Ngân hàng nên đầu tư bao nhiêu vào hệ thống bảo mật thì sẽ an toàn?

Mới đây tại một cuộc trao đổi với chúng tôi về chủ đề "An ninh mạng - Vấn đề của chính bạn", ông Jason Yuen - Phó tổng giám đốc phụ trách an ninh mạng, Dịch vụ Tư vấn của Ernst & Young Malaysia đã chỉ ra 10 bài học về an toàn bảo mật thông tin mà tất cả các ngân hàng đều phải đối mặt.

Theo ông, sẽ không tồn tại một mạng đáng tin cậy. Ông đưa dẫn chứng, mới đây hacker đã tấn công ngân hàng Bangladesh và khai thác được phần mềm Swift. Kiểu tấn công vào phần mềm Swift tiếp tục được sử dụng với các ngân hàng Việt Nam.

Ngoài ra, ai cũng có thể trở thành mục tiêu tấn công của hacker và không có mục tiêu nào là nhỏ. Theo số liệu từ báo cáo điều tra của Verizon năm 2015 cho thấy, hầu hết lĩnh vực nào cũng từng gặp sự cố về an ninh thông tin, trong đó, dịch vụ công cộng có số lượng sự cố an ninh thông tin lớn nhất với hơn 50 nghìn vụ; lĩnh vực tài chính với 642 sự cố.

Theo ông Yuen thì kể cả kẻ mạnh nhất cũng có thể bị đánh bại. NASA - cơ quan an ninh được xem là mạnh của Mỹ cũng nhiều lần bị xâm nhập, tấn công có chủ đích.

Đôi khi sự tấn công không phải là lợi ích tài chính ví dụ như thông tin màn hình ở 2 sân bay lớn tại Việt Nam bị tấn công và thay đổi nội dung diễn ra cách đây không lâu. Hoặc đôi khi đơn giản chỉ là chia sẻ thông tin cá nhân...

"Tội phạm mạng xảy ra với ngân hàng Việt ngày càng nhiều. Sẽ có nhiều người bấm vào đường link... và không phải lúc nào cũng dễ nhận ra. Một trong những thủ đoạn phổ biến là kẻ gian dùng chiêu thức Phishing (lấy thông tin qua một website giả mạo của ngân hàng)", ông cho hay.

Ông Jason Yuen.

Theo báo cáo về Spam và Phishing 2016 của Kaspersky Lab cho thấy, Việt Nam đứng thứ 2 về nguồn gốc của thư rác. Trong khi đó, 23% số người dùng sẽ mở các email giả mạo và 11% sẽ click vào những tập tin đính kèm.

Ông Yuen chia sẻ: "Có người hỏi tôi nên đầu tư bao nhiêu tiền vào hệ thống an ninh thì sẽ an toàn? Thực ra, các ngân hàng nên xem an toàn bảo mật là rủi ro kinh doanh. Một ngân hàng bỏ 20 triệu USD vào hệ thống chưa chắc đã an toàn hơn một nhà băng đầu tư 10 triệu USD nếu như đầu tư dàn trải và không có trọng tâm.

Về khả năng bảo mật của các ngân hàng Việt Nam, chuyên gia của EY cho rằng, nhìn chung các đơn vị chủ yếu là đang phòng thủ, thường yếu kém trong khâu giám sát, ứng phó xử lý sự cố và kể cả yếu kém trong khâu điều tra sau khi sự cố xảy ra.

"Trong quá trình tham gia đánh giá, tư vấn cho một số tổ chức tín dụng, tôi phát hiện có nhiều ngân hàng vẫn tồn tại những điểm yếu cố hữu và căn bản như, đặt username và mật khẩu giống nhau. Chẳng hạn như "admin" và "admin". Điều này là quá dễ bị xâm nhập và ngân hàng đó không có sự đầu tư đúng mực cho quy trình vận hành và rà soát bảo mật định kỳ", vị chuyên gia cho biết.