10 bài học bảo mật “nhớ đời” cho các ngân hàng

Ông Jason Yuen, lãnh đạo cấp cao của Ernst & Young

Thứ nhất, không có mạng nào an toàn. Lâu nay, nhiều ngân hàng vẫn tin tưởng vào một số mạng bảo mật tốt, đơn cử như hệ thống nhắn tin bảo mật SWIFT. Tuy nhiên, ông Jason cảnh báo, ngân hàng phải cẩn thận với tất cả mạng lưới, kể cả các mạng lưới an toàn nhất. Dẫn chứng là đầu năm nay, hacker đã xâm nhập được phần mềm SWIFT, tấn công Ngân hàng Bangladesh và cuỗm mất 81 triệu USD. Kiểu tấn công này được tin tắc sử dụng với một ngân hàng Việt Nam gần đây và may mắn đã bị chặn kịp thời.

Thứ hai, ai cũng có thể trở thành mục tiêu tấn công của hacker, không có mục tiêu nào là nhỏ. Điều tra của Verizon năm 2015 cho thấy, hầu hết tất cả lĩnh vực đều từng gặp sự cố về an ninh thông tin, trong đó, dịch vụ công cộng có số lượng sự cố an ninh thông tin lớn nhất với hơn 50.0000 vụ; lĩnh vực tài chính với 642 sự cố.

Thứ ba, không phải lúc nào cũng là lợi ích tài chính. Việc tấn công của tin tặc vào hệ thống Vietnam Airline là điển hình.

Thứ tư, ngay cả kẻ mạnh nhất cũng bị đánh bại. NASA - cơ quan an ninh được xem là mạnh của Mỹ cũng nhiều lần bị xâm nhập, tấn công có chủ đích.

Thứ năm, đối tác cũng có thể trở thành mối nguy về bảo mật. Cách đây vài năm, dư luận Hàn Quốc rúng động 20 triệu thẻ tín dụng bị lộ. Sau khi điều tra, con số thẻ bị lộ thực tế lên tới gần 40 triệu thẻ, tức gần bằng tổng số dân Hàn Quốc. Kết quả điều tra cho thấy, thông tin thẻ bị lộ là do một nhân viên của Công ty Cục tín dụng Hàn Quốc - đối tác của các công ty thẻ - ăn cắp và sao chép vào USB sau đó bán lại.

Bài học số 6, công nghệ mới nhất sẽ không có tác dụng nếu ngân hàng không sử dụng. Minh chứng cho sự cố này là năm 2013, 40 triệu khách hàng của chuỗi siêu thị Target đã bị tấn công, lấy cắp thông tin thẻ tín dụng. Điều tra cho thấy, cơ quan an ninh thông tin của Target nhận được nhiều cảnh báo trước đó, song họ đã bỏ qua.

Bài học số 7,sẽ có người bấm vào link lừa đảo (tấn công lừa đảo fishing). Đây là một trong những thủ đoạn phổ biến. Tại Việt Nam, nguy cơ này là rất lớn. Số liệu từ báo cáo mới đây của Kaspersky Lab cho thấy, Việt Nam đứng thứ 2 về nguồn gốc của thư rác. Trong khi đó, theo thống kê, 23% số người dùng sẽ mở các email giả mạo và 11% sẽ click vào những tập tin đính kèm. Để tránh rủi ro này, các ngân hàng phải thường xuyên, liên tục đào tạo, nâng cao nhận thức cho toàn bộ nhân viên và có biện pháp kiểm soát khác.

Bài học số 8, nguy cơ từ sự chia sẻ thông tin. Rất nhiều người sẵn sàng chia sẻ thông tin về mình với người lạ, thậm chí là thông tin về tài khoản ngân hàng. Đây cũng là một trong những thách thức về bảo mật ngân hàng.

Bài học số 9, tại sao an ninh thông tin nói chung, bảo mật ngân hàng ngày càng khó khăn? Lý do là bởi tội phạm mạng đã thành một ngành công nghiệp hàng triệu USD. Các công cụ, phần mềm phục vụ hacker chào bán rộng rãi trên internet.

Bài học số 10, nhiều  ngân hàng thiệt hại không hẳn là do lỗ hổng tinh vi mới phát hiện mà có tới 99,9% vụ tấn công khai thác các điểm yếu lỗ hổng đã được công bố trước đó hơn 1 năm. Thậm chí, nhiều lỗ hổng đã có bản vá nhưng các tổ chức cũng không mang về vá. Điều này cho thấy, hoạt động vận hành an toàn thông tin của nhiều các tổ chức là không tốt, đây là nguyên nhân dẫn tới rủi ro.