An ninh mạng và bảo đảm an ninh thông tin ngân hàng

An ninh mạng và bảo đảm an ninh thông tin ngân hàng

 

Trong bối cảnh, tình hình an ninh thông tin và an toàn thông tin mạng đang có nhiều diễn biến phức tạp trên phạm vi toàn cầu, tác động, ảnh hưởng trực tiếp đến hoạt động tài chính, ngân hàng, cụ thể là: (i). Mã độc do tội phạm mạng phát tán vào các hệ thống cửa hàng bán lẻ, bán hàng online nhằm ăn cắp thông tin khách hàng ngày càng tinh vi, dễ thích nghi và khó phát hiện; (ii). Xuất hiện nhiều virus, phần mềm gián điệp dễ dàng qua mặt các chương trình diệt virus khi tấn công vào hệ thống mạng tài chính ngân hàng; (iii). Các tổ chức tội phạm mạng và hacker tăng cường phát triển, trao đổi phần mềm độc hại nhằm vào lĩnh vực ngân hàng; mua bán thông tin tài khoản ngân hàng trong các diễn đàn hacker bí mật nhằm trục lợi kinh tế; (iv). Tội phạm mạng tấn công máy ATM để ăn cắp tiền và thông tin thẻ; (v). Xuất hiện ngày càng nhiều cuộc tấn công mang mục đích chính trị vào hệ thống tài chính, ngân hàng khi xảy ra căng thẳng giữa các nước, các vùng lãnh thổ,...

 

Tại Việt Nam, thời gian qua tình hình an ninh thông tin cũng diễn biến rất phức tạp, tội phạm công nghệ cao (trong nước và quốc tế) gia tăng nhiều hình thức tấn công nguy hiểm vào các hạ tầng thông tin trọng yếu của quốc gia và các lĩnh vực kinh tế quan trọng. Hoạt động ngân hàng tại Việt Nam đang nổi lên các vấn đề về an ninh thông tin sau (theo tin từ Bộ Công an): (i). Việt Nam nằm trong nhóm 10 nước có tỷ lệ gia tăng lừa đảo trực tuyến cao nhất thế giới; (ii). Xuất hiện một số đường dây mua bán, sử dụng trái phép thông tin thẻ tín dụng của người nước ngoài để mua hàng online, thanh toán trực tuyến tại Việt Nam; (iii). Hệ thống máy ATM của các ngân hàng trở thành mục tiêu tấn công của tội phạm công nghệ cao người nước ngoài nhằm ăn cắp thông tin thẻ ATM của khách hàng, tạo thẻ giả để rút tiền; (iv). Tội phạm lợi dụng hệ thống thanh toán trực tuyến để rửa tiền hoặc cá độ, đánh bạc có tổ chức với quy mô lớn qua mạng Internet.

 

Trong bối cảnh đó công tác bảo đảm an ninh thông tin được ngành Ngân hàng quan tâm, chú trọng về mọi mặt: con người, công nghệ và chính sách:

1. Tăng cường cơ sở pháp lý bảo đảm an ninh công nghệ thông tin ngân hàng

Cùng với việc phát triển và đẩy mạnh ứng dụng công nghệ thông tin trong hoạt động ngân hàng, trong thời gian qua Ngân hàng Nhà nước (NHNN) tăng cường công tác xây dựng, ban hành các văn bản pháp quy, tạo cơ sở pháp lý khá hoàn chỉnh cho hoạt động ứng dụng CNTT ngân hàng nói chung và công tác đảm bảo an ninh CNTT ngân hàng nói riêng như: Quyết định số 35/2006/QĐ-NHNN ngày 31/7/2006 quy định nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử; Quyết định số 29/2008/QĐ-NHNN ngày 13/10/2008 quy định bảo trì hệ thống trang thiết bị tin học trong ngành Ngân hàng; Thông tư số 01/2011/TT-NHNN ngày 21/2/2011 quy định đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng; Thông tư 29/2011/TT-NHNN ngày 21/9/2011 quy định an toàn, bảo mật trong cung cấp dịch vụ ngân hàng trên Internet; Thông tư 36/2012/TT-NHNN ngày 28/12/2012 quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động; Xây dựng Thông tư quy định các yêu cầu kỹ thuật đối với trang thiết bị phục vụ hoạt động thanh toán thẻ và an toán bảo mật trong thanh toán thẻ....

