Nhận thức và hành vi của người dùng mạng Việt Nam về bảo mật thông tin thuộc diện yếu nhất thế giới
ThS. Nguyễn Quang Hưng, Phó cục trưởng Cục Công nghệ thông tin, Ngân hàng Nhà nước
Việc đảm bảo bảo mật thông tin xuất phát từ hai phía.
Thứ nhất, an toàn, bảo mật hệ thống thông tin từ phía ngân hàng. Khi chuyển đổi hoạt động sang mô hình ngân hàng số đồng nghĩa với việc áp dụng phương thức cung cấp dịch vụ trên nền tảng công nghệ mới, do đó mô hình quản lý cũng phải thay đổi để thích nghi, ví dụ: Quản trị từ xa qua môi trường mạng, không làm việc tại văn phòng; đa dạng dịch vụ trực tuyến, hỗ trợ kết nối đa phương tiện. Cấu trúc và vai trò của các bộ phận cấu thành của tổ chức phải đáp ứng được yêu cầu linh hoạt, hiệu quả trong quản lý rủi ro.
Việc phát triển đa dạng dịch vụ kéo theo hệ thống công nghệ thông tin (CNTT) phải mở rộng, có những đặc điểm: Cấu trúc hệ thống CNTT ngày càng đa dạng, phức tạp; tích hợp nhiều loại thiết bị, sản phẩm khác nhau (máy chủ, phần mềm hệ thống, cơ sở dữ liệu, thiết bị truyền thông và an ninh...).
Bên cạnh đó, việc cung cấp dịch vụ ngân hàng số trên môi trường mạng Internet hiện nay gặp nhiều thách thức về tội phạm công nghệ cao. Do đó, hạ tầng ứng dụng CNTT cho ngân hàng số nếu không được quản lý, kiểm soát chặt chẽ sẽ dễ bị mất an toàn nếu bất cứ thành phần nào có lỗ hổng bảo mật hoặc năng lực tổ chức quản lý kém, không am hiểu đầy đủ về đặc tính của mô hình dịch vụ mới.
Thứ hai, an toàn bảo mật thông tin từ phía khách hàng. Hệ thống công nghệ thông tin dù hiện đại thế nào đi nữa thì vẫn cần sự tương tác với con người trong việc cung cấp thông tin đầu vào. Các sai sót trong quá trình tương tác không đúng với quy định, hoặc vượt ngoài tầm kiểm soát, sàng lọc thông tin đầu vào thiếu chặt chẽ sẽ dẫn đến mất an toàn cho hệ thống/cho khách hàng. Nếu như ngân hàng có thể chủ động kiểm soát hoạt động từ nhà băng, thì bên phía khách hàng lại phụ thuộc vào chính họ và các yếu tố bên ngoài khác.
Tại Việt Nam, theo báo cáo mới nhất về an toàn bảo mật thông tin, xếp hạng an toàn bảo mật thông tin các quốc gia trên thế giới, Việt Nam hiện đứng thứ 100, thuộc diện trung bình yếu. Trên thế giới, trung bình đầu tư cho an toàn, bảo mật thông tin trong các dự án CNTT của các tổ chức chiếm 15 - 25%, thì tại Việt Nam chỉ gần 5%.
Cứ trong 100 thư rác phát tán trên thế giới thì Việt Nam chiếm 11,17%, Trung Quốc 12,4%, Mỹ 8,5%. Như vậy, nếu tính theo đầu người thì Việt Nam gấp 13,4 lần Trung Quốc, 8 lần Mỹ, và đứng đầu thế giới về phát tán thư rác có chứa mã độc; 61% máy PC người dùng Việt Nam bị nhiễm mã độc so với trung bình thế giới là 19%. Tỷ lệ lây nhiễm các thiết bị cá nhân tại chỗ cao nhất thế giới, cuối năm 2016 tỷ lệ là 71,38%
Về nhận thức và hành vi của người dùng trong việc đảm bảo an toàn thông tin khi truy cập mạng thì người dùng Việt Nam thuộc diện yếu nhất thế giới. 60% người dùng trên thế giới khi được hỏi thì đều có nhận thức việc mất an toàn là do bản thân, nhưng tại Việt Nam chỉ có gần 11% người dùng nhận biết được điều này.
