Rà soát, nâng cấp hệ thống bảo mật ngân hàng

Không chủ quan vì vẫn có thể có lỗ hổng

Không chỉ Ngân hàng Nhà nước (NHNN) mà nhiều chuyên gia công nghệ thông tin (CNTT) đã liên tục cảnh báo về tội phạm tấn công các hệ thống CNTT quan trọng của Việt Nam. Theo đó, NHNN đã đề nghị các tổ chức tín dụng (TCTD) và các tổ chức trung gian thanh toán rà soát, kiểm tra tình hình an ninh hệ thống CNTT, đặc biệt là các hệ thống cung cấp dịch vụ cho khách hàng trên mạng Internet (website, Internet banking…); phân công người trực 24/7, tăng cường giám sát hoạt động và nhật ký (log) của các hệ thống CNTT quan trọng để xử lý kịp thời các lỗ hổng bảo mật, cuộc truy nhập trái phép hay tấn công (nếu có).

Tuy nhiên, sự việc đáng tiếc vẫn xảy ra trong thời gian qua. Chỉ trong một đêm, khách hàng sử dụng dịch vụ của ngân hàng uy tín nhất nhì Việt Nam lại bị mất số tiền quá lớn khiến nhiều người gửi tiền lo ngại về hệ thống bảo mật của các ngân hàng nói chung tại Việt Nam.

Theo ông Ngô Tuấn Anh, để giao dịch trực tuyến Internet Banking, người dùng cần có tài khoản (tên đăng nhập, mật khẩu) và mã OTP ứng với mỗi giao dịch. Trong trường hợp khách hàng của Vietcombank, theo thông tin ngân hàng công bố, khách hàng đã đăng nhập vào một trang web giả mạo dẫn đến mất tài khoản. Tuy nhiên, khách hàng lại cho biết không nhận được mã OTP cho các giao dịch trái phép đó. Việc không có mã OTP có thể do khách hàng đã nhập mà không hề biết hoặc do lỗi từ hệ thống ngân hàng. Kết quả chính xác cần có kết luận chính thức từ cơ quan điều tra. Dù kết quả ra sao thì đây là vụ việc nghiêm trọng của các cuộc tấn công mạng. Những sơ suất, rủi ro trong các giao dịch trực tuyến đã mang lại hậu quả lớn.

Đề cập tới vấn đề này, ông Nguyễn Ái Dân, chuyên gia công nghệ ngân hàng nói: “Không có hệ thống của ngân hàng nào có thể tuyên bố là khỏe tuyệt đối cả. Bảo mật chỉ mang tính tương đối. Hacker còn từng đột nhập lấy dữ liệu của Bộ Quốc phòng Mỹ. Thế nên, Việt Nam cũng không thể ngăn chặn hoàn toàn việc này. Vụ việc của khách hàng Na Hương chỉ là điển hình được nêu ra. Qua vụ việc này, chúng ta thấy hệ thống đang có nhiều lỗ hổng và cần phải cải thiện để kiểm soát tốt hơn”.

Do đặc thù lĩnh vực kinh doanh, các ngân hàng đều được đầu tư tốt nhất về an toàn bảo mật so với các lĩnh vực khác. Tuy nhiên, hệ thống giao dịch của ngân hàng cũng giống như các hệ thống CNTT khác, về nguyên tắc đều có nguy cơ tồn tại lỗ hổng. Các chuyên gia Bkav cho rằng: Nhiệm vụ của ngân hàng là cần định kỳ rà soát để phát hiện sớm các rủi ro, vá các lỗ hổng; trang bị thêm các biện pháp để bảo vệ cho người dùng, ví dụ như nâng cấp sử dụng giải pháp chữ ký số thay vì giải pháp OTP vốn tồn tại nhiều điểm yếu có thể khai thác. Trước tình hình này, các ngân hàng cần đầu tư nguồn nhân lực CNTT nhằm đáp ứng những thay đổi nhanh chóng của công nghệ; thường xuyên theo dõi, cập nhật tình hình an ninh mạng trong nước và quốc tế, phối hợp với các cơ quan chuyên ngành, nâng cao trình độ nguồn nhân lực.

Chung tay bảo mật tài khoản

Trong lúc các ngân hàng đang liên tiếp đưa ra những lời cảnh báo cũng như hướng dẫn khách hàng giao dịch ngân hàng điện tử an toàn thì lúc này, phía người dùng cũng cần chung tay, nâng cao nhận thức sử dụng dịch vụ để bảo toàn tài sản.

Tại trang web của mình, ngân hàng VietinBank đang đăng tải khá chi tiết hướng dẫn các khách hàng khi sử dụng dịch vụ điện tử. Trong đó, các khách hàng cũng cần thận trọng, hạn chế sử dụng máy tính công cộng, mạng không dây công cộng để đăng nhập dịch vụ; không nên truy cập vào các trang web lạ; các website nghi ngờ giả mạo, các liên kết đính kèm thư điện tử vì các website/liên kết này có thể đính kèm virus vào các link download, link hình ảnh mà người sử dụng không nhận biết được. Trường hợp buộc phải truy cập để tải dữ liệu, nên bật phần mềm antivirus, antispyware trước khi tải.

Chuyên gia ngân hàng, TS Nguyễn Trí Hiếu chia sẻ: “Có nhiều rủi ro cả khi rút tiền trực tiếp ở các máy ATM lẫn rút tiền trực tuyến qua mạng. Nếu hệ thống ngân hàng không tốt thì tin tặc có thể xâm nhập để thu thập thông tin các tài khoản. Về phía khách hàng, người sử dụng phải nâng cao ý thức bảo vệ thẻ cũng chính là bảo vệ tiền của mình trong tài khoản. Khi rút tiền trực tuyến, người dùng không nên sử dụng thiết bị lạ để tránh trường hợp thiết bị cài mã độc”.

Để bảo vệ tài khoản, chuyên gia công nghệ Nguyễn Ái Dân khuyến cáo: Người dân không nên để quá nhiều tiền trong tài khoản ATM. Với thẻ dùng để đi mua bán thường xuyên, phục vụ chi tiêu trong gia đình chỉ nên có số dư tối đa 20 - 50 triệu đồng. Với một người mà mọi chi tiêu từ nhận lương, thanh toán điện thoại, điện, nước sinh hoạt, thanh toán các giao dịch lớn khi kinh doanh, Internet Banking cũng cùng một thẻ thì tiềm ẩn rất nhiều rủi ro nếu không may bị mất mã PIN.

“Phía khách hàng, trước hết cần quan tâm tới an toàn cho máy tính cá nhân. Các máy tính cá nhân cần được cài đặt phần mềm chính hãng của các công ty có uy tín, một bức tường lửa tối thiểu, một phần mềm chặn virus và một mật khẩu đủ khó. Một việc rất quan trọng là thường xuyên cập nhật các phiên bản vá lỗi của các nhà cung cấp phần mềm, điều đó giúp máy tính chặn được các lỗ hổng mà hacker thường lợi dụng”, một chuyên gia công nghệ ngân hàng nói.