Thách thức bảo mật của các ngân hàng
Trung bình mỗi một giờ có 2 cuộc tấn công vào hệ thống của ngân hàng, lãnh đạo một ngân hàng thương mại cổ phần cho TBKTSG Online biết. Nhưng tội phạm cũng không dễ mà xâm nhập được.
Rủi ro thẻ không mới
Không phải lần đầu tiên khách hàng bị mất t.iền trong tài khoản ngân hàng Việt Nam, cũng không phải những vụ việc liên quan đến mất t.iền, thất thoát thông tin thẻ hay liên quan đến bảo mật ngân hàng ít khi xảy ra. Nó xảy ra khá thường xuyên và tăng dần trong 5 năm qua nhưng những vụ việc này thường được các ngân hàng âm thầm giải quyết nên công chúng không được biết. Vụ việc bị mất 500 triệu đồng trong thanh toán điện tử vừa xảy ra giữa một khách hàng với Vietcombank chỉ là một ví dụ khiến thị trường dấy lên câu chuyện bảo mật của ngân hàng điện tử.
Vậy người trong cuộc tại các tổ chức tài chính, các ngân hàng nhìn nhận thế nào? Đem thắc mắc này đi hỏi các chuyên gia làm việc lâu năm trong các tổ chức tài chính, ngân hàng, công nghệ tài chính, chúng tôi nhận được câu trả lời rằng tuy đây chưa phải sự cố lớn trong vận hành của các nhà băng song cũng rút ra nhiều bài học cho chính cơ quan quản lý thị trường, cơ quan công an, ngân hàng và cả khách hàng.
Tốc độ phát triển của thị trường thẻ Việt Nam. Ảnh: NAPAS
“Về cơ bản các ngân hàng tại Việt Nam đều đã và đang áp dụng các công nghệ giống hầu hết các tổ chức tài chính và theo chuẩn hệ thống CNTT trên thế giới. Các giao dịch điện tử cũng đã áp dụng xác thực từ 2 đến 3 nhân tố như các nước khác, thậm chí còn chặt hơn”, lãnh đạo một tổ chức tài chính lớn nói, “Tôi có thể khẳng định tội phạm không dễ mà tấn công vào ngân hàng”.
Vị này phân tích, về cơ bản hệ thống CNTT của ngân hàng có 3 lớp bảo vệ cơ bản. Lớp một là các công cụ bảo vệ đơn thuần về vật lý bằng thiết bị, máy móc, hạ tầng công nghệ (ví dụ không cho copy bằng USB từ các máy tính trong ngân hàng, không vào được mạng xã hội từ các máy tính của ngân hàng…). Lớp hai là các tường lửa được thiết lập để thông tin bên ngoài không vào được ngân hàng, ví dụ các email có vấn đề gửi đến sẽ bị quét và chặn lại từ lớp này… Lớp thứ ba là từng phần mềm đều có module thực hiện các chức năng bảo mật từ thấp đến cao của riêng của mình. Chưa kể các thiết bị, phần mềm hay các chức năng mới được ngân hàng và nhà cung cấp cập nhật và nâng cấp theo mỗi năm khi tình hình rủi ro mạng thay đổi.
Điểm thuận tiện nữa là các tấn công công nghệ cũng xuất phát từ công nghệ nên các biện pháp phòng ngừa cũng trên nền tảng đó. Khi bán sản phẩm cho các ngân hàng, các hãng công nghệ luôn có sẵn các gói sản phẩm đi kèm với dự phòng rủi ro. Việc phòng chống rủi ro làm nên thương hiệu và uy tín của các hãng này nên nếu không có giải pháp bảo vệ tốt thì coi như không tổ chức nào dám mua hàng của họ nữa.
Một hệ thống hạ tầng công nghệ của một ngân hàng luôn có hai máy chủ, hai “nhà dữ liệu” tức có hai hệ thống server chạy song song. Từ core banking đến phần mềm điều khiển email đều chạy song song trên hai server khác nhau nên khi một hệ thống bị sự cố thì hệ thống kia tiếp tục chạy và ngược lại… “Và tất cả các ngân hàng ở Việt Nam theo tôi biết đều có thể phòng thủ được các cuộc tấn xông trực tiếp vào hệ thống (như trường hợp mới xảy ra với Vietnam Airlines)”, ông nói.