Trước các diễn biến phức tạp của tình hình mất an toàn hạ tầng CNTT, năm 2014 NHNN ban hành các văn bản chỉ đạo, cảnh báo sớm, hướng dẫn các NHTM kịp thời tăng cường các biện pháp ATBM hệ thống CNTT. Để tăng cường an ninh Hệ thống thông tin ngân hàng, ngày 25/7/2014, Thống đốc NHNN đã ban hành Chỉ thị 01/CT-NHNN.m về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng trong tình hình mới. Chỉ thị yêu cầu các NHTM, và các đơn vị trung gian thanh toán rà soát, củng cố hạ tầng CNTT để phòng ngừa các rủi ro do các tấn công mạng gây nên; chủ động triển khai các giải pháp tổng thể đảm bảo ANTT và hoạt động liên tục của các hệ thống thông tin quan trọng, nhất là các hệ thống cung cấp dịch vụ cho khách hàng và các hệ thống chứa dữ liệu quan trọng của ngân hàng và khách hàng.

Tích cực và chủ động phòng ngừa rủi ro an ninh thông tin, các NHTM ban hành quy chế an toàn, bảo mật cho hệ thống CNTT. Các quy chế này cơ bản đã phù hợp với hệ thống CNTT, cơ cấu tổ chức, yêu cầu quản lý và hoạt động nghiệp vụ của đơn vị. Các nội dung, phạm vi điều chỉnh của quy chế ATBM đáp ứng yêu cầu theo quy định của Chỉ thị 01/CT-NHNN.m. Ngoài quy chế ATBM, các đơn vị ban hành nhiều quy định, quy trình, hướng dẫn khác có liên quan việc đầu tư mua sắm trang bị, quản trị, vận hành và khai thác hệ thống CNTT.

 

2. Quan tâm đầu tư, nâng cấp hạ tầng kỹ thuật ninh mạng và triển khai nhiều giải pháp đảm bảo an ninh thông tin ngân hàng

Các hệ thống thông tin quan trọng của NHNN, cũng như của các TCTD đều được trang bị hệ thống ANBM. Trong thời gian qua, toàn Ngành đẩy mạnh đầu tư, nâng cấp Trung tâm dữ liệu, lắp đặt và sử dụng các thiết bị, giải pháp bảo mật tiến tiến để kiểm soát truy cập, chống tấn công, phát hiện xâm nhập trái phép vào hệ thống CNTT, dò tìm phát hiện điểm yếu, lỗ hổng an ninh bảo mật. Các ứng dụng cung cấp dịch vụ ra bên ngoài đều được áp dụng các giải pháp kiểm soát truy nhập và mã hóa dữ liệu. Công tác lưu trữ và dự phòng về dữ liệu và máy chủ được củng cố, tăng cường. Một số đơn vị còn sử dụng một số giải pháp an ninh bảo mật khác để theo dõi giám sát đường truyền thông, trang web, giám sát thư điện tử, phòng chống thư rác, xác thực người dùng giao dịch internet banking, ... Ngoài ra, các quy định, biện pháp về cấp phát, quản lý và sử dụng tài khoản truy cập, tài khoản đặc quyền cũng được chú trọng, đảm bảo an ninh trong vận hành hạ tầng CNTT.

NHNN thường xuyên theo dõi, cập nhật tình hình an ninh mạng trong nước và quốc tế để cảnh báo các đơn vị trong ngành kịp thời phòng chống, xử lý các rủi ro, lỗ hổng bảo mật kịp thời, ví dụ như: lỗ hổng bảo mật OpenSSL; ATM sử dụng hệ điều hành Windows XP; rủi ro tấn công mạng vào hệ thống website, Internet Banking...

Tăng cường công tác kiểm tra, kiểm toán hoạt động CNTT, tại các NHTM thành lập bộ phận kiểm soát, kiểm toán nội bộ CNTT chuyên trách, có chức năng xây dựng kế hoạch và thực hiện kiểm toán hàng năm việc tuân thủ các quy định nội bộ đối với hoạt động CNTT. Ngoài ra, các đơn vị cùng thuê công ty kiểm toán độc lập thực hiện kiểm toán có nội dung về hoạt động CNTT. Những tồn tại, hạn chế và khuyến nghị trong báo cáo kiểm toán đã được các đơn vị thực hiện khắc phục.

