“Việt Nam là quốc gia có tỉ lệ mất an toàn qua thanh toán thuộc loại thấp”
Thứ Ba,  8/5/2018, 11:36 

“Việt Nam là quốc gia có tỉ lệ mất an toàn qua thanh toán thuộc loại thấp”

Nhóm PV

(TBKTSG Online) - Tại Diễn đàn toàn cảnh Ngân hàng: “Ngân hàng 2018: Hướng tới phát triển bền vững”, ông Lê Mạnh Hùng - Cục trưởng Cục Công nghệ Thông tin, Ngân hàng Nhà nước cho hay Việt Nam là quốc gia có tỉ lệ mất an toàn qua thanh toán thuộc loại thấp trên thế giới.

Thách thức

Trong năm 2017, theo thống kê của công ty an ninh mạng Panda Security, tài chính là mục tiêu lớn nhất thúc đẩy tin tặc hành động, với 73% số lượng các cuộc tấn công mạng; chính trị, tình báo là mục tiêu lớn thứ hai, với 21% các cuộc tấn công. Mỗi ngày trung bình có khoảng 285.000 mẫu mã độc mới xuất hiện. Đầu tháng 5/2017, mã độc tống tiền WannaCry khiến thế giới "chao đảo" khi lan rộng tới hơn 150 quốc gia trong đó có Việt Nam, ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân. Nó được xem là một trong những cuộc tấn công mã độc thuộc hàng lớn nhất trong lịch sử. Các số liệu trên cho thấy sự phức tạp, khó khăn của công tác an ninh, bảo mật trong giai đoạn hiện nay.

Đối với ngành ngân hàng, tài chính, thời gian qua trên khắp thế giới cũng đã xảy ra nhiều sự kiện mất an toàn, một số vụ điển hình như NHTW (Ngân hàng Trung ương) Bangladesh bị mất 81 triệu đô la Mỹ qua hệ thống thanh toán quốc tế SWIFT vào tháng 2/2016, NHTW Ecuador bị tấn công tương tự mất 9 triệu đô la, một ngân hàng Nam Phi mất 13 triệu đô la qua ATM vào tháng 5/2016; ngân hàng tại Đài Loan bị đánh cắp 2,2 triệu đô la qua ATM vào tháng 7/2016; một ngân hàng Thái Lan mất khoảng 350 ngàn đô la do máy ATM bị cài mã độc vào tháng 8/2016; tháng 11/2016, Ngân hàng Tesco Bank đã phải tạm ngưng các giao dịch ngân hàng trực tuyến sau khi bị tội phạm mạng ăn cắp tiền từ 20.000 tài khoản khách hàng.

Tại Việt Nam, nhận thức và hành vi của người dùng trong việc đảm bảo an toàn thông tin khi truy cập mạng thì người dùng Việt Nam vẫn còn rất yếu; 60% người dùng trên thế giới khi được hỏi thì đều có nhận thức việc mất an toàn là do bản thân, nhưng tại Việt Nam chỉ có gần 11% người dùng nhận biết được điều này.

Đối với ngành ngân hàng Việt Nam, theo thống kê của các tổ chức thanh toán quốc tế như Visa-Mastercard, năm 2017 Việt Nam là quốc gia có tỉ lệ mất an toàn qua thanh toán thuộc loại thấp, chỉ khoảng 1/3 so với tỉ lệ bình quân trên thế giới.

Mất an toàn thuộc loại thấp

Việt Nam trong thời gian qua đã ban hành nhiều chính sách, tiêu chuẩn về an toàn thông tin, bao gồm từ Luật (Luật Giao dịch điện tử, Luật An toàn thông tin mạng và sắp tới là Luật An ninh mạng), Nghị định (Nghị định 35/2007/NĐ-CP về giao dịch điện tử trong hoạt động ngân hàng; Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ) đến các Thông tư hướng dẫn.

NHNN với vai trò quản lý nhà nước trong ngành ngân hàng luôn quan tâm và chỉ đạo sát sao công tác bảo đảm an ninh, an toàn hệ thống thông tin trong toàn ngành. Trên cơ sở các quy định của Nhà nước, NHNN đã ban hành nhiều văn bản quy phạm pháp luật về đảm bảo an toàn hoạt động CNTT trong ngành tiệm cận với các chuẩn mực quốc tế về an toàn thông tin như ISO 27001, PCI DSS… Bên cạnh đó, NHNN còn là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảo mật, nguy cơ mất an toàn của hệ thống CNTT từ Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông và các tập đoàn, công ty CNTT đối tác, để cảnh báo, chỉ đạo các đơn vị trong toàn ngành kiểm tra, rà soát và có giải pháp kịp thời phòng, tránh, không để xảy ra các hiện tượng mất an toàn.

