An ninh mạng trong lĩnh vực ngân hàng: Tầm quan trọng, rủi ro và quy định
Những đe dọa về gian lận tài chính, tấn công mạng và các hoạt động độc hại khác đã trở thành mối lo ngại lớn đối với các doanh nghiệp trên toàn thế giới, đặc biệt là trong lĩnh vực ngân hàng.
Tầm quan trọng của an ninh mạng đối với ngân hàng
Với sự phát triển nhanh chóng của công nghệ kỹ thuật, nguy cơ các thông tin cá nhân nhạy cảm như tài khoản ngân hàng và mật khẩu bị kẻ xấu tấn công hoặc truy cập càng cao hơn bao giờ hết. Bởi vậy việc duy trì một hệ thống an toàn trở nên vô cùng quan trọng đối với các ngân hàng.
Việc bảo mật dữ liệu khách hàng là một trong những yếu tố tiên quyết, hàng đầu, ảnh hưởng đến sự tồn tại cũng như uy tín của ngân hàng. Do vậy, các ngân hàng cần phải thường xuyên cảnh giác và thực hiện các biện pháp bảo mật nâng cao nhằm bảo vệ khỏi các mối đe dọa bảo mật khi truy cập internet hoặc tham gia vào các hoạt động ngân hàng trực tuyến. Các ngân hàng cũng cần đảm bảo rằng họ sử dụng các bản cập nhật phần mềm mới nhất và tất cả nhân viên đều được đào tạo về cách xử lý dữ liệu khách hàng và các giao dịch ngân hàng một cách an toàn.
Rủi ro lớn nhất đối với an ninh mạng của ngân hàng
Trong những năm gần đây, tỉ lệ tội phạm tấn công mạng gia tăng đến mức được coi là mối đe dọa lớn nhất đối với lĩnh vực tài chính. Khi các phương thức, thủ đoạn của tin tặc ngày càng tinh vi hơn, thì việc phòng thủ một cách nhất quán trước các cuộc tấn công cũng ngày càng trở nên khó khăn.
Dưới đây là các mối đe dọa an ninh mạng nổi bật nhất trong lĩnh vực ngân hàng.
Tấn công lừa đảo
Đây là trường hợp tin tặc tạo các trang web giả mạo đơn vị uy tín, sau đó lừa đảo người dùng cung cấp các thông tin cá nhân cho chúng. Thông thường, hình thức này được thực hiện thông qua email và dịch vụ tin nhắn thứ ba. Trong trường hợp này, tin tặc thường sẽ giả mạo trang web của ngân hàng hoặc các trang giao dịch trực tuyế, ví điện tử,... và lừa người dùng cung cấp các thông tin nhạy cảm như tài khoản và mật khẩu đăng nhập, mã xác thực OTP,...
Tấn công từ chối dịch vụ phân tán (DDoS)
Một cuộc tấn công từ chối dịch vụ phân tán hay Distributed Denial of Service (DDoS) sử dụng một botnet - một tập hợp các thiết bị trực tuyến kết nối với nhau - để tạo ra một lượng lớn lưu lượng truy cập nhằm làm cho trang web trở nên không khả dụng cho người dùng hợp pháp. Không giống như các cuộc tấn công mạng khác, mục tiêu của một cuộc tấn công DDoS không phải là xâm nhập vào bảo mật website. Thay vào đó, mục tiêu là làm cho tài nguyên mạng, máy chủ hoặc ứng dụng trở nên không khả dụng đối với khán giả mục tiêu. Một cuộc tấn công DDoS cũng có thể được sử dụng để che giấu các hoạt động độc hại khác và vô hiệu hóa các thiết bị bảo mật để xâm nhập vào bảo mật của mục tiêu. Đáng chú ý là trong thời kỳ đại dịch, số lượng cuộc tấn công DDoS tăng lên 30% đối với ngành dịch vụ tài chính.
Dữ liệu không được mã hóa
Khi tội phạm mạng ngày càng tinh vi hơn, các mối đe dọa về dữ liệu lại càng lớn hơn. Chỉ bảo vệ các cơ sở truy cập dữ liệu thôi là chưa đủ, mà bản thân dữ liệu cũng phải được mã hóa. Theo báo cáo của Tập đoàn công nghệ máy tính đa quốc gia IBM, thiệt hại trung bình của một vụ vi phạm dữ liệu là 4,35 triệu USD. Giá trị này chắc chắn sẽ tăng cao trong tương lai khi các cuộc tấn công mạng diễn ra hàng ngày, gây thiệt hại vô cùng to lớn cho doanh nghiệp và người dùng. Tuy nhiên, với các phương thức mã hóa mạnh mẽ hiện nay, những chi phí này có thể được giảm bớt hoặc tránh hoàn toàn.
Phần mềm tống tiền (Ransomware)
Ransomware là phần mềm độc hại được tội phạm mạng sử dụng để mã hóa dữ liệu quan trọng và yêu cầu chủ sở hữu dữ liệu phải trả tiền để có thể truy cập vào dữ liệu đó. Hình thức tấn công mạng này là mối đe dọa nghiêm trọng đối với các ngân hàng. Trong thời đại tiền điện tử, tội phạm an ninh mạng đặc biệt quan tâm đến việc tìm kiếm các lỗ hổng trong hệ thống phi tập trung, từ đó, chúng có thể dễ dàng lấy cắp tiền từ hệ thống giao dịch.
