Thách thức bảo mật của các ngân hàng

Trung bình mỗi một giờ có 2 cuộc tấn công vào hệ thống của ngân hàng, lãnh đạo một ngân hàng thương mại cổ phần cho TBKTSG Online biết. Nhưng tội phạm cũng không dễ mà xâm nhập được.

Rủi ro thẻ không mới

Không phải lần đầu tiên khách hàng bị mất tiền trong tài khoản ngân hàng Việt Nam, cũng không phải những vụ việc liên quan đến mất tiền, thất thoát thông tin thẻ hay liên quan đến bảo mật ngân hàng ít khi xảy ra. Nó xảy ra khá thường xuyên và tăng dần trong 5 năm qua nhưng những vụ việc này thường được các ngân hàng âm thầm giải quyết nên công chúng không được biết. Vụ việc bị mất 500 triệu đồng trong thanh toán điện tử vừa xảy ra giữa một khách hàng với Vietcombank chỉ là một ví dụ khiến thị trường dấy lên câu chuyện bảo mật của ngân hàng điện tử.

Vậy người trong cuộc tại các tổ chức tài chính, các ngân hàng nhìn nhận thế nào? Đem thắc mắc này đi hỏi các chuyên gia làm việc lâu năm trong các tổ chức tài chính, ngân hàng, công nghệ tài chính, chúng tôi nhận được câu trả lời rằng tuy đây chưa phải sự cố lớn trong vận hành của các nhà băng song cũng rút ra nhiều bài học cho chính cơ quan quản lý thị trường, cơ quan công an, ngân hàng và cả khách hàng.

Tốc độ phát triển của thị trường thẻ Việt Nam. Ảnh: NAPAS

“Về cơ bản các ngân hàng tại Việt Nam đều đã và đang áp dụng các công nghệ giống hầu hết các tổ chức tài chính và theo chuẩn hệ thống CNTT trên thế giới. Các giao dịch điện tử cũng đã áp dụng xác thực từ 2 đến 3 nhân tố như các nước khác, thậm chí còn chặt hơn”, lãnh đạo một tổ chức tài chính lớn nói, “Tôi có thể khẳng định tội phạm không dễ mà tấn công vào ngân hàng”.

Vị này phân tích, về cơ bản hệ thống CNTT của ngân hàng có 3 lớp bảo vệ cơ bản. Lớp một là các công cụ bảo vệ đơn thuần về vật lý bằng thiết bị, máy móc, hạ tầng công nghệ (ví dụ không cho copy bằng USB từ các máy tính trong ngân hàng, không vào được mạng xã hội từ các máy tính của ngân hàng…). Lớp hai là các tường lửa được thiết lập để thông tin bên ngoài không vào được ngân hàng, ví dụ các email có vấn đề gửi đến sẽ bị quét và chặn lại từ lớp này… Lớp thứ ba là từng phần mềm đều có module thực hiện các chức năng bảo mật từ thấp đến cao của riêng của mình. Chưa kể các thiết bị, phần mềm hay các chức năng mới được ngân hàng và nhà cung cấp cập nhật và nâng cấp theo mỗi năm khi tình hình rủi ro mạng thay đổi.

Điểm thuận tiện nữa là các tấn công công nghệ cũng xuất phát từ công nghệ nên các biện pháp phòng ngừa cũng trên nền tảng đó. Khi bán sản phẩm cho các ngân hàng, các hãng công nghệ luôn có sẵn các gói sản phẩm đi kèm với dự phòng rủi ro. Việc phòng chống rủi ro làm nên thương hiệu và uy tín của các hãng này nên nếu không có giải pháp bảo vệ tốt thì coi như không tổ chức nào dám mua hàng của họ nữa.

Một hệ thống hạ tầng công nghệ của một ngân hàng luôn có hai máy chủ, hai “nhà dữ liệu” tức có hai hệ thống server chạy song song. Từ core banking đến phần mềm điều khiển email đều chạy song song trên hai server khác nhau nên khi một hệ thống bị sự cố thì hệ thống kia tiếp tục chạy và ngược lại… “Và tất cả các ngân hàng ở Việt Nam theo tôi biết đều có thể phòng thủ được các cuộc tấn xông trực tiếp vào hệ thống (như trường hợp mới xảy ra với Vietnam Airlines)”, ông nói.