Các chuyên gia quốc tế khi đánh giá về nhận thức đảm bảo an toàn, bảo mật thông tin của người dùng Việt Nam đã dùng 2 từ để mô tả chính xác nhất đó là “dễ dãi”. Tại Việt Nam cũng phát sinh một số vụ việc tin tặc đã lợi dụng sự “dễ dãi” của khách hàng để lừa đảo, đánh cắp thông tin đăng nhập hệ thống ngân hàng điện tử, mật khẩu một lần (OTP) để thực hiện hành vi đánh cắp tiền thông qua hệ thống ngân hàng điện tử.
Vì vậy, một trong các rào cản lớn trong việc đảm bảo an toàn bảo mật khi cung cấp dịch vụ ngân hàng số tại Việt Nam là nhận thức về an toàn thông tin của người dùng trên môi trường mạng.
Các luồng gian lận điện tử sẽ chảy vào những nơi có công nghệ thấp hơn, những hệ thống dễ tổn thương hơn
ThS. Đỗ Giang Tĩnh, Giám đốc Trung tâm Công nghệ thông tin Agribank
Các vấn đề về an toàn bảo mật thông tin bao gồm:
Về thách thức an toàn thông tin mạng, ngân hàng phải tự quản lý và chịu trách nhiệm hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng. Tuy nhiên, để triển khai được đồng bộ và hiệu quả thì cần có sự vào cuộc nhiều cơ quan.
Bên cạnh đó, vấn đề kỹ thuật để đảm bảo tính bảo mật, an toàn cho giao dịch điện tử là một thách thức rất lớn phụ thuộc vào công nghệ, cách thức sử dụng của bên cung cấp và bên sử dụng. Như vậy, trong môi trường điện tử, cần cơ chế để chống gian lận và có cơ sở pháp lý vững chắc để xử lý trường hợp tranh chấp xảy ra, nhất là khi sử dụng chữ ký điện tử, nghĩa là đồng thời cả về kỹ thuật và cơ sở pháp lý.
Về đảm bảo an toàn về tài nguyên viễn thông, đối với vòng ngoài về truyền thông mạng, định danh và định tuyến, ứng cứu sự cố an toàn thông tin mạng cấp quốc gia đã có Bộ Thông tin và Truyền thông chịu trách nhiệm, nhưng phần bên trong là cung cấp thông tin về sản phẩm dịch vụ của ngân hàng thì các thông tin và cơ chế mã hóa, bảo mật do ngân hàng đảm nhiệm. Vấn đề đặt ra là ngoài việc đảm bảo an toàn, ổn định thì công nghệ nào sẽ được cho là tin cậy và nếu có rủi ro về công nghệ đó thì cơ sở pháp lý nào sẽ xác định không có việc làm trái, từ đó thực hiện xử lý rủi ro đúng pháp luật.
Về chống gian lận trong giao dịch điện tử, một tín hiệu đáng mừng cho ngân hàng số đó là nhiều giải pháp và công nghệ phòng ngừa gian lận đã được tăng cường đáng kể và đem lại hiệu quả rất khả quan. Cụ thể, theo một nguồn báo cáo đáng tin cậy do Signifyd đánh giá, gian lận thương mại điện tử đã giảm 34,7% kể từ năm 2016.
Tuy nhiên, báo cáo đánh giá lấy trọng tâm là thị trường Mỹ và trong thế giới phẳng thì không có biên giới địa lý nào, dẫn đến các luồng gian lận điện tử sẽ chảy vào những nơi có công nghệ thấp hơn, những hệ thống dễ tổn thương hơn. Đây là sự gia tăng rủi ro cho những vùng quốc gia có công nghệ thấp, còn nhiều lỗ hổng, vì vậy, việc đầu tư và giảm khoảng cách về chất lượng công nghệ là một thách thức khi cung cấp hạ tầng giao dịch điện tử, ngân hàng số.
