Mặc dù có nhiều tiện ích vượt trội so với giao dịch tiền mặt nhưng hình thức thanh toán trực tuyến cũng tiềm ẩn nhiều rủi ro, nhất là khi tội phạm sử dụng công nghệ cao tấn công mạng đang ngày một phổ biến và tinh vi hơn. Phóng viên đã trao đổi với ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng của Tập đoàn Công nghệ BKAV xoay quanh câu chuyện này.
Ông Ngô Tuấn Anh. Ảnh: bkav.com.vn |
* Sau cảnh bảo về lỗ hổng bảo mật Open SSL Heartbleed (Trái tim rỉ máu) khiến các thông tin cá nhân liên quan đến thẻ tín dụng, tài khoản của khách hàng có thể bị lộ lọt, Bkav đã tiến hành rà soát lại các website của 62 ngân hàng, 30 cổng thanh toán trực tuyến phổ biến nhất tại Việt Nam và khẳng định các hệ thống thanh toán giao dịch trực tuyến này đều an toàn. Tuy nhiên, những vụ tội phạm tại Việt Nam lấy cắp thông tin thẻ tín dụng của khách hàng và chiếm đoạt tiền của khách hàng vẫn xảy ra, vậy đâu nguyên nhân chủ yếu thưa ông?Gần đây tại Việt Nam, tội phạm mạng có thể đánh cắp thông tin tài khoản của một số khách hàng thông qua việc mua thông tin thẻ tín dụng được bán trên thị trường chợ đen quốc tế, sau đó tiến hành in các thông tin này lên phôi thẻ trắng và tiến hành rút tiền.
Bên cạnh đó, tại Việt Nam cũng bắt đầu xuất hiện hình thức tội phạm tiến hành cài đặt các thiết bị đọc thông tin (Skimmer) vào các máy ATM để đánh cắp thông tin. Khi khách hàng đưa thẻ vào máy ATM để tiến hành giao dịch, thiết bị sẽ ghi nhớ thông tin cá nhân của khách hàng.
Đồng thời, tội phạm cũng cài đặt camera theo dõi để đánh cắp mã số bảo mật (PIN) của khách hàng bấm trên bàn phím. Với các thông tin đánh cắp được này, tội phạm sẽ làm các thẻ ATM giả để rút tiền thật của khách hàng.
Sau khi có các vụ việc xảy ra, các ngân hàng tại Việt Nam đã tăng cường an ninh tại các máy ATM. Theo đó, trước khi tiến hành giao dịch, các ngân hàng thường cảnh bảo khách hàng về việc lộ lọt thông tin như yêu cầu khách hàng che mã PIN khi nhập trên bàn phím. Người sử dụng xác nhận phải đọc các thông tin này rồi mới giao dịch được. Đây cũng là giải pháp để bảo vệ người tiêu dùng của các nhà cung cấp dịch vụ.
* Theo ông, ngoài một lỗ hổng bảo mật được phát hiện là Open SSL Heart Bleed, giao dịch thanh toán trực tuyến tại Việt Nam còn phải đối mặt với những nguy cơ tấn công mạng nào khác? Ông đánh giá như thế nào về khả năng phòng vệ trước các đợt tấn công mạng của các website ngân hàng điện tử, các cổng thanh toán trực tuyến tại Việt Nam hiện nay?Lỗ hổng Open SSL Heartbleed chỉ là một lỗ hổng bảo mật được công bố, vẫn còn nhiều lỗ hổng bảo mật khác, các rủi ro khác mà giao dịch trực tuyến đang phải đối mặt như tấn công từ chối dịch vụ, tấn công vào website để đánh cắp thông tin cá nhân của khách hàng. Đây là các nguy cơ thường trực mà các ngân hàng điện tử, các cổng thanh toán trực tuyến đang phải đối mặt.