Song, nói công bằng thì mặc dù đẳng cấp quản trị ngân hàng là cao thấp khác nhau nhưng không có nghĩa core banking của ngân hàng nào đó có độ bảo mật thấp vì khi mua sản phẩm của các hãng công nghệ toàn cầu là đã theo chuẩn chung rồi.
Nên nhớ các ngân hàng luôn có bộ phận quản trị an ninh mạng, gồm các lập trình viên và kiểm thử viên luôn trực 24 giờ. Bộ phận kiểm toán IT và bộ phận “đ.ánh phá”, hoặc thuê công ty ngoài “đ.ánh phá” được thực hiện thường xuyên để test hệ thống và trám các lỗ hổng bảo mật. Riêng chi phí cho việc này ở một ngân hàng cỡ trung bình ít nhất 2-5 triệu đô la mỗi năm.
Các ngân hàng còn phải có các chi phí khác như đầu tư các thiết bị hệ thống có sẵn (phần mềm, phần cứng) hàng năm trung bình 3-5 triệu đô la nữa. Thêm 2 triệu đô la đầu tư cho việc bảo trì bảo dưỡng hệ thống an toàn, các chi phí này chưa kể đến hệ thống back up hay dự phòng khi có sự cố xảy ra…
Vậy các điểm còn phải quan tâm là gì?
Ngân hàng là ngành kinh doanh chấp nhận rủi ro nhưng đây là những rủi ro có thể mô hình hóa được, tức ngân hàng đều có thể biết trước và dự đoán để có biện pháp phòng ngừa. Với hệ thống CNTT, đặc trưng của nó là các giải pháp phòng vệ thường đi sau các hiện tượng tấn công trên thị trường, khi có hình thức phạm tội mới thì ngay lập tức ra các giải pháp mới nên khoảng cách giữa thời gian xảy ra hành vi tội phạm trên thực tế và giải pháp ban hành đó là thách thức. Vì ngân hàng tuy lường trước nhưng không thể dự phòng hết các cách tấn công của tin tặc hay tội phạm giao dịch số nên phải luôn luôn trong trạng thái phòng vệ và không thể chắc chắn các rủi ro có thể xảy như thế nào.
Một ông chủ ngân hàng, ban điều hành có quan điểm và cách tiếp cận khác nhau với vấn đề bảo mật rủi ro của ngân hàng, chi phí và các biện pháp cộng thêm… điều này phụ thuộc vào trình độ, năng lực tài chính, yêu cầu của cơ quan quản lý… Song vị lãnh đạo trên thừa nhận các ngân hàng quốc doanh chi cho CNTT cao hơn ngân hàng cổ phần rất nhiều vì ngân hàng cổ phần của tư nhân nên phải “liệu cơm gắp mắm”, tính toán tài chính chi li từng đồng.
Nhìn chung, các lý do cơ bản như trên khiến thực tế, tội phạm rất khó tấn công vào ngân hàng nên thường tìm cách tấn công qua đối tác hay khách hàng của ngân hàng, tức nếu thực hiện được việc này thì chúng chỉ lấy được t.iền của khách hàng, của đối tác chứ không lấy được t.iền của ngân hàng.
Video đang HOT
Câu hỏi từ vụ việc
Theo lãnh đạo một tổ chức tài chính lớn, vấn đề ở vụ việc khách hàng với Vietcombank đang xảy ra cần lưu ý các khía cạnh: Thứ nhất, quy trình đăng ký và thay đổi thông tin của khách hàng cần điều chỉnh lại. Những thông tin quan trọng có tính định danh phải được thực hiện đảm bảo hơn (số tài khoản, điện thoại…). Thứ hai, ngân hàng cần xem xét lại việc hướng dẫn cho khách hàng bảo mật thông tin khi thực hiện giao dịch điện tử, sử dụng ATM, giao dịch e-commerce, m-banking, i-banking… Thứ ba, hạn mức rút t.iền mặt lần/ngày không để quá cao vì giao dịch được thực hiện 24/7.