Song, nói công bằng thì mặc dù đẳng cấp quản trị ngân hàng là cao thấp khác nhau nhưng không có nghĩa core banking của ngân hàng nào đó có độ bảo mật thấp vì khi mua sản phẩm của các hãng công nghệ toàn cầu là đã theo chuẩn chung rồi.

Nên nhớ các ngân hàng luôn có bộ phận quản trị an ninh mạng, gồm các lập trình viên và kiểm thử viên luôn trực 24 giờ. Bộ phận kiểm toán IT và bộ phận “đánh phá”, hoặc thuê công ty ngoài “đánh phá” được thực hiện thường xuyên để test hệ thống và trám các lỗ hổng bảo mật. Riêng chi phí cho việc này ở một ngân hàng cỡ trung bình ít nhất 2-5 triệu đô la mỗi năm.

Các ngân hàng còn phải có các chi phí khác như đầu tư các thiết bị hệ thống có sẵn (phần mềm, phần cứng) hàng năm trung bình 3-5 triệu đô la nữa. Thêm 2 triệu đô la đầu tư cho việc bảo trì bảo dưỡng hệ thống an toàn, các chi phí này chưa kể đến hệ thống back up hay dự phòng khi có sự cố xảy ra…

Vậy các điểm còn phải quan tâm là gì?

Ngân hàng là ngành kinh doanh chấp nhận rủi ro nhưng đây là những rủi ro có thể mô hình hóa được, tức ngân hàng đều có thể biết trước và dự đoán để có biện pháp phòng ngừa. Với hệ thống CNTT, đặc trưng của nó là các giải pháp phòng vệ thường đi sau các hiện tượng tấn công trên thị trường, khi có hình thức phạm tội mới thì ngay lập tức ra các giải pháp mới nên khoảng cách giữa thời gian xảy ra hành vi tội phạm trên thực tế và giải pháp ban hành đó là thách thức. Vì ngân hàng tuy lường trước nhưng không thể dự phòng hết các cách tấn công của tin tặc hay tội phạm giao dịch số nên phải luôn luôn trong trạng thái phòng vệ và không thể chắc chắn các rủi ro có thể xảy như thế nào.

Một ông chủ ngân hàng, ban điều hành có quan điểm và cách tiếp cận khác nhau với vấn đề bảo mật rủi ro của ngân hàng, chi phí và các biện pháp cộng thêm… điều này phụ thuộc vào trình độ, năng lực tài chính, yêu cầu của cơ quan quản lý… Song vị lãnh đạo trên thừa nhận các ngân hàng quốc doanh chi cho CNTT cao hơn ngân hàng cổ phần rất nhiều vì ngân hàng cổ phần của tư nhân nên phải “liệu cơm gắp mắm”, tính toán tài chính chi li từng đồng.

Nhìn chung, các lý do cơ bản như trên khiến thực tế, tội phạm rất khó tấn công vào ngân hàng nên thường tìm cách tấn công qua đối tác hay khách hàng của ngân hàng, tức nếu thực hiện được việc này thì chúng chỉ lấy được tiền của khách hàng, của đối tác chứ không lấy được tiền của ngân hàng.

Video đang HOT

Câu hỏi từ vụ việc

Theo lãnh đạo một tổ chức tài chính lớn, vấn đề ở vụ việc khách hàng với Vietcombank đang xảy ra cần lưu ý các khía cạnh: Thứ nhất, quy trình đăng ký và thay đổi thông tin của khách hàng cần điều chỉnh lại. Những thông tin quan trọng có tính định danh phải được thực hiện đảm bảo hơn (số tài khoản, điện thoại…). Thứ hai, ngân hàng cần xem xét lại việc hướng dẫn cho khách hàng bảo mật thông tin khi thực hiện giao dịch điện tử, sử dụng ATM, giao dịch e-commerce, m-banking, i-banking… Thứ ba, hạn mức rút tiền mặt lần/ngày không để quá cao vì giao dịch được thực hiện 24/7.

“Vụ này và vụ hacker tấn công Vietnam Airlines sẽ làm ảnh hưởng đến thị trường chung vì người tiêu dùng sẽ lo ngại khi thực hiện các giao địch diện tử”, theo vị này.

