặt là khai thác web (chiếm 77,58%), mã độc hại (12,05%), vét cạn (3,92%). Các loại hình tấn công khác như từ chối dịch vụ, nhắm vào thiết bị di động chiếm 6,45%. 

Đặc biệt, Viettel Cyber Security phát hiện hơn 75.800 cuộc tấn công có chủ đích nhắm vào các hệ thống tài chính, ngân hàng. Số lượng của loại hình tấn công này giảm đáng kể với mục tiêu là hệ thống các tỉnh thành (50 cuộc) và hệ thống mạng giao thông vận tải (20.168 cuộc).

Đây là điều đã từng được Cục An toàn thông tin cảnh báo vào năm 2019 khi những lỗ hổng mất an toàn ngày càng gia tăng với tốc độ khoảng 300%/năm. Khi đó, chỉ có 49,4% cơ quan có bộ phận chịu trách nhiệm về an toàn thông tin và chỉ có 9,2 % có hệ thống giám sát an toàn thông tin. Tỷ lệ cơ quan có quy trình thao tác chuẩn để ứng phó khi xảy ra sự cố cũng ở mức thấp, đạt chưa tới 36%, theo Cục An toàn thông tin.

Đặc biệt, chỉ có 25% cơ quan có khả năng ghi nhận tấn công mạng. Điều này có nghĩa là có đến 75% cơ quan, đơn vị có khả năng bị tấn công mà không hay biết. Bên cạnh đó, 30% cơ quan tự cho rằng lãnh đạo chưa quan tâm an toàn thông tin. 

Kết quả là ngân sách đầu tư cho an toàn thông tin theo khảo sát của Cục với 30 ngân hàng và 16 đơn vị cung cấp dịch vụ tài chính, bảo hiểm ở Việt Nam còn rất thấp. Tiềm năng cho phát triển thị trường an toàn thông tin ở Việt Nam vì thế là rất lớn, dự báo đạt 132,04 triệu USD năm 2020, tăng trưởng 14%/năm (trung bình toàn cầu 10,6%), theo Ken Research.

Tăng cường bảo mật, nâng cấp hệ thống là điều ngân hàng phải liên tục triển khai ở giai đoạn chuyển đổi số.

Có thể thấy, tội phạm mạng trong lĩnh vực tài chính, ngân hàng đang ngày càng đa dạng hóa, từ đánh cắp danh tính đến dùng trang web, email giả mạo đánh lừa người dùng. Ở mức độ cao hơn, các nhóm tin tặc quốc tế phối hợp sử dụng tấn công từ chối dịch vụ (DDoS), tấn công có chủ đích (APT), tấn công bằng mã độc, phần mềm gián điệp đính kèm trong email để xâm nhập và phá hủy hệ thống ngân hàng.  

Lý do là bởi sự chuyển dịch sang thanh toán không dùng tiền mặt ứng dụng công nghệ 4.0 khiến các ngân hàng đang phải đối mặt với những thách thức lớn về bảo mật. Các nhà băng để đảm bảo hoạt động thông tin an toàn, thông suốt sẽ phải hoàn thiện hệ thống bảo mật theo tiêu chuẩn quốc tế PCI DSS mới nhất.

Ngoài ra, để đảm bảo an toàn cho dữ liệu, các chuyên gia bảo mật khuyến cáo ngân hàng nên đầu tư hệ thống ngân hàng lõi (core banking). Đây là hệ thống phần mềm tích hợp giúp quản lý thông tin, tài sản, giao dịch và quản trị rủi ro một cách đồng bộ, tập trung hóa dữ liệu. Đồng thời, core banking cũng có khả năng nâng cấp, thay đổi module đáp ứng các yêu cầu bảo mật khắt khe nhất. 

Một số hệ thống core banking mà các ngân hàng Việt đang triển khai có thể kể đến T24 - Temenos, SIBS, TCBS, Symbol System, Sunshine… Nhưng hệ thống này có hoạt động ổn định hay không phụ thuộc vào việc nhà băng phải liên tục cập nhật kiểm tra định kỳ hệ thống để đảm bảo phát hiện các lỗ hổng bảo mật sớm nhất, các chuyên gia khuyến nghị. 

Bên cạnh đó, ngân hàng Việt cần đáp ứng tiêu chuẩn ISO/IEC 27001 và ISO 9001:2008 ở các mức độ khác nhau. Đây là những tiêu chuẩn quốc tế liên quan đến an toàn thông tin, cho phép các ngân hàng đánh giá được rủi ro và kiểm soát hệ thống chặt chẽ hơn.

Phương Nguyễn

Phân loại hệ thống thông tin ngân hàng theo 5 cấp độ

Các hệ thống thông tin của tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán sẽ được phân loại theo 5 cấp độ, thay vì 3 cấp độ như quy định hiện hành.