Cẩn trọng trong thanh toán trực tuyến

Việc thực hiện giao dịch qua ngân hàng trực tuyến đòi hỏi người dùng phải hết sức cẩn trọng và tỉ mỉ, đặc biệt là trong bối cảnh rò rỉ thông tin cá nhân khá phổ biến như hiện nay.

Theo ông Lê Mạnh Hùng - Cục trưởng Cục Công nghệ Thông tin, Ngân hàng Nhà nước thì tại Việt Nam, nhận thức và hành vi của người dùng trong việc đảm bảo an toàn thông tin khi truy cập mạng còn rất yếu khi chỉ có 11% người dùng nhận biết được điều này (trên thế giới, 60% người dùng khi được hỏi đều có nhận thức việc mất an toàn là do bản thân).

Đối với ngành ngân hàng Việt Nam, theo thống kê của các tổ chức thanh toán quốc tế như Visa-Mastercard, năm 2017 Việt Nam là quốc gia có tỉ lệ mất an toàn qua thanh toán trực tuyến thuộc loại thấp, chỉ khoảng 1/3 so với tỉ lệ bình quân trên thế giới.

Dẫn chứng về một số quốc gia trên thế giới, ông Lê Mạnh Hùng cho biết, trong năm 2017, theo thống kê của Công ty an ninh mạng Panda Security, tài chính là mục tiêu lớn nhất thúc đẩy tin tặc hành động, với 73% số lượng các cuộc tấn công mạng; chính trị, tình báo là mục tiêu lớn thứ hai, với 21% các cuộc tấn công.

Một số vụ điển hình như Ngân hàng Trung ương Bangladesh bị mất 81 triệu đô la Mỹ qua hệ thống thanh toán quốc tế SWIFT vào tháng 2/2016, Ngân hàng Trung ương Ecuador bị tấn công tương tự mất 9 triệu đô la, một ngân hàng Nam Phi mất 13 triệu đô la qua ATM vào tháng 5/2016; ngân hàng tại Đài Loan (Trung Quốc) bị đánh cắp 2,2 triệu đô la qua ATM vào tháng 7/2016…

Theo chuyên gia kinh tế Nguyễn Trí Hiếu thời gian qua, tại Việt Nam cũng có nhiều thông tin xấu về bảo mật. Câu hỏi đặt ra là hệ thống bảo mật an toàn hiện nay đang như thế nào?

Trả lời câu hỏi này, vị chuyên gia này cho rằng có 2 lý do chính làm thiệt hại cho khách hàng là nguyên nhân về kỹ thuật và nguyên nhân từ con người.

Nguyên nhân về kỹ thuật có thể do các “tường lửa” chưa đảm bảo, hạ tầng công nghệ thông tin (phần cứng, phần mềm) chưa được cập nhật… Còn nguyên nhân từ con người có thể do khách hàng không tuân thủ các yêu cầu bảo mật của ngân hàng, hoặc do cán bộ ngân hàng cấu kết với tội phạm để chiếm đoạt tài sản của khách hàng.

“Theo tôi nguyên nhân về con người đang chiếm phần lớn hơn so với nguyên nhân về công nghệ. Nhưng nguyên nhân từ con người dễ điều chỉnh hơn nguyên nhân từ công nghệ, vì nguyên nhân công nghệ đòi hỏi đầu tư rất lớn” ông Nguyễn Trí Hiếu nhận định.

Ông Lê Mạnh Hùng cũng cho biết, theo thống kê của các doanh nghiệp công nghệ lớn như IBM, Microsoft... cho đến nay có 4 rủi ro lớn đối với hệ thống thông tin là hạ tầng công nghệ, vận hành hệ thống (thao tác sai), do khách hàng, đạo đức và nghiệp vụ của cán bộ ngân hàng. Theo đó, rủi ro về hạ tầng công nghệ chỉ chiếm 20%, còn chủ yếu là do vận hành và khách hàng là 80%.

Tuy nhiên, việc giảm thiểu các rủi ro không phụ thuộc vào sự việc rủi ro cụ thể mà dựa trên phân loại cấp độ thông tin để cập nhật liên tục. Trong khi đó, các quy định của quốc tế và Ngân hàng Nhà nước về bảo mật và an ninh, hạ tầng, truyền thông cũng được ban hành rất đầy đủ nhằm giảm thiểu rủi ro.

Thời gian qua, Việt Nam ban hành nhiều chính sách, tiêu chuẩn về an toàn thông tin, bao gồm từ Luật (Luật Giao dịch điện tử, Luật An toàn thông tin mạng và sắp tới là Luật An ninh mạng), Nghị định (Nghị định 35/2007/NĐ-CP về giao dịch điện tử trong hoạt động ngân hàng; Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ) đến các Thông tư hướng dẫn.

