Ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia
Nhìn lại vụ tấn công của tin tặc vào Công ty Tín dụng Equifax của Mỹ năm 2017 khiến 147,9 triệu người Mỹ, 15,2 triệu người Anh và 19.000 người Canada bị lộ thông tin, ông nhận định gì về vai trò an toàn trên không gian mạng của hệ thống tài chính - ngân hàng?
Trên thế giới, có các nhóm tin tặc chuyên nghiệp mang mục đích chính trị, tấn công vào hệ thống của nhà nước lấy dữ liệu nhằm gây ra những bất ổn trong xã hội, thì cũng có những nhóm tấn công vào hệ thống tài chính - ngân hàng nhằm mục tiêu kinh tế. Đây là vấn nạn toàn thế giới phải đối mặt, chứ không riêng Việt Nam.
Các tổ chức tín dụng hiện nay ngoài việc lưu trữ tài sản của khách hàng, còn đang lưu trữ các thông tin nhạy cảm mang tính cá nhân, thậm chí là dữ liệu sinh trắc học. Trước đây, hệ thống ngân hàng là nơi tin tặc tấn công để kiếm lợi bằng cách chiếm đoạt tài sản là vật chất trong ngân hàng, thì nay còn nhắm đến dữ liệu cá nhân. Trong bối cảnh dữ liệu đang được coi là tài sản rất giá trị, là huyết mạch của nền kinh tế cũng như ngành tài chính, chi phối từ chiến lược đầu tư đến quản lý rủi ro…, rõ ràng, nếu tấn công thành công vào hệ thống ngân hàng thì các tin tặc sẽ thu lợi “kép”.
Đặc biệt, các ngân hàng hiện nay có sự liên thông nhất định về dữ liệu nên khi một ngân hàng bị tấn công, khả năng ảnh hưởng đến các ngân hàng khác cũng như toàn bộ hệ thống là điều hoàn toàn có thể xảy ra. Điều này cũng đồng nghĩa đẩy thách thức đảm bảo an toàn, an ninh mạng của ngành lên gấp đôi và hệ thống ngân hàng phải quan tâm nhiều hơn nữa, đầu tư nhiều hơn nữa cho an toàn an ninh mạng.
Chúng ta đang sống trong một môi trường kết nối, phụ thuộc lẫn nhau, nên tất cả các bên cần phải có trách nhiệm cao nhất trong việc đảm bảo an toàn an ninh mạng. Không thể chủ quan “vì doanh nghiệp tôi nhỏ nên không cần đầu tư nhiều” hay “doanh nghiệp chúng ta lớn nên đầu tư rất nhiều cho công nghệ” mà bỏ qua những đợt diễn tập nhằm kiểm tra các khoản đầu tư đó hiệu quả đến đâu. Sự chủ quan về an toàn an ninh mạng hoàn toàn có thể khiến doanh nghiệp phải trả giá rất đắt. Tôi muốn khuyến cáo rằng, những vụ tấn công mạng thời gian qua cho thấy, đôi khi tin tặc thông qua những lỗ hổng mà không ai có thể ngờ đến và hậu quả xảy ra rất khó khắc phục, chứ chưa nói đến những kiểu tấn công không thể khắc phục.
 |
Rủi ro an ninh mạng luôn hiện hữu |
Đánh giá của ông về hệ thống ngân hàng đang triển khai các phương án đảm bảo an toàn an ninh mạng trong thời gian qua?
Theo quan sát của tôi, những đơn vị không liên quan trực tiếp đến tiền, dữ liệu thì mức độ quan tâm về an toàn an ninh mạng có thể thấp hơn. Còn hệ thống tài chính - ngân hàng hiện nay đầu tư cho an ninh mạng cũng như mức độ quan tâm tới an toàn trên môi trường số thuộc nhóm đầu tại Việt Nam. Những tuyên bố của lãnh đạo các ngân hàng, những người chịu trách nhiệm trong việc đảm bảo hệ thống ngân hàng vận hành an toàn trên mọi phương diện cho thấy đã có sự quan tâm rất lớn về an ninh mạng. Tuy nhiên, từ chuyện quan tâm đến có thể đảm bảo an toàn chưa hẳn đã song hành.
Trên thực tế, tài sản các ngân hàng nắm giữ, quản lý càng ngày càng có giá trị, không chỉ ở khía cạnh tiền mà còn cả dữ liệu, chúng ta cũng ứng dụng ngày một nhiều hơn những phần mềm liên quan đến chuyển đổi số và trí tuệ nhân tạo, cho nên bề mặt tấn công ngày càng bị mở rộng. Trong khi đó, các nhóm tấn công càng ngày càng chuyên nghiệp hơn, trình độ cao hơn, nên rủi ro an ninh mạng luôn hiện hữu. Do đó, các lãnh đạo hệ thống tài chính - ngân hàng không thể chủ quan, dù chỉ là một giây.
