Thách thức an ninh mạng khi ngân hàng dịch chuyển từ đóng sang mở
Ngân hàng mở- Open Banking là xu hướng tất yếu của hoạt động kinh doanh ngân hàng trong thời đại cách mạng công nghiệp 4.0. Khi thực hiện ngân hàng mở, mở nhiều cổng kết nối, có thêm các đối tác thứ 3, mang lại nhiều tiện lợi, giá trị. Tuy nhiên đi kèm với đó có thể là các nguy cơ, mở ra nhiều cánh cửa, có nhiều phương thức cho các đối tượng tấn công thâm nhập...
Phó Cục trưởng Cục An toàn thông tin, Bộ Thông tin và Truyền thông Trần Quang Hưng đã nhấn mạnh điều này khi chia sẻ tại “Hội thảo Ngân hàng mở/Open Banking 2023: Chuyển dịch mô hình kinh doanh từ đóng sang mở” do Tạp chí Kinh tế Việt Nam/VnEconomy phối hợp với Cục Công nghệ thông tin, Vụ Thanh toán và Công ty Cổ phần Thanh toán Quốc gia Việt Nam (Napas) thuộc Ngân hàng Nhà nước tổ chức chiều ngày 7/12/2023 tại Hà Nội.
NHỮNG NGUY CƠ RỦI RO KHI NGÂN HÀNG MỞ
Bộ thông tin và Truyền thông nhận thấy, ngành ngân hàng luôn đóng vai trò là “huyết mạch” của nền kinh tế. Ngành Ngân hàng chuyển đổi số nhanh sẽ thúc đẩy quá trình chuyển đổi số quốc gia mạnh mẽ hơn.
Đặc biệt trong thời đại 4.0 với sự phát triển mạnh mẽ của công nghệ, internet đã mang lại nhiều tiện ích trong các hoạt động kết nối, giao dịch điện tử, giải trí, chia sẻ thông tin dễ dàng hơn. Các kênh thanh toán điện tử ngày càng trở nên phong phú, số lượng giao dịch trực tuyến, thanh toán online ngày càng gia tăng.
Ngoài những cơ hội, ông Hưng cho rằng không gian mạng cũng tiềm ẩn những nguy cơ và thách thức đối với an ninh, an toàn thông tin mạng. Lĩnh vực tài chính ngân hàng cũng không đứng ngoài cuộc, đặc biệt, khi các ngân hàng đang chuyển dịch mô hình kinh doanh từ đóng sang mở (open banking).
Trong thời gian qua, tình hình bảo mật an toàn an ninh mạng diễn biến phức tạp. Các vụ tấn công mạng liên quan đến tài chính- ngân hàng trên thế giới diễn ra ngày càng gia tăng với mức độ thiệt hại ngày càng lớn hơn. Điều này cho thấy những nguy cơ, rủi ro an toàn an ninh thông tin mà các ngân hàng phải đối mặt hàng ngày khi hacker tập trung chủ yếu vào những lĩnh vực mang lại giá trị lớn như tài chính- ngân hàng.
Cũng theo ông Hưng, vấn đề an toàn an ninh mạng hiện nay không chỉ chiến đấu với các hacker là con người thật mà là tin tặc từ các công cụ AI được sử dụng làm vũ khí tấn công mạng. Cuộc chiến an ninh mạng hiện nay không chỉ là người với người mà còn là máy với máy.
Với hệ thống tài chính ngân hàng, trước đây, hacker tấn công hệ thống qua một số cổng nhất định. Khi phát triển ngân hàng mở kết nối ra bên ngoài, mở nhiều cổng kết nối, có thêm các đối tác thứ 3, mang lại nhiều tiện lợi, giá trị. Tuy nhiên đi kèm với đó là các nguy cơ, mở ra nhiều cánh cửa, có nhiều phương thức cho các đối tượng tấn công thâm nhập, gây hại cho hệ thống...
TẠO NIỀM TIN SỐ CHO KHÁCH HÀNG
Yếu tố trọng nhất trong phát triển của các ngân hàng chính là tạo niềm tin số cho khách hàng. Nhấn mạnh điều này, ông Hưng cho rằng, ngân hàng cần phải bảo vệ hệ thống tốt hơn và bảo vệ khách hàng tránh những nguy cơ rủi ro an toàn thông tin trên môi trường giao dịch thanh toán trực tuyến.
