Cảnh báo tin tặc tấn công ngân hàng

(ĐTTCO) - Chiều 29-7, tin tặc tấn công website của Tổng công ty Hàng không Việt Nam (Vietnam Airlines), đã đưa lên mạng danh sách hơn 400.000 tài khoản khách hàng là thành viên của Vietnam Airlines, trong đó có thông tin cá nhân một số hội viên Bông sen vàng đang là chủ thẻ nhiều ngân hàng thương mại (NHTM). Sau sự cố này, hàng loạt yêu cầu về việc tăng cường biện pháp đảm bảo an toàn hệ thống công nghệ thông tin (CNTT) ngành NH đã được đặt ra, bởi đây là lĩnh vực quan trọng nhưng vấn đề an ninh mạng chưa được chú ý đúng mức.

An ninh mạng bị đe dọa

Sau vụ tin tặc tấn công website Vietnam Airlines, ngày 30-7, NHNN đã yêu cầu các tổ chức tín dụng (TCTD) và tổ chức trung gian thanh toán rà soát, kiểm tra tình hình an toàn an ninh hệ thống CNTT của đơn vị mình, đặc biệt các hệ thống cung cấp dịch vụ cho khách hàng trên mạng internet; tăng cường các biện pháp an ninh bảo mật hệ thống CNTT, đảm bảo hệ thống luôn hoạt động liên tục, dữ liệu được sao lưu và phục hồi khi cần thiết; phân công cán bộ trực 24/7 và tăng cường các biện pháp giám sát, theo dõi hoạt động và nhật ký của các hệ thống CNTT quan trọng, kịp thời phát hiện và xử lý các lỗ hổng bảo mật, các truy nhập trái phép, các cuộc tấn công. 

Trong xu thế hội nhập, các NH phải đầu tư đúng mức cũng như nâng cao chất lượng, hiệu quả của công nghệ NH. Bên cạnh đó, cần có sự hỗ trợ về chính sách, như Điều 90 Luật TCTD nên sửa đổi thay vì cấp phép từng sản phẩm, chuyển sang phê duyệt tự động khi các NH thay đổi sản phẩm mới. Cần áp dụng nguyên tắc thị trường và bình đẳng khi xây dựng hành lang pháp lý về giao dịch điện tử cũng như xử lý tranh chấp giữa NH và khách hàng.

Ông Phạm Xuân Hòe, Phó Viện trưởng Viện Chiến lược NH

Cùng ngày, Bộ Thông tin - Truyền thông có công văn gửi các cơ quan trung ương, bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố, các tập đoàn kinh tế, tổng công ty nhà nước, tổ chức tài chính và NHTM, yêu cầu khẩn trương thực hiện biện pháp để phòng ngừa và bảo vệ các hệ thống thông tin.

 Các cảnh báo trên cho thấy vấn đề an ninh mạng của các NHTM hiện nay vẫn còn lỏng lẻo. Mặc dù mức độ đầu tư vào hệ thống CNTT của các NHTM ngày càng tăng, nhưng đa số chỉ chú trọng đầu tư vào trang bị thiết bị. Tháng 4-2014, các website của NH dính phải lỗ hổng Open SSL Heartbleed, nhiều NHTM đã phải ngưng phần lớn cổng thanh toán và NH điện tử để thực hiện vá lỗi. Bản tổng kết tình hình an ninh mạng nửa đầu năm 2015 của Công ty An ninh mạng Bkav Security, cho biết 30% website NH tại Việt Nam tồn tại lỗ hổng, 2/3 trong số này ở mức độ nguy hiểm trung bình và cao. Đầu tháng 6 vừa qua, Liên minh phần mềm BSA đã công bố kết quả khảo sát về phần mềm toàn cầu năm 2016. Theo đó, việc sử dụng phần mềm không có bản quyền trong các lĩnh vực tài chính NH, bảo hiểm, chứng khoán… tại Việt Nam vẫn còn khá cao, năm 2005, tỷ lệ vi phạm bản quyền là 90%, năm 2009 giảm xuống 85%, năm 2010 là 83%, từ năm 2011-2013 còn 81% và năm 2015 còn 78%. Trong khi đó, tỷ lệ vi phạm bản quyền trong khu vực châu Á-Thái Bình Dương ở mức cao nhất trên toàn cầu cũng chỉ ở mức 61%.

Chủ động cảnh giác

Xu hướng lừa đảo tinh vi nhằm chiếm đoạt tài sản qua thẻ và tài khoản NH qua mạng được thực hiện bởi các tổ chức tội phạm trong và ngoài nước đang ngày càng gia tăng. Hồi tháng 5, TPBank cho biết đã ngăn chặn được một vụ cướp tiền liên quan đến sử dụng tin nhắn SWIFT gian lận xảy trong quý IV-2015. Cụ thể, TPBank đã phát hiện các điện chuyển tiền SWIFT khả nghi với số tiền hơn 1 triệu EUR. NH đã lập tức ngăn chặn các giao dịch này bằng cách yêu cầu các bên liên quan dừng thực hiện và đã kiểm soát được tình hình.  