Đi đôi với việc ban hành các văn bản, hàng năm ngoài việc tổng hợp giám sát qua hệ thống báo cáo, NHNN đều tổ chức các đoàn kiểm tra tại chỗ để phát hiện, khuyến nghị và chấn chỉnh kịp thời những tồn tại, hạn chế về an ninh, bảo mật của các tổ chức tín dụng, các tổ chức trung gian thanh toán.

Từ năm 2010 đến nay, NHNN đã tiến hành 75 đợt kiểm tra tuân thủ các văn bản quy phạm pháp luật về CNTT tại 61 tổ chức tín dụng.

Nhằm tập hợp lực lượng và thống nhất chỉ đạo về hoạt động an ninh, bảo mật trong toàn ngành ngân hàng, ngày 27/5/2016 Thống đốc NHNN đã ký Quyết định số 1126/QĐ-NHNN ban hành Quy chế về điều phối mạng lưới ứng cứu sự cố an ninh công nghệ thông tin trong ngành Ngân hàng.

Theo đó Ngân hàng Nhà nước (Cục CNTT) với vai trò là tổ chức điều phối mạng lưới, thực hiện chức năng tiếp nhận, xử lý và điều phối các thông tin, hoạt động ứng cứu sự cố an ninh CNTT trong toàn ngành và định kỳ hàng năm tổ chức các đợt diễn tập ứng cứu sự cố an ninh CNTT nhằm nâng cao khả năng ứng phó, sẵn sàng xử lý các sự cố an ninh mạng cho các đơn vị trong ngành Ngân hàng.

Triển khai các văn bản chỉ đạo của NHNN, các tổ chức tín dụng trong toàn ngành đã quan tâm đầu tư, đổi mới công nghệ, từng bước hoàn chỉnh hạ tầng CNTT.

- Tại trung tâm dữ liệu chính và trung tâm dữ liệu dự phòng và các hệ thống quan trọng, các tổ chức tín dụng đã đầu tư, trang bị các giải pháp an ninh bảo mật cơ bản như: tường lửa (firewall); hệ thống phát hiện xâm nhập (IPS/IDS); hệ thống phòng chống vi rút; xác thực đa thành tố đối với các giao dịch điện tử và mã hóa dữ liệu đối với các hệ thống quan trọng. Hệ thống ứng dụng, máy chủ, máy trạm được quản lý, thường xuyên rà soát, cập nhật kịp thời các bản vá lỗ hổng để ngăn ngừa tội phạm xâm nhập tấn công vào hệ thống.

- Cơ bản các tổ chức tín dụng đã trang bị các giải pháp tăng cường an toàn, an ninh mạng như: hệ thống quản lý sự kiện an ninh; hệ thống phòng chống thư rác; hệ thống lọc nội dung web; hệ thống quản lý file nhật ký; hệ thống đánh giá điểm yếu ứng dụng và mạng; công nghệ chữ ký số PKI.

- Bên cạnh đó, nhiều tổ chức tín dụng đã triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001, PCI DSS. Số lượng các tổ chức tín dụng đạt các tiêu chuẩn này đã tăng lên hàng năm. Đối với chuẩn PCI DSS, trên 60% các tổ chức tín dụng đã và đang triển khai áp dụng tiêu chuẩn an ninh dữ liệu thẻ PCI DSS, trong đó có 10 đơn vị đạt chứng chỉ PCI DSS; đối với chuẩn ISO 27001, trên 64% các tổ chức tín dụng đã và đang triển khai áp dụng, trong đó có 10 tổ chức đã lấy chứng chỉ đạt tiêu chuẩn ISO 27001.

- Trong năm 2017, các tổ chức tín dụng cũng đã tích cực triển khai chương trình CSP SWIFT để tăng cường đảm bảo an toàn cho hoạt động chuyển tiền quốc tế qua hệ thống SWIFT.

Để nâng cao nhận thức cho khách hàng trong việc đảm bảo an toàn bảo mật các giao dịch trực tuyến, các tổ chức tín dụng đã tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ.

Bảo mật cho thanh toán trực tuyến trong thời gian tới

- Đối với NHNN: nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế trong các văn bản quy phạm pháp luật điều chỉnh hoạt động ứng dụng CNTT của các tổ chức tín dụng đảm bảo an toàn, bảo mật. Cụ thể trong năm 2018, NHNN sẽ rà soát sửa đổi bổ sung Thông tư quy định về đảm bảo an toàn, bảo mật hệ thống CNTT trong hoạt động ngân hàng (Thông tư số 31/2015/TT-NHNN) và Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet (Thông tư số 35/2016/TT-NHNN) với các nội dung dự kiến:

(i) quy định việc quản lý dịch vụ thuê ngoài, đặc biệt là dịch vụ điện toán đám mây;

(ii) quy định về các giải pháp an ninh bảo mật phù hợp cho từng loại đối tượng khách hàng;

(iii) quy định về phân loại hệ thống thông tin theo cấp độ vào áp dụng các giải pháp đảm bảo an ninh bảo mật tương ứng;...