Các vụ việc lừa đảo trên mạng trên thế giới có xu hướng gia tăng, trong đó hầu hết là website giả mạo các tổ chức tài chính ngân hàng. Theo thống kê của Bộ Thông tin và Truyền thông, trong 11 tháng đầu năm 2023 đã nhận gần 16.000 phản ánh về trường hợp lừa đảo do người dùng Internet Việt Nam gửi đến qua các hệ thống cảnh báo, trong đó hơn 91% cảnh báo này liên quan đến giả mạo, lừa đảo trong lĩnh vực ngân hàng- tài chính. Lý giải điều này, chuyên gia an ninh mạng này cho rằng, tất cả các hoạt động lừa đảo trực tuyến đếu hướng tới mục tiêu tài chính, thu lợi.
Trước thực tế này, Cục An toàn thông tin, Bộ Thông tin và Truyền thông đã phối hợp với Bộ Công an và Ngân hàng nhà nước triển khai các hoạt động tập trung xây dựng thể chế, hạ tầng kỹ thuật và tuyên truyền rộng rãi tới người dùng.
Tuy nhiên, ông Hưng cũng chỉ rõ thực tế các đối tượng lừa đảo trực tuyến liên tục thay đổi thay đổi phương thức thủ đoạn. Vì vậy, cần sự phối hợp chặt chẽ hơn giữa ngân hàng nhà nước và Bộ Thông tin và Truyền thông để tuyên tuyền thiết thực, hiệu quả hơn, hạn chế nguy cơ rủi ro tấn công.
Về phía Bộ Thông tin và Truyền thông đã thiết lập cơ sở dữ liệu về chống lừa đảo trực tuyến quốc gia. Bộ cũng đã xây dựng hệ thống kỹ thuật kết nối với các nhà mạng, chặn các website lừa đảo trực tuyến nhanh chóng. Việc kết nối cũng được triển khai với các nền tảng OTT, mạng xã hội… Thông qua đó, có thể chặn các liên kết giả mạo ngân hàng trên lãnh thổ Việt Nam một cách nhanh nhất để giảm thiểu lừa đảo trực tuyến.
Bên cạnh đó, Bộ cũng tổ chức các cuộc diễn tập với các ngân hàng tài chính để phát hiện sớm các lỗ hổng điểm yếu. Ngoài việc thiết lập hệ thống giả lập, còn diễn tập trên hệ thống thật để phát hiện các điểm yếu để khắc phục. Ông Hưng nhấn mạnh, "việc càng có nhiều đơn vị, chuyên gia phối hợp, huy động nguồn lực để phát hiện sớm các lỗ hổng bảo mật sẽ hạn chế các nguy cơ, tăng niềm tin số của người dùng với hệ thống".
Liên quan đến pháp lý bảo đảm an toàn anh ninh mạng, ông Hưng nêu rõ, đến nay, Chính phủ đã hoàn thiện hành lang pháp lý. Vấn đề còn lại là việc thực thi, hành động, tuân thủ các quy định.
Luật Giao dịch điện tử (sửa đổi) được Quốc hội thông qua vào tháng 6/2023 vừa qua và có hiệu lực thi hành từ ngày 1/7/2024 sẽ tạo hành lang pháp lý, thúc đẩy giao dịch điện tử, tạo đột phá cho chuyển đổi số hoạt động đầu tư kinh doanh cũng như hệ thống ngân hàng.
Luật sửa đổi có ý nghĩa rất quan trọng đối với lộ trình chuyển đổi số của nền kinh tế nói chung, giúp các ngành, lĩnh vực trong đó có lĩnh vực ngân hàng có cơ sở pháp lý hoàn thiện để đẩy mạnh các hoạt động giao dịch điện tử, chuyển đổi số thành công.
Lĩnh vực Ngân hàng là một trong 11 lĩnh vực cần ưu tiên bảo đảm an toàn thông tin mạng theo quy định tại Quyết định số 632/QĐ-TTg ngày 10/5/2017 của Thủ tướng Chính phủ.
Cục an toàn thông tin cho biết thời gian tới sẽ phối hợp với Cục công nghệ thông tin để tăng cường thực thi các quy định an toàn thông tin ngân hàng chặt chẽ hơn, qua đó tăng cường bảo đảm an toàn các hệ thống cung cấp dịch vụ cho khách hàng, đặc biệt khi xây dựng, triển khai ngân hàng mở.