Các NH nên đánh giá định kỳ, sử dụng dịch vụ đánh giá của các đơn vị thứ ba để tạo sự khách quan, đồng thời áp dụng các bộ tiêu chuẩn về an ninh thông tin trong lĩnh vực thẻ. Người sử dụng dịch vụ trực tuyến của NH cần ý thức sử dụng phần mềm phòng chống mã độc, thiết lập các cấu hình an toàn hơn trong tài khoản của mình, nhất là tài khoản NH điện tử.

Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng BKAV

Phòng ngừa việc đánh cắp thông tin tài khoản thẻ sau sự cố tin tặc tấn công website Vietnam Airlines, nhiều NH đã chủ động khóa chức năng thanh toán online với những chủ thẻ từng thanh toán trên website với Vietnam Airlines. Trong thông báo phát đi ngày 31-7, Vietcombank đưa ra cảnh báo về việc nâng cao cảnh giác và bảo mật khi sử dụng thẻ trên các trang mạng. Trước đó, ngày 20-7, Vietcombank đã gửi thông báo đến khách hàng về việc nâng cao cảnh giác và bảo mật khi sử dụng dịch vụ NH điện tử, vì thời gian gần đây xuất hiện một số đối tượng lừa đảo, lợi dụng sự sơ hở của khách hàng để ăn cắp thông tin, chiếm đoạt tiền trên tài khoản NH điện tử.

Hiện nay, để giúp khách hàng bảo mật thông tin khi sử dụng dịch vụ NH điện tử, các NH dùng phương thức xác thực gồm mật khẩu giao dịch, SMS OTP, Mobile OTP, Chứng thư số (PKI). Nhiều NH ứng dụng dịch vụ xác thực giao dịch trực tuyến thẻ quốc tế (3D Security) để bảo vệ tài khoản thẻ miễn phí. Tuy nhiên, với tỷ lệ sử dụng phần mềm vi phạm bản quyền hiện nay lên đến 78%, sẽ có nhiều phần mềm được triển khai không có khả năng cập nhật những phiên bản vá lỗi nhằm chống lại phần mềm có mã độc, phòng ngừa bị tấn công trên mạng, đồng nghĩa các giao dịch của khách hàng vẫn đối mặt với nhiều rủi ro. Bên cạnh đó, công nghệ thẻ từ đang được sử dụng ở Việt Nam được đánh giá không quá phức tạp nên khả năng bị làm giả và đánh cắp thông tin rất dễ dàng.

Điều đáng nói, nếu xảy ra sự cố mất tiền, phần lớn thiệt thòi khách hàng phải chịu. Cụ thể, cuối năm 2015, nhiều chủ thẻ ATM bỗng dưng mất tiền, dẫn đến nghi vấn các NH quản lý công nghệ thông tin kém, bảo mật của NH có lỗ hổng nên tin tặc đã xâm nhập vào cơ sở điện toán lấy cắp thông tin và trộm tiền của khách hàng. Tuy nhiên, khi xử lý vụ việc, dù thời gian xác định mất tiền trong thẻ ATM thuộc về lỗi bảo mật của NH, nhưng phía NH lại cho rằng do khách hàng sơ hở để lộ thông tin dẫn đến người khác sử dụng thẻ chiếm đoạt tiền. Nhiều NH còn yêu cầu khách hàng phải chứng minh được việc mất tiền do lỗi của NH, khi đó mới được bồi thường 100% số tiền đã mất. Do đó, các chuyên gia khuyến cáo, để đề phòng rủi ro, khách hàng cần cảnh giác bảo mật và đăng ký thẻ chip thay vì thẻ từ vì tính bảo mật của thẻ từ kém, dễ bị làm giả và bị đánh cắp thông tin cá nhân.

Đừng để mất bò mới lo làm chuồng

Theo ông Phạm Xuân Hòe, Phó Viện trưởng Viện Chiến lược NH, đối với NH, 3 trụ cột để quyết định khả năng phát triển lớn mạnh và khả năng cạnh tranh gồm vốn, nhân lực và công nghệ. Trong vòng 5 năm qua, ngành NH đã không ngừng đầu tư nâng cấp công nghệ. Một kết quả khảo sát đối với 13 NHTM và 2 trường đại học trong hệ thống NH, cho thấy khoảng 11.000 tỷ đồng đã được các đơn vị này đầu tư vào công nghệ, trong đó năm 2015 đạt 2.250 tỷ đồng, cùng với dự án đầu tư FSMINS khoảng 1.570 tỷ đồng của NHNN. Trong đó, đầu tư phần cứng chiếm 41%, phần mềm 22%, chi phí duy trì hoạt động website, cổng giao dịch trực tuyến khoảng 22%... Con số này so với mức đầu tư của các NH khu vực và trên thế giới còn khá khiêm tốn. Cụ thể mức đầu tư CNTT của một NH trong khu vực châu Á - Thái Bình Dương hàng năm 7-7,3 tỷ USD. Cơ cấu vốn đầu tư vào CNTT của các NH Việt Nam chỉ khoảng 5% tổng chi phí hoạt động, so với 7-9% ở các nước đang phát triển và 20% ở châu Âu.