Hiện các ngân hàng, các cổng giao dịch trực tuyến tại Việt Nam đều đã đầu tư nguồn lực, các phần mềm, thiết bị bảo vệ an toàn cho hoạt động giao dịch trực tuyến này. Trong khi đó, tại Việt Nam, hiện cũng chưa xuất hiện nhiều các đợt tấn công vào các website ngân hàng và cổng thanh toán trực tuyến.
Tuy nhiên, không ai có thể đảm bảo là trong tương lai không xảy ra vụ tấn công mạng như vậy. Vì vậy, chúng tôi khuyến cáo các nhà cung cấp dịch vụ thanh toán giao dịch trực tuyến này cần có các diễn tập ứng phó, xử lý với tình huống tấn công mạng này bởi theo đánh giá của các chuyên gia, thiệt hại kinh tế được tính lớn nhất ở đây chính là thời gian ngừng trệ giao dịch và khôi phục lại hoạt động của trang giao dịch trực tuyến.
* Vậy theo ông đâu là các giải pháp chủ yếu cần thực hiện trong ngắn hạn và dài hạn để nâng cao an toàn an ninh mạng và cho các hoạt động giao dịch thanh toán trực tuyến? Đâu là giải pháp mà khách hàng cần áp dụng để hạn chế thấp nhất những rủi ro trong hình thức giao dịch này?Một giải pháp an ninh mạng phải là giải pháp tổng thể từ thiết bị, công nghệ đến quy trình cho đến yếu tố con người. Vì vậy, theo tôi, để đảm bảo an toàn an ninh cho giao dịch thanh toán trực tuyến, các đơn vị cung cấp dịch vụ giao dịch thanh toán trực tuyến như ngân hàng cần phải xây dựng quy trình quản lý an ninh thông tin theo tiêu chuẩn ISO 27001 nhằm nâng cao công tác điều hành, kiểm tra, giám sát và phát triển hệ thống quản lý an ninh thông tin một cách toàn diện, khoa học.
Bên cạnh đó, các đơn vị có liên quan đến thẻ thanh toán cần áp dụng tiêu chuẩn bảo mật thông tin thẻ thanh toán được áp dụng trên toàn cầu là PCI DSS nhằm đảm bảo an toàn cho dữ liệu thẻ trong suốt quá trình xử lý và lưu trữ tại các ngân hàng hoặc các đơn vị có chức năng thanh toán trực tuyến.
Về dài hạn, khi các đơn vị xây dựng các dự án về công nghệ thông tin cần dành từ 5-10% tổng kinh phí dự án để đầu tư cho vấn đề an ninh mạng. Sự đầu tư này sẽ rẻ hơn rất nhiều so với những thiệt hại có thể xảy ra trong tương lai nếu không đầu tư.
Theo thống kê của Bkav, hiện nay chưa có nhiều dự án về công nghệ thông tin đưa hạng mục đầu tư về an ninh mạng vào trong tổng chi phí dự án. Đây chính là vấn đề mà chúng tôi muốn cảnh báo với các đơn vị khi lập dự án về công nghệ thông tin.
Ở góc độ khác, theo thống kê của Bkav, 70% các phần mềm không có bản quyền, không rõ nguồn gốc trên internet hiện nay thường đính kèm mã độc. Vì vậy, khi người sử dụng tự cài đặt các phần mềm như vậy vào máy tính cá nhân đã vô tình để để cho mã độc xâm nhập vào hệ thống cơ sở dữ liệu máy tính để có cơ hội ghi nhận toàn bộ thông tin tài khoản cá nhân, thông tin thẻ tín dụng của khách hàng và gửi cho tội phạm mạng.
Để đảm bảo an toàn trong thanh toán giao dịch trực tuyến, chúng tôi cũng khuyến cáo khách hàng không nên tự cài đặt các phần mềm trên internet. Bên cạnh đó, khách hàng cũng cần thường xuyên cập nhật các bản vá phần mềm và hệ điều hành; chủ động trang bị các phần mềm phòng chống virut để bảo vệ máy tính trước các mối nguy trong tương lai nếu chẳng may gặp phải.
*Xin cảm ơn ông!
Kim Anh