“Vụ này và vụ hacker tấn công Vietnam Airlines sẽ làm ảnh hưởng đến thị trường chung vì người tiêu dùng sẽ lo ngại khi thực hiện các giao địch diện tử”, theo vị này.
Vụ việc này cũng đặt ra thách thức lớn cho các ngân hàng. Thực tế, tỷ lệ thẻ quốc tế tại Việt Nam đáp ứng chuẩn 3D vẫn còn khiêm tốn, chỉ có 4/38 ngân hàng chiếm 10,52% toàn thị trường thực hiện và kèm theo đó là thách thức về nâng cấp trình độ quản lý, hiểu biết về công nghệ tài chính và cả chi phí đầu tư rất cao với các ngân hàng.
Một lãnh đạo bộ phận CNTT của một ngân hàng cổ phần cho biết, trung bình ngân hàng cần ít nhất 1-3 triệu đô la đầu tư ban đầu cho hoạt động thẻ. Các chi phí phát sinh như bảo trì, nâng cấp bảo mật đều tăng khoảng 20% một năm so với chi phí đầu tư ban đầu. Chi phí vận hành, nâng cấp, dự phòng rủi ro liên quan đến quy mô từng ngân hàng, xung quanh mức 50.000 đô la một năm. Chi phí đầu tư mạng lưới ATM, mua mới ATM, POS cũng không hề rẻ, với mức 2.000-5.000 đô la/ATM. Phí bảo trì, nâng cấp tính năng mới với giá 300-500 đô la/ATM nếu cần thiết.
Theo Hội thẻ ngân hàng, hạ tầng cơ sở và trang thiết bị kỹ thuật phục vụ cho hoạt động thanh toán chưa bắt kịp tốc độ phát triển kinh tế và nhu cầu sử dụng thanh toán không dùng t.iền mặt hiện nay của xã hội. Chi phí đầu tư công nghệ để thực hiện việc thanh toán của các ngân hàng rất cao, đòi hỏi sự đầu tư lớn và lâu dài. Chi phí này ngày càng tăng cao hơn trong điều kiện sắp tới phải chuyển đổi sang thẻ chip cho cả thẻ nội địa. Các ngân hàng thay thế thẻ chip, phải đảm bảo tất cả ATM chấp nhận thẻ chip là một chi phí rất lớn, tức phải lắp thêm thiết bị, phần mềm, cài đặt và đồng bộ hóa hệ thống chấp nhận thanh toán điện tử… là gánh nặng không thể không tính đến.
Các nhà băng cần gì nữa? Theo báo cáo của một số ngân hàng, tỷ lệ tra soát khiếu nại trên tổng số giao dịch rút t.iền tại hệ thống ATM tại một số nhà băng có xu hướng tăng. Người sử dụng phải được cung cấp kiến thức và kỹ năng thực hiện giao dịch điện tử để bảo vệ tài sản của mình. Bởi nguyên nhân của hầu hết các vụ việc rủi ro thanh toán điện tử là do chủ thẻ bảo mật dữ liệu thẻ chưa tốt, vô tình cung cấp thông tin thẻ cho đối tác thứ ba không an toàn. Máy tính, smartphone là phương tiện truy cập để thanh toán qua mạng vẫn còn nhiều lỗ hổng an ninh dễ bị lấy cắp thông tin, dữ liệu.
“Bản thân các ngân hàng sau vụ này không nên cực đoan thêm vào nhiều lớp xác thực nữa. Cần phân loại lại giao dịch và khách hàng để có cách ứng xử phù hợp. Ví dụ các giao dịch nhỏ, giá trị thấp cần xử lý sao cho tiện lợi. Giao dịch giá trị lớn, đặc biệt rút t.iền mặt cần quản lý theo lần, ngày. Đối tượng khách hàng cũng nên phân loại chi tiết hơn để hỗ trợ quản lý rủi ro”, một chuyên gia nhiều năm về thẻ cho biết.