Thao túng dữ liệu
Việc thay đổi và chỉnh sửa thông tin kỹ thuật số được gọi là thao túng dữ liệu. Các tội phạm mạng sử dụng các phương thức tấn công đa dạng để xâm nhập mạng, giành quyền truy cập vào phần mềm hoặc ứng dụng và thay đổi dữ liệu. Bằng cách thao túng dữ liệu thay vì đánh cắp dữ liệu, tin tặc có thể thành công hơn và gây ra thiệt hại nghiêm trọng cho các tổ chức hoặc cá nhân. Đây là một cuộc tấn công mạng tinh vi vì có thể mất nhiều thời gian để người dùng nhận ra rằng dữ liệu nhạy cảm và bí mật của họ đã bị thay đổi và không thể thay đổi lại được chúng.
Giả mạo
Giả mạo là một hình thức tấn công mạng trong đó bọn tội phạm ngụy trang danh tính của chúng thành một mục tiêu uy tín để đánh cắp thông tin nhạy cảm hoặc tiền bạc. Các ngân hàng phải đối mặt với mối đe dọa liên tục về các cuộc tấn công giả mạo có thể gây hậu quả nghiêm trọng cho khách hàng và hoạt động của họ. Ngoài ra, cuộc tấn công trung gian đang ngày càng thu hút sự chú ý, trong đó tin tặc chặn liên lạc giữa khách hàng và ngân hàng để có quyền truy cập vào thông tin cá nhân, chuyển hướng thanh toán hoặc thậm chí thực hiện một cuộc tấn công từ chối dịch vụ. Vì vậy, Do đó, quan trọng là các ngân hàng phải luôn cảnh giác và thực hiện các biện pháp bảo vệ để tự bảo vệ khỏi những mối đe dọa này.
Ba yêu cầu tuân thủ tài chính phổ biến nhất liên quan đến an ninh mạng trong lĩnh vực ngân hàng
NIST
NIST đã trở thành tiêu chuẩn hàng đầu để đánh giá an ninh mạng, xác định lỗ hổng bảo mật và tuân thủ luật an ninh mạng, ngay cả khi việc tuân thủ là không bắt buộc. NIST phát triển 110 yêu cầu bao gồm các khía cạnh khác nhau của quy trình, chính sách và công nghệ trong mảng CNTT của doanh nghiệp. Các yêu cầu này đề cập đến việc kiểm soát truy cập, cấu hình hệ thống và phương thức xác thực. Ngoài ra, các giao thức ứng phó sự cố và an ninh mạng cũng được xác định. Việc đáp ứng tất cả những yêu cầu này đảm bảo rằng mạng lưới, hệ thống và nhân sự của doanh nghiệp đã được chuẩn bị hiệu quả để quản lý mọi thông tin không phân loại được kiểm soát (CUI) một cách an toàn.
GDPR
Quy định chung về bảo vệ thông tin (EU GDPR) là khung bảo mật được thiết kế để bảo mật dữ liệu cá nhân và quyền riêng tư của công dân thuộc khối EU khi thực hiện giao dịch giữa các nước thành viên EU. Bất kỳ công ty nào xử lý dữ liệu riêng tư của công dân EU, dù thủ công hay tự động, đều phải tuân thủ GDPR. Quy định này nêu bật một bộ nguyên tắc bảo mật dành cho bộ xử lý dữ liệu và bộ điều khiển dữ liệu để đảm bảo tính bảo mật của tất cả dữ liệu người dùng trong suốt vòng đời của nó.
ISO/IEC 27001
Tiêu chuẩn ISO/IEC 27001 được công nhận trên toàn cầu giúp giảm thiểu rủi ro bảo mật và bảo vệ hệ thống an toàn thông tin (ISMS). Đây là một tập hợp các chính sách và quy trình bảo mật được quốc tế công nhận, vô cùng cần thiết để bảo vệ các tài sản quan trọng nhất của tổ chức như thông tin cá nhân của khách hàng và nhân viên, hình ảnh thương hiệu và nhiều thông tin khác.
Vì đây là tiêu chuẩn quốc tế về an ninh mạng và bảo vệ dữ liệu, các tổ chức tài chính muốn đề xuất các giải pháp an ninh mạng vượt trội của mình cho các bên liên quan thì trước hết phải đạt được chứng nhận ISO/IEC 27001.
Lời kết
Đối với các ngân hàng lưu trữ lượng lớn dữ liệu cá nhân và danh sách giao dịch, các giải pháp và quy trình an ninh mạng là yếu tố quan trọng cần phải có. Các tổ chức tài chính cần chú ý hơn đến các rủi ro an ninh mạng cũng như lựa chọn được chiến lược thông minh để bảo vệ mình trước những cuộc tấn công an ninh mạng đang ngày càng trở nên tinh vi hơn./.
Nguồn tham khảo: Ph.D Ina Nikolova
Tổng hợp bởi nhóm tác giả DTSVN - Giải pháp chuyển đổi số ngành Tài chính - Ngân hàng.