Cảnh báo tin tặc tấn công ngân hàng ảnh 1

Ảnh minh họa.

Trong bối cảnh hiện nay, ngoài việc yêu cầu khách hàng nâng cao cảnh giác và bảo mật khi giao dịch trực tuyến, bản thân NH cũng phải chú trọng hơn đến vấn đề bảo mật, vì đây được xem là một trong những thế mạnh cạnh tranh trong hoạt động của NH. Hiện Agribank là NH đầu tiên hoàn thành dự án Core Banking, hiện đại hóa hệ thống thanh toán và kế toán khách hàng (IPCAS) do NH Thế giới tài trợ. Ngoài việc trang bị đầy đủ các thiết bị phần cứng và chương trình phần mềm phòng chống trộm cắp, sao chép thông tin thẻ tại 100% ATM, Agribank còn phối hợp với các cơ quan bảo vệ pháp luật, các tổ chức thẻ quốc tế, Hội thẻ NH Việt Nam thường xuyên chủ động nhắc nhở, khuyến cáo chi nhánh, đơn vị chấp nhận thẻ và khách hàng trước những rủi ro có thể phát sinh.

Theo các chuyên gia, NHNN nên rà soát lại chiến lược phát triển hệ thống TCTD đến năm 2030-2035, đưa ra định hướng để các NH xây dựng kênh phân phối, sản phẩm dịch vụ, hệ thống CNTT trong 5 năm tới, nới tỷ lệ sử dụng vốn tự có để đầu tư cho tài sản cố định hơn mức 50% hiện nay, nhằm thúc đẩy các TCTD đẩy mạnh đầu tư CNTT.

Hướng tới chuẩn Basel II

Minh XUÂN

Mặc dù nhận định giao dịch điện tử là xu hướng chính trong hoạt động NH hiện đại nhưng tỷ lệ đầu tư cho công nghệ của NH Việt Nam vẫn còn thấp. Trong tương lai khi phải áp dụng tiêu chuẩn Basel II, việc đòi hỏi sự nâng cấp hạ tầng công nghệ để phục vụ công tác quản lý rủi ro là tất yếu.

Đầu tư chưa tương xứng

Sau 1 năm kỳ công chuẩn bị, VietinBank vừa chính thức giới thiệu dự án thay thế Core Banking (công nghệ NH lõi) để chinh phục hệ thống Core SunShine. Hệ thống công nghệ mới Core SunShine kỳ vọng trở thành điểm tựa công nghệ để VietinBank quản trị rủi ro, nâng cấp hoạt động để trở thành NH hiện đại, đáp ứng và tuân thủ chuẩn mực quốc tế. Theo giới thiệu, Core SunShine mới với năng lực quản trị mạnh sẽ tạo ưu thế cạnh tranh và khả năng kinh doanh linh hoạt cho VietinBank, đặc biệt có khả năng hỗ trợ việc mở rộng hoạt động toàn cầu của NH. Hơn thế, giải pháp này cũng sẽ giúp giảm thiểu thời gian đưa sản phẩm mới ra thị trường, có khả năng cung cấp các sản phẩm dịch vụ đặc thù, xử lý theo thời gian thực, nhất quán qua tất cả kênh và đa tiền tệ. Được biết, thay thế Core Banking và kho dữ liệu doanh nghiệp là 2 dự án trọng điểm trong công tác hiện đại hóa NH của VietinBank giai đoạn 2016-2017.

Xu hướng đầu tư vào công nghệ trong lĩnh vực NH điện tử thể hiện một cách rõ rệt trong vài năm gần đây. Đơn giản vì nhu cầu của khách hàng ngày càng cao hơn và hiện đại hơn, do vậy để gia tăng tính cạnh tranh, các NH phải liên tục chạy đua để cho ra đời những sản phẩm tài chính được xây dựng trên nền tảng công nghệ với nhiều tính năng, tiện ích tối đa để tiếp cận khách hàng. Sự phát triển của CNTT cho phép người dùng thực hiện các giao dịch thanh toán qua NH mọi lúc mọi nơi một cách dễ dàng. Không phân biệt quy mô NH lớn hay nhỏ, tất cả đều tham gia cuộc chạy đua về giải pháp công nghệ nếu không muốn tụt lại phía sau. Vì thế các NH cũng không tiếc tiền đầu tư để nâng cấp hệ thống CNTT của mình.