Vụ việc này cũng đặt ra thách thức lớn cho các ngân hàng. Thực tế, tỷ lệ thẻ quốc tế tại Việt Nam đáp ứng chuẩn 3D vẫn còn khiêm tốn, chỉ có 4/38 ngân hàng chiếm 10,52% toàn thị trường thực hiện và kèm theo đó là thách thức về nâng cấp trình độ quản lý, hiểu biết về công nghệ tài chính và cả chi phí đầu tư rất cao với các ngân hàng.

Một lãnh đạo bộ phận CNTT của một ngân hàng cổ phần cho biết, trung bình ngân hàng cần ít nhất 1-3 triệu đô la đầu tư ban đầu cho hoạt động thẻ. Các chi phí phát sinh như bảo trì, nâng cấp bảo mật đều tăng khoảng 20% một năm so với chi phí đầu tư ban đầu. Chi phí vận hành, nâng cấp, dự phòng rủi ro liên quan đến quy mô từng ngân hàng, xung quanh mức 50.000 đô la một năm. Chi phí đầu tư mạng lưới ATM, mua mới ATM, POS cũng không hề rẻ, với mức 2.000-5.000 đô la/ATM. Phí bảo trì, nâng cấp tính năng mới với giá 300-500 đô la/ATM nếu cần thiết.

Theo Hội thẻ ngân hàng, hạ tầng cơ sở và trang thiết bị kỹ thuật phục vụ cho hoạt động thanh toán chưa bắt kịp tốc độ phát triển kinh tế và nhu cầu sử dụng thanh toán không dùng tiền mặt hiện nay của xã hội. Chi phí đầu tư công nghệ để thực hiện việc thanh toán của các ngân hàng rất cao, đòi hỏi sự đầu tư lớn và lâu dài. Chi phí này ngày càng tăng cao hơn trong điều kiện sắp tới phải chuyển đổi sang thẻ chip cho cả thẻ nội địa. Các ngân hàng thay thế thẻ chip, phải đảm bảo tất cả ATM chấp nhận thẻ chip là một chi phí rất lớn, tức phải lắp thêm thiết bị, phần mềm, cài đặt và đồng bộ hóa hệ thống chấp nhận thanh toán điện tử… là gánh nặng không thể không tính đến.

Các nhà băng cần gì nữa? Theo báo cáo của một số ngân hàng, tỷ lệ tra soát khiếu nại trên tổng số giao dịch rút tiền tại hệ thống ATM tại một số nhà băng có xu hướng tăng. Người sử dụng phải được cung cấp kiến thức và kỹ năng thực hiện giao dịch điện tử để bảo vệ tài sản của mình. Bởi nguyên nhân của hầu hết các vụ việc rủi ro thanh toán điện tử là do chủ thẻ bảo mật dữ liệu thẻ chưa tốt, vô tình cung cấp thông tin thẻ cho đối tác thứ ba không an toàn. Máy tính, smartphone là phương tiện truy cập để thanh toán qua mạng vẫn còn nhiều lỗ hổng an ninh dễ bị lấy cắp thông tin, dữ liệu.

“Bản thân các ngân hàng sau vụ này không nên cực đoan thêm vào nhiều lớp xác thực nữa. Cần phân loại lại giao dịch và khách hàng để có cách ứng xử phù hợp. Ví dụ các giao dịch nhỏ, giá trị thấp cần xử lý sao cho tiện lợi. Giao dịch giá trị lớn, đặc biệt rút tiền mặt cần quản lý theo lần, ngày. Đối tượng khách hàng cũng nên phân loại chi tiết hơn để hỗ trợ quản lý rủi ro”, một chuyên gia nhiều năm về thẻ cho biết.

Hầu hết, nếu không nói là tất cả các ngân hàng Việt Nam hiện chưa có quỹ trích lập dự phòng rủi ro trong hoạt động thẻ. Trong các yêu cầu về chế độ tài chính đối với các ngân hàng, khoản chi phí dự phòng rủi ro trong hoạt động thẻ chưa được chú trọng. Bộ Tài chính và NHNN chưa ban hành thông tư quy định về việc trích lập dự phòng rủi ro hoạt động thẻ và hiện kiến nghị của Hội thẻ ngân hàng về việc NHNN phối hợp với Bộ Công an ban hành Thông tư liên tịch về phòng chống rủi ro trong hoạt động ngân hàng vẫn chưa được thực hiện.

Bên cạnh đó, việc cạnh tranh về thị phần và phí gay gắt giữa các ngân hàng thời gian qua dẫn đến việc phát hành thẻ miễn phí tràn lan khiến thẻ không hoạt động chiếm tỷ lệ rất cao. Các ngân hàng chạy theo chỉ tiêu số lượng khách hàng nên đang dùng các biện pháp cạnh tranh bằng giá mà không phải bằng chất lượng dịch vụ để thu hút khách hàng gây ảnh hưởng đến chất lượng dịch vụ thanh toán và từ đó gây ra rủi ro. Ở đây cần bàn tay mạnh hơn của NHNN và các cơ quan liên quan như Bộ Công Thương hay Bộ Công an.

Thị trường thẻ: Đứa con mau lớn

Kể từ khi thị trường Việt Nam có tấm thẻ ngân hàng đầu tiên năm 1996 thì đến cuối tháng 3-2016, số lượng thẻ ngân hàng phát hành trên cả nước đạt trên 101,9 triệu (tăng 27% so với cuối năm 2014) với 48 ngân hàng phát hành. Trong đó, thẻ ghi nợ chiếm 90,66%, thẻ tín dụng chiếm 3,53%, thẻ trả trước là 5,81%.

Về mạng lưới, đến 31-12-2015, toàn thị trường đã có 16.573 máy ATM và 217.470 máy POS, tăng trưởng lần lượt là 23% và 181% so với năm 2011.

“Tỷ lệ gian lận thanh toán thẻ tại Việt Nam tiếp tục tăng, chưa có dấu hiệu giảm nhiệt”, theo Vụ Thanh toán NHNN, “Rủi ro trong nghiệp vụ thanh toán tăng 84,86%, thẻ giả tăng 145%; giao dịch không xuất trình thẻ tăng 38%. Các vụ việc như thanh toán khống, dùng thẻ giả rút tiền, đánh cắp thẻ, gian lận lừa đảo… diễn ra thường xuyên hơn”.

Năm 2014, các ngân hàng Việt Nam đã xử lý 21 vụ lấy cắp thông tin tại ATM liên quan đến 492 thẻ nghi ngờ lộ dữ liệu, tập trung ở các cây ATM ở các thành phố lớn như Hà Nội, Hội An, Nha Trang, Phan Thiết, Đà Lạt, Vũng Tàu… Các ngân hàng Việt Nam đã phối hợp với công an bắt giữ nhiều nhóm tội phạm trong và ngoài nước thực hiện các hành vi gian lận qua thẻ và thanh toán điện tử như một nhóm đối tượng người Trung Quốc đánh cắp thông tin và sử dụng thẻ khống với 32 thẻ, mở tài khoản thẻ ghi nợ quốc tế để lừa đảo chuyển tiền và rút tiền tại nước ngoài, một số thẻ phát hành tại Angola thực hiện giao dịch khống bị nghi là rửa tiền tại Việt Nam…

Hầu hết các ngân hàng đều trang bị thiết bị chống tội phạm nhưng tội phạm ngày một tinh vi hơn. Cơ quan chức năng tiếp tục nhận được nhiều phản ánh về xu thế lừa đảo gian lận chưa có dấu hiệu dừng lại ở một số loại hình như lừa đảo qua game online, FB, mua bán thẻ cào, lừa đảo chuyển tiền mạo danh…

Trên toàn cầu, MasterCard cho biết, gian lận thẻ năm 2015 tăng 1,63 điểm phần trăm so với cuối 2014, là tỷ lệ tăng trưởng cao hàng đầu qua các năm. Thẻ giả tăng hơn 28% ở khu vực châu Á-Thái Bình Dương trong năm ngoái.

Theo Báo Sài Gòn Times

Tá hỏa vì gần 200 triệu đồng trong thẻ ATM bỗng dưng biến mất? Gần 200 triệu đồng trong hai thẻ ATM của vợ chồng anh N.S.T. bỗng dưng "bốc hơi" và chỉ bị phát hiện khi vợ chồng anh T. kiểm tra tiền trong tài khoản vào kỳ lương tháng 7-2016. Theo các chuyên gia, sử dụng ATM nên đăng ký dịch vụ thông báo số dư qua tin nhắn để an toàn - Ảnh: QUANG...