Năm 2023 là năm dữ liệu số quốc gia, với quan điểm dữ liệu là tài nguyên quý của quốc gia, nhằm giúp khai thác dữ liệu số, đồng thời tạo ra các giá trị mới. Trong đó, tập trung vào việc phát triển dữ liệu mở, công nghệ mở. Hiện nay, nhiều quốc gia đã tuyên bố chỉ mua công nghệ khi công nghệ là mở, nhất là khi các công nghệ đó dùng để xây dựng các hạ tầng nền tảng quốc gia.
BA KHUYẾN NGHỊ ĐẢM BẢO AN TOÀN THÔNG TIN TÀI CHÍNH NGÂN HÀNG
Ngân hàng mở- Open Banking là xu hướng tất yếu của hoạt động kinh doanh ngân hàng trong thời đại cách mạng công nghiệp 4.0. Điều quan trọng là triển khai như thế nào để an toàn hiệu quả để mang lại giá trị thực cho xã hội, tránh rủi ro, đặc biệt mở kết nối, liên thông với đơn vị thứ 3.
Khi triển khai mô hình mở, cùng kết nối liên thông trên hệ thống sẽ giúp cho hệ thống của các ngành/lĩnh vực khác tăng cường, nâng cao mức độ bảo đảm an toàn thông tin tương tự. Bởi từ trước tới nay, ngân hàng và tài chính luôn là những lĩnh vực có mức độ bảo đảm an toàn an ninh bảo mật cao. Khi hệ thống mở ra, các đơn vị thứ 3 tham gia không chỉ cung cấp dịch vụ cho ngân hàng mà còn nhiều ngành lĩnh vực khác, đòi hỏi phải nâng cao mức độ đảm bảo an toàn an ninh bảo mật.
"Thước đo năng lực bảo đảm an toàn thông tin của các tổ chức không phải nằm ở việc có bị tấn công hay không mà là khả năng ứng phó khắc phục khi bị tấn công".
Nhấn mạnh an toàn thông tin là một yếu tố quan trọng, có ý nghĩa trong sự phát triển của các ngân hàng, ông Hưng nêu 3 khuyến nghị từ cơ quan quản lý nhà nước.
Thứ nhất, sự tồn tại của hệ thống tài chính phụ thuộc nhiều vào việc đảm bảo rằng chúng không bị tấn công hoặc tàn phá bởi các cuộc tấn công mạng từ đơn giản đến phức tạp. Vì vậy, cơ sở hạ tầng tài chính của các tổ chức tài chính, ngân hàng, bao gồm hệ thống thanh toán và trang web, phải được bảo vệ an toàn, không bị gián đoạn, gây ảnh hưởng đến người dùng và được thiết kế để có khả năng phục hồi nhanh nhất ngay cả khi có sự cố xảy ra.
“Thước đo năng lực bảo đảm an toàn thông tin của các tổ chức không phải nằm ở việc có bị tấn công hay không mà là khả năng ứng phó khắc phục khi bị tấn công”, ông Hưng nói.
Thứ hai, việc hệ thống bị tấn công, xâm nhập gây ra các sự cố bảo mật có thể gây ảnh hưởng, thiệt hại lớn cho thương hiệu và danh tiếng của ngân hàng. Vì vậy đại diện Cục an toàn thông tin cho rằng các ngân hàng tuân thủ các quy định của pháp luật về đảm bảo an toàn thông tin và triển khai đầy đủ các biện pháp đảm bảo an toàn thông tin theo quy định của cơ quan quản lý nhà nước. Cục sẽ phối hợp với các ngân hàng phát hiện sớm, hỗ trợ xử lý các thông tin xấu độc trên không gian mạng.
Thứ ba, để đối phó với các mối đe dọa mạng phức tạp, bên cạnh việc đầu tư công nghệ và triển khai các biện pháp kỹ thuật, cần sự chung tay hợp tác chia sẻ thông tin với nhau giữa các cơ quan nhà nước, ngân hàng và các đơn vị về an toàn thông tin, tạo thành một mạng lưới tin cậy để cùng nhau hợp lực đối phó với các thách thức.
Theo ông Hưng, chia sẻ thông tin là vấn đề còn hạn chế không chỉ riêng trong lĩnh vực tài chính ngân hàng tài chính. Khi triển khai ngân hàng mở, một yếu tố cần phải mở đó là chia sẻ về mặt kỹ thuật, một cách đầy đủ, nhanh chóng kịp thời các thông tin nguy cơ tấn công mạng hoặc các sự cố đã xảy ra.