Về danh tính điện tử (eID), hiện tại, công nghệ xác thực đã trở thành một nền công nghiệp phát triển và chúng ta không gặp khó khăn khi lựa chọn công nghệ tin cậy từ công nghệ sinh trắc và công nghệ số. Vấn đề nằm ở chỗ ngân hàng sẽ sử dụng mô hình định danh điện tử nào và triển khai đồng bộ để người dân dễ dùng và các cơ quan chính phủ
chấp nhận.
Định danh điện tử là phương tiện quan trọng để đổi mới trong khu vực công và tư nhân vì nó hỗ trợ nhiều về xác thực điện tử. Ngoài ra, nó còn hỗ trợ cải thiện giá trị của các dịch vụ đòi hỏi phải đảm bảo và bảo mật ở mức cao, giảm gian lận trong nhận dạng và cho phép các cá nhân sử dụng dịch vụ một cách an toàn hơn trong rất nhiều hoàn cảnh như giao dịch ngân hàng qua điện thoại, các ứng dụng chăm sóc sức khoẻ qua di động.
Có eID tốt sẽ giảm thiểu việc trộm danh tính, từ đó xác thực được người giao dịch điện tử. Hầu hết các bộ ngành và các tổ chức tại khu vực tư nhân ở Việt Nam ngày nay đang gặp phải thách thức là không có được nhận dạng duy nhất cho mỗi công dân, các giao dịch ngân hàng về xác thực lần đầu chủ yếu vẫn qua chứng minh thư. Đây là một trở ngại cho việc triển khai ngân hàng số khi nhu cầu định danh và xác thực điện tử được sử dụng chủ yếu.
Tội phạm mạng không bị giới hạn về không gian, thời gian, cách thức tấn công
ThS. Phạm Anh Tuấn, Ủy viên Hội đồng quản trị Vietcombank
Các hoạt động trực tuyến, kết nối với mạng công cộng, phạm vi kết nối rộng luôn đặt ra nhiều thách thức trong bảo mật thông tin, gia tăng các rủi ro do tội phạm mạng gây ra như làm dữ liệu mật bị lộ, bị phát tán, dữ liệu bị thay đổi, sửa bất hợp pháp. Nguy cơ về an ninh bảo mật đòi hỏi các ngân hàng phải tăng cường giám sát giao dịch, đảm bảo an toàn hệ thống, kiểm soát rủi ro, bảo mật thông tin khách hàng, bảo mật an ninh trong giao dịch trực tuyến.
Khác với tội phạm truyền thống, tội phạm công nghệ cao trong lĩnh vực ngân hàng khi thực hiện các hành vi phạm tội không bị giới hạn về không gian, thời gian, cách thức tấn công đa dạng từ việc gây gián đoạn, mất khả năng cung cấp dịch vụ của các ngân hàng; lừa đảo, chiếm đoạt tiền của ngân hàng, khách hàng đến việc lấy cắp và sử dụng thông tin, tài liệu của khách hàng cũng như của ngân hàng.
Khi xảy ra sự cố về an ninh mạng, việc tìm nguyên nhân, truy vết đối tượng tấn công cũng rất khó khăn, đòi hỏi những phương tiện chuyên dụng cũng như chuyên gia giỏi, do các đối tượng luôn tìm cách giả mạo, tiêu hủy hoặc xóa bỏ dấu vết sau khi thực hiện.
Tội phạm mạng không chỉ tấn công vào các tổ chức ngân hàng, mà còn tấn công, khai thác thông tin người dùng từ chính người sử dụng dịch vụ qua các hình thức phát tán virus, mã độc tinh vi qua email, phần mềm miễn phí, mạng xã hội…, qua đó thực hiện lừa đảo trực tuyến, đánh cắp thông tin của khách hàng, mua bán, sử dụng trái phép thông tin khách hàng… Bản thân người sử dụng cũng chưa ý thức được việc bảo vệ thông tin của mình, cũng như việc chia sẻ thông tin cá nhân trên các mạng xã hội.
Vì vậy, bên cạnh việc đầu tư, tăng cường bảo mật cho các hệ thống của ngân hàng, cũng phải đồng thời hướng dẫn, quảng bá nâng cao nhận thức của người dùng khi sử dụng các dịch vụ trực tuyến.