Hầu hết, nếu không nói là tất cả các ngân hàng Việt Nam hiện chưa có quỹ trích lập dự phòng rủi ro trong hoạt động thẻ. Trong các yêu cầu về chế độ tài chính đối với các ngân hàng, khoản chi phí dự phòng rủi ro trong hoạt động thẻ chưa được chú trọng. Bộ Tài chính và NHNN chưa ban hành thông tư quy định về việc trích lập dự phòng rủi ro hoạt động thẻ và hiện kiến nghị của Hội thẻ ngân hàng về việc NHNN phối hợp với Bộ Công an ban hành Thông tư liên tịch về phòng chống rủi ro trong hoạt động ngân hàng vẫn chưa được thực hiện.
Bên cạnh đó, việc cạnh tranh về thị phần và phí gay gắt giữa các ngân hàng thời gian qua dẫn đến việc phát hành thẻ miễn phí tràn lan khiến thẻ không hoạt động chiếm tỷ lệ rất cao. Các ngân hàng chạy theo chỉ tiêu số lượng khách hàng nên đang dùng các biện pháp cạnh tranh bằng giá mà không phải bằng chất lượng dịch vụ để thu hút khách hàng gây ảnh hưởng đến chất lượng dịch vụ thanh toán và từ đó gây ra rủi ro. Ở đây cần bàn tay mạnh hơn của NHNN và các cơ quan liên quan như Bộ Công Thương hay Bộ Công an.
Thị trường thẻ: Đứa con mau lớn
Kể từ khi thị trường Việt Nam có tấm thẻ ngân hàng đầu tiên năm 1996 thì đến cuối tháng 3-2016, số lượng thẻ ngân hàng phát hành trên cả nước đạt trên 101,9 triệu (tăng 27% so với cuối năm 2014) với 48 ngân hàng phát hành. Trong đó, thẻ ghi nợ chiếm 90,66%, thẻ tín dụng chiếm 3,53%, thẻ trả trước là 5,81%.
Về mạng lưới, đến 31-12-2015, toàn thị trường đã có 16.573 máy ATM và 217.470 máy POS, tăng trưởng lần lượt là 23% và 181% so với năm 2011.
“Tỷ lệ gian lận thanh toán thẻ tại Việt Nam tiếp tục tăng, chưa có dấu hiệu giảm nhiệt”, theo Vụ Thanh toán NHNN, “Rủi ro trong nghiệp vụ thanh toán tăng 84,86%, thẻ giả tăng 145%; giao dịch không xuất trình thẻ tăng 38%. Các vụ việc như thanh toán khống, dùng thẻ giả rút t.iền, đ.ánh cắp thẻ, gian lận l.ừa đ.ảo… diễn ra thường xuyên hơn”.
Năm 2014, các ngân hàng Việt Nam đã xử lý 21 vụ lấy cắp thông tin tại ATM liên quan đến 492 thẻ nghi ngờ lộ dữ liệu, tập trung ở các cây ATM ở các thành phố lớn như Hà Nội, Hội An, Nha Trang, Phan Thiết, Đà Lạt, Vũng Tàu… Các ngân hàng Việt Nam đã phối hợp với công an bắt giữ nhiều nhóm tội phạm trong và ngoài nước thực hiện các hành vi gian lận qua thẻ và thanh toán điện tử như một nhóm đối tượng người Trung Quốc đ.ánh cắp thông tin và sử dụng thẻ khống với 32 thẻ, mở tài khoản thẻ ghi nợ quốc tế để l.ừa đ.ảo chuyển t.iền và rút t.iền tại nước ngoài, một số thẻ phát hành tại Angola thực hiện giao dịch khống bị nghi là rửa t.iền tại Việt Nam…
Hầu hết các ngân hàng đều trang bị thiết bị chống tội phạm nhưng tội phạm ngày một tinh vi hơn. Cơ quan chức năng tiếp tục nhận được nhiều phản ánh về xu thế l.ừa đ.ảo gian lận chưa có dấu hiệu dừng lại ở một số loại hình như l.ừa đ.ảo qua game online, FB, mua bán thẻ cào, l.ừa đ.ảo chuyển t.iền mạo danh…
Trên toàn cầu, MasterCard cho biết, gian lận thẻ năm 2015 tăng 1,63 điểm phần trăm so với cuối 2014, là tỷ lệ tăng trưởng cao hàng đầu qua các năm. Thẻ giả tăng hơn 28% ở khu vực châu Á-Thái Bình Dương trong năm ngoái.