Triển khai các biện pháp tăng cường bảo vệ các địa điểm lắp đặt thiết bị CNTT quan trọng, Trung tâm dữ liệu, các tổ chức tín dụng đã rà soát lại tất các chính sách về ANBM, các tài khoản đặc quyền, các giải pháp xử lý và ứng cứu sự cố, khắc phục xử lý các điểm yếu, lỗ hổng, tất cả các truy cập vào vùng máy chủ được kiểm soát chặt chẽ, hạn chế các truy cập từ xa, nếu có thì được xác thực qua VPN hoặc xác thực 2 thành tố; có kịch bản xử lý sự cố đi kèm với từng hệ thống. Để đảm bảo hoạt động liên tục của hệ thống thông tin, nghiệp vụ cho Trung tâm dữ liệu. Các đơn vị đã thực hiện sao lưu dữ liệu quan trọng hàng ngày, hàng tuần đồng thời kiểm tra khả năng sao lưu, phục hồi dữ liệu, đưa ra những kịch bản xử lý các tình huống sự cố có thể xảy ra.

 

3. An ninh thông tin ngân hàng - Một số khó khăn

Do nguồn kinh phí đầu tư cho hạ tầng CNTT rất lớn, trong điều kiện kinh tế khó khăn, nhiều tổ chức tín dụng đang trong tiến trình sáp nhập, hoặc tái cơ cấu,... ảnh hưởng đến kế hoạch phát triển chung và kế hoạch phát triển hạ tầng CNTT của từng NHTM, nguồn lực dành cho hoạt động CNTT bị thu hẹp, kế hoạch đảm bảo hoạt động liên tục mới chỉ được triển khai cho một số hệ thống thông tin trọng yếu, ảnh hưởng không nhỏ đến công tác đảm bảo an toàn thông tin của các ngân hàng. Ứng cứu sự cố an ninh CNTT trong ngành Ngân hàng nói chung và của mỗi đơn vị nói riêng vẫn còn một số hạn chế, tồn tại: nhiều đơn vị chưa có bộ phận an ninh thông tin chuyên trách, chưa xây dựng kịch bản và qui trình phản ứng cụ thể trước các sự cố an ninh CNTT trong đơn vị; Chưa có bộ phận điều phối ứng cứu sự cố ANTT trong toàn Ngành.

Để tăng cường công tác bảo đảm ANTT trong toàn ngành Ngân hàng và triển khai tốt Chị thị 01/CT-NHNN.m, các NHTM cần: Xây dựng và triển khai chiến lược đảm bảo an toàn thông tin trong chiến lược tổng thể phát triển CNTT của mình, đưa ra biện pháp hữu hiệu phòng, chống tội phạm công nghệ cao tấn công hệ thống ngân hàng; Xây dựng và áp dụng tiêu chuẩn, chính sách an ninh bảo mật, duy trì hoạt động liên tục an toàn, ổn định hạ tầng CNTT; Tăng cường chia sẻ, trao đổi thông tin, kinh nghiệm liên quan trong quá trình xử lý sự cố an ninh CNTT để chống tái diễn hoặc giảm nhẹ thiệt hại và tạo điều kiện khắc phục nhanh sự cố tương tự sau này.

Trong bối cảnh tình hình thế giới diễn biến phức tạp như hiện nay, nguy cơ từ các cuộc chiến tranh thông tin, chiến tranh mạng giữa các quốc gia đang hiện hữu, tội phạm công nghệ cao tấn công vào hạ tầng CNTT nói chung đặc biệt là hệ thống mạng tài chính - ngân hàng ngày càng diễn biến phức tạp với nhiều hình thức tấn công tinh vi và cường độ ngày càng tăng. Do đó, để giảm thiểu thiệt hại do rủi ro từ các cuộc tấn công mạng của tội phạm công nghệ cao gây ra, các tổ chức tài chính ngân hàng cần tăng cường nhiều nguồn lực cho công tác bảo đảm an ninh thông tin.

Để đảm bảo an ninh hệ thống hạ tầng kỹ thuật CNTT và các hệ thống thông tin ngân hàng, trong năm 2015, Cục CNTH sẽ tăng cường phối hợp với các đơn vị CNTT trong toàn Ngành tiếp tục tham mưu cho lãnh đạo NHNN và các TCTD tổ chức thực hiện đồng bộ các giải pháp sau đây: Đẩy mạnh công tác truyền thông, đào tạo nhận thức về an toàn thông tin; Xây dựng, rà soát các quy định, quy trình, chính sách; Tăng cường công tác kiểm tra việc thực hiện quy trình, chính sách; Xây dựng các giải pháp hành chính và đầu tư phát triển kỹ thuật; triển khai xây dựng mạng lưới ứng cứu sự cố ANTT ngành Ngân hàng.

 

(Cnth theo Tạp chí thnh)