Các ngân hàng cho biết đã đầu tư rất nhiều cả về nhân lực và vật lực cho câu chuyện bảo đảm tài sản của khách khách và của chính ngân hàng. Tuy nhiên, đâu đó trên các phương tiện truyền thông chia sẻ việc khách hàng bị lộ thông tin cá nhân dẫn đến mất tiền. Ông có nhận định gì?
Các ngân hàng hiện nay có sự liên thông nhất định về dữ liệu nên khi một ngân hàng bị tấn công, khả năng ảnh hưởng đến các ngân hàng khác cũng như toàn bộ hệ thống là điều hoàn toàn có thể xảy ra.
Việc lộ thông tin của khách hàng nếu xảy ra không hẳn nguyên nhân do ngân hàng, bởi ngân hàng chỉ là một trong chuỗi quá trình xử lý dữ liệu. Có thể là ngân hàng, có thể là đối tác của ngân hàng, có thể là những cái đơn vị liên kết với ngân hàng…, nên khi xảy ra câu chuyện lộ dữ liệu sẽ rất khó phân định trách nhiệm cuối cùng thuộc về ai. Tuy nhiên, trách nhiệm cao nhất thuộc về ngân hàng trong việc bảo vệ dữ liệu, bảo vệ tài sản của khách hàng.
Tôi muốn nhấn mạnh lại, chúng ta đang sống trong một môi trường mà sự liên kết, kết nối là bắt buộc. Vì vậy, ngoài việc phải đảm bảo các biện pháp kỹ thuật cho chính nội tại ngân hàng, các đối tác, đơn vị liên kết với ngân hàng cũng phải đảm bảo an toàn an ninh mạng. Theo đó, ngân hàng cần đặt ra những tiêu chuẩn để các đối tác, đơn vị liên kết phải đảm bảo an ninh mạng tương ứng mới được kết nối vào hệ thống của mình. Bởi vì, chỉ cần một “con đường”, tin tặc có thể xâm nhập, thu thập dữ liệu nhanh chóng, thậm chí nặng nề hơn là phá hủy hệ thống.
Chúng ta đang nói về ngân hàng, đối tác của ngân hàng, vậy vai trò của các khách hàng thì như thế nào, thưa ông?
Smart Banking có thể hiểu là ứng dụng công nghệ giúp hoạt động ngân hàng thông minh hơn, nên không chỉ ngân hàng, mà cần đưa cả khách hàng vào trong hoạt động thông minh này. Hay nói cách khác, bản thân những người sử dụng dịch vụ ngân hàng cũng cần thông thái hơn.
Khách hàng đang gửi những tài sản lớn, có giá trị vào ngân hàng, nhưng lại thiếu các biện pháp phòng ngừa thì sẽ “mở cửa” để tin tặc “vào nhà”. Do vậy, cùng với việc sử dụng công nghệ, các ứng dụng thông minh trên điện thoại hay máy tính, bản thân người dùng cũng phải nâng cao những kỹ năng về an ninh, an toàn để mình không phải là điểm yếu trong hệ thống đang được kết nối này.
Theo ông, hành lang pháp lý hiện nay đã đảm bảo được an toàn an ninh mạng cho các ngân hàng, đơn vị liên kết và khách hàng?
Hiện nay, chúng ta đã có tương đối nhiều quy định cũng như hành lang pháp lý liên quan đến việc bảo vệ an toàn an ninh mạng của hệ thống tài chính - ngân hàng. Tuy nhiên, như tôi đã đề cập ở trên, quy định và việc triển khai hiệu quả quy định đôi khi lại phụ thuộc rất lớn vào các lãnh đạo đơn vị chủ quản. Dù cùng một tiêu chuẩn và đáp ứng hết các yêu cầu nhưng triển khai với chất lượng không cao thì có thể vẫn có những lỗ hổng và ngược lại.
Với sự phát triển của công nghệ như hiện nay, không có gì là bất biến nên các cơ quan quản lý cũng cần liên tục tìm hiểu cũng như nắm bắt tình hình thực tế để có thể điều chỉnh, cập nhật các quy định, nguyên tắc… phù hợp nhằm phòng ngừa hoặc bao phủ những lỗ hổng hay các mối nguy hiểm đến an toàn an ninh mạng.