Theo Báo Sài Gòn Times
Bỗng dưng mất t.iền trong thẻ ATM, ngân hàng phải chịu trách nhiệm
Theo các chuyên gia pháp lý, nếu t.iền trong thẻ ATM bỗng nhiên biến mất thì ngân hàng phải chịu trách nhiệm.
T.iền trong thẻ ATM bỗng nhiên "biến mất" thì ngân hàng phải chịu trách nhiệmẢnh: Vũ Phượng
ATM là một thiết bị ngân hàng giao dịch tự động với khách hàng, thực hiện việc nhận dạng khách hàng thông qua thẻ ATM (thẻ ghi nợ, thẻ tín dụng) hay các thiết bị tương thích, và giúp khách hàng kiểm tra tài khoản, rút t.iền mặt, chuyển khoản, thanh toán t.iền hàng hóa dịch vụ.
Đây là một hình thức gửi t.iền v.ào tài khoản mở tại một tài khoản ngân hàng, do ngân hàng quản lý và có thu phí hàng năm và thu phí qua từng lần giao dịch.
Ngân hàng phải bồi thường
Luật sư (LS) Huỳnh Công Thư (Đoàn LS tỉnh Long An) cho biết về mặt pháp lý, khách hàng gửi t.iền v.ào ngân hàng để thực hiện giao dịch bằng thẻ ATM là một dạng hợp đồng gửi giữ tài sản. Thông qua thủ tục làm thẻ, gửi t.iền ngân hàng tức là giữa khách hàng và ngân hàng đã kết lập một hợp đồng gửi giữ tài sản.
Ngân hàng có nghĩa vụ giữ tài sản của khách hàng thì ngân hàng phải có nghĩa vụ bảo mật tài khoản khách hàng. Mọi hành vi đột nhập vào hệ thống lấy trộm t.iền của khách hàng đều là thiệt hại ngân hàng phải gánh chịu chứ không thể đổ lỗi cho hacker xâm nhập được
Luật sư Huỳnh Công Thư
Theo quy định của BLDS 2015, hợp đồng gửi giữ tài sản là sự thỏa thuận giữa các bên, trong đó bên giữ nhận tài sản của bên gửi để bảo quản và trả lại chính tài sản đó cho bên gửi khi hết thời hạn hợp đồng, bên gửi phải trả t.iền công cho bên giữ, trừ trường hợp gửi giữ không phải trả t.iền công.
Ngoài ra, Điều 557 BLDS cũng quy định nghĩa vụ của bên nhận giữ là phải bảo quản tài sản và trả lại cho người gửi.
Như vậy, trong trường hợp số t.iền người gửi tự nhiên bị mất đi thì ngân hàng phải có nghĩa vụ bồi thường cho khách hàng vì t.iền lúc này đang nằm dưới sự quản lý của ngân hàng và khách hàng chưa hề nhận lại.
LS Thư nhận định: "Ngân hàng có nghĩa vụ giữ tài sản của khách hàng thì ngân hàng phải có nghĩa vụ bảo mật tài khoản khách hàng. Mọi hành vi đột nhập vào hệ thống lấy trộm t.iền của khách hàng đều là thiệt hại ngân hàng phải gánh chịu chứ không thể đổ lỗi cho người khác xâm nhập được".
Trong trường hợp ngân hàng không chịu bồi thường cho khách hàng thì khách hàng hoàn toàn có quyền kiện ngân hàng ra Tòa để yêu cầu bồi thường.