Đưa vào áp dụng khung đánh giá rủi ro CNTT theo thông lệ quốc tế để nâng cao chất lượng công tác kiểm tra tuân thủ các quy định về an toàn bảo mật tại các tổ chức tín dụng, tổ chức trung gian thanh toán.

Tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh CNTT ngành ngân hàng với các trọng tâm sau: từng bước kiện toàn nguồn nhân lực cùng với cơ sở vật chất phục vụ diễn tập, giám sát sự kiện an ninh mạng; bổ sung kinh phí, trang thiết bị, giải pháp công nghệ hỗ trợ cho hoạt động của mạng lưới nhằm nâng cao năng lực xử lý và ứng cứu sự cố; đào tạo chuyên sâu về an ninh thông tin trong ngành ngân hàng theo hình thức phối hợp giữa các tổ chức tín dụng và NHNN triển khai các khóa đào tạo theo yêu cầu; hàng năm hoặc 6 tháng 1 lần, tổ chức các khoá đào tạo về an ninh mạng kết hợp với diễn tập ứng cứu sự cố; xây dựng diễn đàn trao đổi thông tin riêng cho các thành viên mạng lưới; định kỳ tổ chức các buổi hội thảo về an toàn, an ninh thông tin và ứng cứu sự cố an ninh mạng.

Phối hợp với các cơ quan chức năng Bộ Thông tin và Truyền thông, Bộ Công an, Ban Cơ yếu Chính phủ và các tổ chức cung cấp dịch vụ hạ tầng CNTT... để chia sẻ thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng của ngành ngân hàng.

Triển khai các chương trình nâng cao nhận thức của cán bộ, nhân viên trong ngành Ngân hàng và người dân trong việc nhận diện các rủi ro và các các biện pháp phòng ngừa của hoạt động ngân hàng trên môi trường mạng.

- Đối với các tổ chức tín dụng:

Rà soát, hoàn thiện và tổ chức triển khai chính sách về an ninh bảo mật CNTT, chính sách về quản lý rủi ro CNTT tuân thủ các văn bản pháp luật của Nhà nước và các quy định của NHNN.

Xây dựng kế hoạch ứng dụng CNTT, trong đó chú trọng triển khai các chương trình, kế hoạch theo quy định của NHNN như:

(i) áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng đã được thống đốc NHNN ban hành tại Quyết định 630/QĐ-NHNN ngày 31/3/2017, áp dụng các công nghệ xác thực mạnh, phòng chống tấn công lừa đảo (phishing) để cung cấp cho khách hàng sử dụng dịch vụ an toàn;

(ii) kế hoạch chuyển đổi thẻ từ sang thẻ chíp.

Xây dựng lộ trình triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật cho hệ thống CNTT cũng như các dịch vụ thanh toán trực tuyến, thanh toán thẻ (ISO 27001, PCI/DSS).

Rà soát chặt chẽ các quy trình đăng ký, kích hoạt sử dụng dịch vụ ngân hàng điện tử đảm bảo cung cấp dịch vụ cho đúng khách hàng.

Các giải pháp về công nghệ:

- Triển khai các nội dung về rà soát, đánh giá rủi ro và triển khai các giải pháp an ninh bảo mật cho toàn bộ vòng đời của một hệ thống thông tin.

- Trang bị các hệ thống hỗ trợ giám sát giao dịch điện tử, điều tra gian lận, từng bước tổng hợp, phân tích dữ liệu của khách hàng và xây dựng bộ quy tắc để phát hiện và ngăn chặn sớm các gian lận; xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định hoặc các dấu hiệu bất thường khác.

- Xây dựng trung tâm điều hành an ninh mạng để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng.

- Thường xuyên định kỳ đánh giá các điểm yếu, lỗ hổng của hệ thống CNTT. Xây dựng và triển khai diễn tập các quy trình, kịch bản ứng phó với các sự cố an toàn thông tin mạng.
Các giải pháp về tổ chức, nguồn nhân lực.

- Kiện toàn bộ máy CNTT các cấp theo hướng chuyên môn hoá, làm chủ công nghệ, hạn chế sự phụ thuộc vào các đối tác bên ngoài. Xây dựng đội ngũ cán bộ chuyên trách về an toàn thông tin.

- Đào tạo, huấn luyện nâng cao kỹ năng xử lý rủi ro cho nhân viên một cách chặt chẽ, khoa học và chuyên nghiệp.

- Tăng cường công tác kiểm toán nội bộ đảm bảo an toàn các hoạt động nghiệp vụ và hạ tầng CNTT.

- Tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ.

Chia sẻ:
   
CÙNG CHUYÊN MỤC
Giấy phép Báo điện tử số: 2302/GP-BTTTT, cấp ngày 29/11/2012