Đến nay, con số chi cho phát triển CNTT của từng NH chưa được đề cập cụ thể. Nhưng theo số liệu của Viện Chiến lược NH (NHNN) tập hợp từ 13 NHTM và 2 trường đại học, cho thấy kinh phí đầu tư cho CNTT và đào tạo là khoảng 2.000 tỷ đồng/năm, tổng mức đầu tư trong 5 năm gần đây là 11.000 tỷ đồng. Core Banking là hạng mục CNTT quan trọng nhất mà một số ông lớn sẵn sàng bỏ ra hàng chục đến hàng trăm triệu USD đầu tư, như Agribank đầu tư khoảng 100 triệu USD; VietinBank khoảng 150 triệu USD; Vietcombank 150-200 triệu USD. Tuy nhiên vấn đề đáng nói ở đây là mức đầu tư cho công nghệ của các NH đang nhiều lên nhưng vẫn còn thấp với tỷ lệ dưới 5% lợi nhuận.

Cảnh báo tin tặc tấn công ngân hàng ảnh 2

VPBank là 1 trong 10 ngân hàng được chỉ định thực hiện theo tiêu chuẩn Basel II.
Ảnh: LONG THANH

Không chỉ là lợi nhuận

Trong bối cảnh đang hội nhập sâu rộng với khu vực và trên thế giới, việc áp dụng tiêu chuẩn Basel II đối với hệ thống NH là điều tất yếu. Hiện tại mới chỉ có 10 NH Việt Nam được chỉ định thí điểm theo tiêu chuẩn Basel II là BIDV, VietinBank, Vietcombank, Techcombank, ACB, VPBank, MB, Maritimebank, Sacombank và VIB. NHNN cũng đã ra lộ trình đến năm 2018, cả 10 NH trên sẽ hoàn thành việc thí điểm, sau đó sẽ mở rộng áp dụng Basel II với các NHTM khác trong cả nước. Theo phân tích của TS. Cấn Văn Lực tại diễn đàn Banking Việt Nam 2016, chi phí để thay đổi hạ tầng công nghệ khá tốn kém nhưng cần thiết và lợi ích đem lại cho các NH rất lớn. Ông cho rằng nếu đầu tư vào công nghệ các NH sẽ cầm chắc lợi nhuận ròng tăng 15-17% và bù đắp được phần nào khoản giảm lãi trong trường hợp áp dụng chuẩn Basel mới.

Basel II được chia theo 3 cột trụ chính. Thứ nhất, yêu cầu về vốn. Thứ hai, liên quan đến những quy trình rà soát, kiểm soát và giám sát hệ thống NH. Thứ ba, đòi hỏi các thông tin tài chính của NH phải minh bạch, công khai. Do đó lưu ý quan trọng của hiệp ước này đòi hỏi yêu cầu cao về hệ thống quản trị rủi ro, CNTT và tài chính của các NH.

Một trong những yếu tố cơ bản để có thể thực hiện thành công Basel II là cần phải có cơ sở dữ liệu tốt và đầy đủ, do vậy yêu cầu để triển khai Basel II đòi hỏi rất khắt khe về cơ sở dữ liệu và công tác quản trị dữ liệu. Trong khi đó, hệ thống cơ sở dữ liệu của các NHTM Việt Nam từ trước đến nay chưa tuân theo các chuẩn mực quốc tế, chưa chú trọng để phục vụ công tác quản trị rủi ro. Hiện nay các nước trong khu vực như Trung Quốc, Ấn Độ, Indonesia, Malaysia, Nhật Bản, Hàn Quốc, Singapore, Thái Lan đã hoàn tất thực hiện Basel II và một số đang thực hiện Basel III. Theo các chuyên gia, khó khăn hiện nay trong việc thực hiện Basel II của NH Việt Nam là nguồn nhân lực, cơ sở dữ liệu, hạ tầng công nghệ và nguồn tài chính còn hạn chế. Trong đó có việc triển khai hiện đại hóa hệ thống công nghệ và cơ sở dữ liệu để phục vụ cho công tác quản lý, bao gồm cả hệ thống thông tin tín dụng. Dù thế nào vẫn phải nhìn nhận đầu tư cho công nghệ là yếu tố bắt buộc nếu các NH muốn tồn tại. Đó là chưa nói sự tương tác của NH với khách hàng trên các mạng xã hội ngày càng phát triển, việc đầu tư cho bảo mật trực tuyến là điều cần phải lo lắng và quan tâm không thua kém với vấn đề nợ xấu.

Thiên Minh

Các tin, bài viết khác

Đọc nhiều nhất