Lỗi của ngân hàng
Đồng quan điểm, LS Võ Công Hạnh (Hãng luật Công Khánh, Đoàn LS tỉnh Thừa Thiên Huế) nêu quan điểm, thông qua hệ thống thanh toán trực tuyến, giao dịch điện tử, giữa Ngân hàng và khách hàng hình thành mối quan hệ phức tạp hơn bởi môi trường mạng, các thiết bị tương tác.
Chính điều này là thách thức của tính bảo mật của ngân hàng và cả khách hàng. Theo nguyên tắc xử lý hậu quả của giao dịch dân sự, thì bên có lỗi phải chịu bồi thường hoặc phải chịu tổn thất thiệt hại tùy theo mức độ lỗi.
Giao dịch bằng internet banking của VCB Ảnh chụp màn hình
Với trường hợp khách hàng không nhận được mật khẩu từ OTP (One Time Password) từ Vietcombank (VCB) mà t.iền vẫn bị chuyển đi là một sai sót nghiêm trọng đối với hệ thống quản lý tài khoản trực tuyến.
"Ở đây không loại trừ khả năng bị kẻ xấu sử dụng các biện pháp để can thiệp, điều hướng giao dịch ngay tại hệ thống máy tính của VCB, hoặc việc rút t.iền trên có thể được thực hiện từ những nhân viên biến chất trong hệ thống ngân hàng; hay tin tặc can thiệp thông qua hệt thống internet từ bên ngoài. Tuy nhiên, điều này phải chờ kết quả điều tra từ phía cơ quan chức năng", LS Hạnh đ.ánh giá.
Đối với các giao dịch trên do lỗi từ ngân hàng, ngân hàng phải có trách nhiệm hoàn lại t.iền cho khách hàng.
Trong trường hợp các bên không thống nhất về việc thương lượng, bồi thường, khách hàng có thể khởi kiện ngân hàng ra tòa án có thẩm quyền để yêu cầu bồi thường thiệt hại.
Khách hàng cũng phải biết cách tự bảo vệ tài khoản của mình Ảnh: Vũ Phượng
LS Hạnh cũng cho rằng với trách nhiệm là chủ sở hữu một trang web của một ngân hàng lớn, việc VCB không có biện pháp hữu hiệu để một trang web "nhái" tồn tại là hết sức thiếu chuyên nghiệp, tắc trách và gây tổn hại cho khách hàng lẫn uy tín của mình.
Khách hàng cần tự bảo vệ mình
Theo LS Huỳnh Công Thư để tự bảo vệ cho mình, khách hàng phải tuyệt đối bảo mật tài khoản và password của mình, thường xuyên thay đổi password, không dùng thẻ ATM để thanh toán qua mạng các trang web bán hàng mà mình không biết. ATM dễ bị l.ừa đ.ảo nên không để số t.iền quá nhiều, nếu nhiều t.iền thì nên chuyển qua hình thức gửi tiết kiệm sẽ an toàn và có lợi hơn.
LS Võ Công Hạnh thì đưa ra lời khuyên rằng không nên gửi số t.iền lớn vào ATM, mà nên chuyển gửi số t.iền lớn với phương thức gửi tiết kiệm không kỳ hạn. Việc bảo quản thông tin cá nhân, số tài khoản, mật khẩu mỗi người cũng phải hết sức thận trọng, cần cảnh giác đối với các thông tin yêu cầu cung cấp thông tin cá nhân, số tài khoản, mật khẩu liên quan đến tài khoản của mình.
Theo Thanh Niên
Tá hỏa vì gần 200 triệu đồng trong thẻ ATM bỗng dưng biến mất? Gần 200 triệu đồng trong hai thẻ ATM của vợ chồng anh N.S.T. bỗng dưng "bốc hơi" và chỉ bị phát hiện khi vợ chồng anh T. kiểm tra t.iền trong tài khoản vào kỳ lương tháng 7-2016. Theo các chuyên gia, sử dụng ATM nên đăng ký dịch vụ thông báo số dư qua tin nhắn để an toàn - Ảnh: QUANG...