Theo ông Lê Mạnh Hùng, Ngân hàng Nhà nước với vai trò quản lý nhà nước trong ngành ngân hàng luôn chỉ đạo sát sao việc bảo đảm an ninh, an toàn hệ thống thông tin trong toàn ngành. Trên cơ sở các quy định của Nhà nước, Ngân hàng Nhà nước đã ban hành nhiều văn bản quy phạm pháp luật về đảm bảo an toàn hoạt động công nghệ thông tin trong ngành tiệm cận với các chuẩn mực quốc tế về an toàn thông tin như ISO 27001, PCI DSS…

Bên cạnh đó, Ngân hàng Nhà nước còn là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảo mật, nguy cơ mất an toàn của hệ thống công nghệ thông tin từ Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông và các tập đoàn, công ty công nghệ thông tin đối tác, để cảnh báo, chỉ đạo các đơn vị trong toàn ngành kiểm tra, rà soát và có giải pháp kịp thời phòng, tránh, không để xảy ra các hiện tượng mất an toàn.

Đi đôi với việc ban hành các văn bản, hàng năm ngoài việc tổng hợp giám sát qua hệ thống báo cáo, Ngân hàng Nhà nước đều tổ chức các đoàn kiểm tra tại chỗ để phát hiện, khuyến nghị và chấn chỉnh kịp thời những tồn tại, hạn chế về an ninh, bảo mật của các tổ chức tín dụng, các tổ chức trung gian thanh toán.

Từ năm 2010 đến nay, Ngân hàng Nhà nước đã tiến hành 75 đợt kiểm tra tuân thủ các văn bản quy phạm pháp luật về công nghệ thông tin tại 61 tổ chức tín dụng.

Để có thể kiểm soát tốt an toàn qua thanh toán trực tuyến tránh những vụ mất cắp thông tin của người dùng thẻ dẫn đến mất tiền đã xảy ra, Ngân hàng Nhà nước và các ngân hàng thương mại đã thực hiện hàng loạt các giải pháp để kiểm soát việc này.

Theo ông Lê Mạnh Hùng, hoạt động đầu tư công nghệ đi đôi với nhận thức người sử dụng, hướng đến cung cấp dịch vụ cho xã hội, cho nền kinh tế tốt hơn. Việc đầu tư cho công nghệ sẽ xoá bỏ rào cản về không gian, thời gian. Lợi ích là vậy nhưng ngân hàng và khách hàng lại đối diện với nguy cơ, rủi ro về mất an toàn mạng.

Gần đây, hệ thống công nghệ của các ngân hàng đã được đầu tư tốt hơn, vì vậy tội phạm mạng đã chuyển hướng vào đối tượng dễ tổn thương hơn là khách hàng.

Để giảm thiểu rủi ro, Ngân hàng Nhà nước đã ban hành các văn bản quy phạm về cấp phép, xây dựng cung cấp thông tin của khách hàng để thanh toán  thẻ… Ngân hàng Nhà nước đều có chỉ thị, hướng dẫn vào các dịp lễ quan trọng để đảm bảo bảo mật chung của toàn ngành. Cùng với các chỉ đạo của Ngân hàng Nhà nước về bảo mật cho khách hàng, Ngân hàng Nhà nước còn kiểm tra tại chỗ để đảm bảo sự tuân thủ của các tổ chức tín dụng. Ngoài ra, còn ban hành các quy chuẩn để các tổ chức tín dụng giảm thiểu rủi ro cho khách hàng...

Hiện nay, 100% các tổ chức tín dụng đều có các tư liệu hướng dẫn bảo mật, bộ phận hỗ trợ khách hàng trực tuyến để hỗ trợ mọi tình huống. Ngoài ra các tổ chức tín dụng còn liên tục rà soát các quy trình nội bộ để loại trừ rủi ro cho khách hàng theo đúng quan điểm Ngân hàng Nhà nước là chủ động để đảm bảo quyền lợi hợp pháp của khách hàng.

Đồng thời, Ngân hàng Nhà nước tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh công nghệ thông tin ngành ngân hàng với các trọng tâm. Đó là, từng bước kiện toàn nguồn nhân lực cùng với cơ sở vật chất phục vụ diễn tập, giám sát sự kiện an ninh mạng; bổ sung kinh phí, trang thiết bị, giải pháp công nghệ hỗ trợ cho hoạt động của mạng lưới nhằm nâng cao năng lực xử lý và ứng cứu sự cố.

Cùng đó, đào tạo chuyên sâu về an ninh thông tin trong ngành ngân hàng theo hình thức phối hợp giữa các tổ chức tín dụng và Ngân hàng Nhà nước. Theo đó, hàng năm hoặc 6 tháng 1 lần, tổ chức các khoá đào tạo về an ninh mạng kết hợp với diễn tập ứng cứu sự cố. Hay xây dựng diễn đàn trao đổi thông tin riêng cho các thành viên mạng lưới; định kỳ tổ chức các buổi hội thảo về an toàn, an ninh thông tin và ứng cứu sự cố an ninh mạng.

Ngoài ra, Ngân hàng Nhà nước sẽ triển khai các nội dung về rà soát, đánh giá rủi ro và triển khai các giải pháp an ninh bảo mật cho toàn bộ vòng đời của một hệ thống thông tin. Trang bị các hệ thống hỗ trợ giám sát giao dịch điện tử, điều tra gian lận, từng bước tổng hợp, phân tích dữ liệu của khách hàng, xây dựng bộ quy tắc để phát hiện và ngăn chặn sớm các gian lận; xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định hoặc các dấu hiệu bất thường khác.

Ngân hàng Nhà nước cũng xây dựng trung tâm điều hành an ninh mạng để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng.