1. Đặt vấn đề
 

Theo báo cáo của Allied Market Research, sự chuyển đổi kỹ thuật số trên toàn thế giới trong thị trường ngân hàng, dịch vụ tài chính và bảo hiểm (BFSI) được dự báo sẽ chứng kiến ​​tốc độ CAGR (tỷ lệ tăng trưởng kép hằng năm) là 15,4% từ năm 2020 - 2027, đạt 164,08 tỷ USD. Báo cáo cho biết thêm, nhu cầu ngày càng tăng đối với các dịch vụ kỹ thuật số để nâng cao trải nghiệm khách hàng cũng như nhu cầu cao hơn về các giải pháp công nghệ thông tin dành riêng cho các yêu cầu ngân hàng đang thúc đẩy thị trường (Oracle Corp, 2021). Tuy nhiên, trước sự phát triển ngày càng tinh vi và phức tạp của các loại tội phạm công nghệ, cuộc chiến bảo mật, an toàn thông tin không còn là cuộc chiến giữa con người và máy móc, mà là cuộc chiến giữa con người và con người. Tội phạm mạng và các tác nhân đe dọa tận dụng các nền tảng và công nghệ hiện có khi khởi động các cuộc tấn công của chúng. Việc các ngân hàng đẩy mạnh chuyển đổi kỹ thuật số tạo ra cơ hội cho tội phạm mạng tấn công. Với xu thế số hóa mạnh mẽ đó, phát triển ngân hàng số dường như là con đường tất yếu phải đi của các ngân hàng Việt Nam. Tuy nhiên, một trong  những thách thức không hề nhỏ khi chuyển đổi số ngân hàng, đó là vấn đề bảo mật. Song song, với việc ứng dụng công nghệ hiện đại thì các ngân hàng cần phải tăng tốc đối phó với các loại tội phạm công nghệ cao. Vấn đề an toàn, an ninh mạng, vấn đề bảo mật thông tin cần phải được đặt lên hàng đầu để đảm bảo tiến tới phát triển ngân hàng số bền vững.

 

2. Một số hạn chế của chuyển đổi kỹ thuật số
 

Chuyển đổi kỹ thuật số có nghĩa là mang lại cho nhân viên và khách hàng những gì họ muốn. Và họ muốn kết nối đa kênh, đa thiết bị, kết nối di động và mang theo thiết bị của riêng bạn (BYOD), thanh toán tức thì, truy cập tức thì vào dữ liệu cá nhân và các sản phẩm được điều chỉnh nhanh chóng theo yêu cầu cá nhân hoặc công ty của họ.
 

Chuyển đổi số trong ngân hàng là việc tích hợp số hóa và công nghệ số vào mọi lĩnh vực ngân hàng. Sự tích hợp này cho phép tạo mới hoặc sửa đổi các quy trình kinh doanh, văn hóa và trải nghiệm khách hàng hiện có, nhằm đáp ứng các yêu cầu thay đổi của thị trường và mong muốn của khách hàng. Chuyển đổi số giúp ngân hàng tiết kiệm chi phí và hợp lý hóa các quy trình hoạt động. Sự tích hợp này cũng mang lại trải nghiệm khách hàng dễ dàng và hấp dẫn hơn. Trong bối cảnh kinh tế số phát triển, lĩnh vực ngân hàng số trở thành định hướng tập trung nhằm tạo ra các dịch vụ mới và xây dựng nên lợi thế cạnh tranh đối với các ngân hàng. 
 

 

Tuy nhiên, bên cạnh những thuận lợi, hiệu quả trong việc đổi mới thì đó là những thách thức trong sự bùng nổ của nguy cơ không gian mạng. Bởi vì cuộc chạy đua số hóa là cuộc chạy đua để tăng bề mặt tấn công theo cấp số nhân. Đây có thể coi là một cuộc chiến phi đối xứng. Có thể không mất đồng nào để gây tê liệt một hệ thống ngân hàng, nhưng lại mất hàng tỷ đồng để bảo vệ nó, nơi mà những kẻ tấn công (hacker) có thể chỉ cần may mắn một lần, nhưng hàng thủ phải may mắn mọi lần. Điều này có nghĩa rằng, đã làm tốt bao nhiêu lần đi chăng nữa thì chỉ cần một lần sơ sẩy thôi là đã thua. Thêm các yếu tố nguy cơ và sự phụ thuộc vào một hệ thống phức tạp của tích hợp giữa các hệ thống cũ và mới hơn, siêu kết nối của Internet vạn vật (IoT) không thể đảm bảo an ninh cho các bên thứ ba, công nghiệp hóa gian lận và tội phạm mạng khác mà số hóa cho phép. Rõ ràng là, chuyển đổi kỹ thuật số không chỉ đơn giản kéo theo những rủi ro thương mại và cạnh tranh thông thường của một sáng kiến ​​chiến lược lớn. Nó chứa đựng một mối đe dọa hiện hữu, tiềm tàng ngay cả đối với những tổ chức lớn nhất và mạnh nhất.
 

Tấn công mạng bằng mã độc
 

Các ngân hàng là mục tiêu hàng đầu trong không gian mạng với lý do chủ yếu là vì tiền. Những tên tội phạm thông minh từ lâu đã từ bỏ súng và thuốc nổ làm công cụ lựa chọn của chúng, thay vào đó, bằng cách sử dụng các phần mềm độc hại do chúng thiết kế tấn công trực tiếp vào cơ sở hạ tầng tài chính hoặc thông qua lừa đảo khách hàng bán lẻ và bán buôn của ngân hàng để chiếm đoạt hàng tỷ USD.
 

Theo Europol: “Kể từ năm 2013, băng nhóm tội phạm mạng đã cố gắng tấn công các ngân hàng, hệ thống thanh toán điện tử và các tổ chức tài chính bằng cách sử dụng các phần mềm độc hại do chúng thiết kế, được gọi là Carbanak và Cobalt. Hoạt động tội phạm đã tấn công các ngân hàng ở hơn 40 quốc gia và dẫn đến thiệt hại tích lũy hơn 1 tỷ Euro cho ngành tài chính. Mức độ thiệt hại là rất lớn: Chỉ riêng phần mềm độc hại Cobalt đã cho phép bọn tội phạm đánh cắp tới 10 triệu Euro cho mỗi vụ trộm” (Simon Brady, 2018).
 

Môi trường thù địch
 

Các ngân hàng trở thành mục tiêu của tất cả các đối tượng, từ thanh, thiếu niên buồn chán đến các nhà độc tài cứng rắn và môi trường ngày càng trở nên thù địch hơn. Các ngân hàng không chỉ đơn giản là dễ bị tổn thương vì nhiều đối tượng muốn tấn công họ. Với quy mô và chức năng độc đáo của ngân hàng cũng mang lại cho những kẻ tấn công vô số cách xâm nhập.
 

Bên cạnh cuộc tấn công DDoS được thiết kế để phá vỡ dấu vết kỹ thuật số, không đánh cắp dữ liệu hoặc ẩn bên trong nó, đến nay, cách dễ nhất để tội phạm mạng tấn công và xâm nhập tổ chức là thông qua email bị nhiễm phần mềm độc hại. Theo thuật ngữ, đây là vector tấn công phổ biến nhất, với lý do chính đáng. 
 

Khách hàng là liên kết yếu nhất trong chuỗi an ninh mạng vì khách hàng có thể bị lừa tương đối dễ dàng khi mở email và nhấp vào tài liệu hoặc hình ảnh đính kèm có chứa mã độc, sau đó tải xuống phần mềm độc hại trên thiết bị.
 

Phần mềm độc hại đó làm gì tiếp theo phụ thuộc vào mục tiêu của tội phạm, nhưng phần lớn tội phạm mạng có động cơ kinh tế và cách dễ nhất để kiếm tiền từ một vụ vi phạm thành công là mã hóa dữ liệu có giá trị và yêu cầu tiền mặt để làm cho nó có thể sử dụng lại được (ransomware) hoặc để khám phá mạng trong tìm kiếm dữ liệu có thể được lấy ra và bán ở nơi khác.
 

Đây có thể là dữ liệu cá nhân, có thể được sử dụng để xâm nhập các trang web khác hoặc giành quyền truy cập vào thẻ tín dụng, tài khoản ngân hàng hoặc có thể là dữ liệu nhạy cảm về mặt thương mại.
 

Loại tấn công mạng này được gọi là lừa đảo và bất kỳ ai có tài khoản email đều dễ bị tấn công. Do đó, tấn công vào các tổ chức lớn với hàng nghìn nhân viên được kết nối 24/7 trên các mạng toàn cầu xu hướng ngày càng tăng. 
 

Nhưng điều đó chỉ có thể xảy ra, bởi vì các nhân viên ngân hàng đã bị nhắm mục tiêu bởi các email lừa đảo trực tuyến. Đây là những email có bề ngoài là từ một người gửi đáng tin cậy, thường chứa thông tin đã bị đánh cắp từ hộp thư của người nhận hoặc những người trong danh bạ của họ để điều chỉnh sự thu hút cho một nhiệm vụ hoặc giao dịch thực sự gần đây, điều này có thể cực kỳ khó phân biệt với thông tin liên lạc chính hãng. Trong trường hợp của tổ chức tội phạm mạng đa quốc gia Carbanak, loại email tinh vi này được dùng để lừa các nhân viên cung cấp quyền truy cập vào các hệ thống nội bộ mà họ cần.
 

Thông minh hơn là các gian lận email thậm chí không yêu cầu khai thác kỹ thuật. Lừa đảo thỏa hiệp email doanh nghiệp (BEC) liên quan đến các email có mục đích đến từ quản lý cấp cao, thường là giám đốc điều hành hoặc giám đốc tài chính, được gửi đến nhiều nhân viên tài chính cấp dưới hơn với hướng dẫn thực hiện các khoản thanh toán lớn từ doanh nghiệp liên quan đến sáp nhập và mua lại (M&A) hoặc hoạt động khác bị cáo buộc. Những kẻ lừa đảo thường dành nhiều tháng bên trong hệ thống công ty để nghiên cứu email của các công ty, phong cách viết của giám đốc điều hành, chi tiết về thủ tục tài chính và nhà cung cấp và bất kỳ thông tin nào chúng có thể đưa vào để làm cho email có vẻ xác thực. 
 

Ví dụ, vào năm 2018, ước tính gian lận tấn công email thương mại khiến doanh nghiệp trên toàn cầu thiệt hại 9 tỷ USD, theo nhà cung cấp bảo mật Trend Micro, ngoại suy từ dữ liệu của FBI (Cục Tình báo Liên bang Mỹ).
 

Thiệt hại về danh tiếng
 

Khả năng dễ bị tổn thương của các ngân hàng đối với lỗi của con người còn vượt ra ngoài nhân viên và khách hàng của họ. Tất nhiên, hầu hết các doanh nghiệp sợ mất dữ liệu khách hàng. Như những vi phạm từ TalkTalk, Yahoo đến Equifax đã cho thấy, thiệt hại về danh tiếng là rất lớn, các thương vụ M&A có thể bị định giá lại theo tỷ lệ lớn và ban lãnh đạo cấp cao có thể mất cả tiền và việc làm.
 

Bản thân các ngân hàng đã mất dữ liệu khách hàng do vi phạm. Ví dụ, vào năm 2014, một cuộc tấn công mạng vào JPMorgan đã xâm phạm dữ liệu liên quan đến hơn 83 triệu tài khoản. Gần đây hơn, vào tháng 7/2017, UniCredit đã tiết lộ một lỗ hổng dữ liệu ảnh hưởng đến 400.000 khách hàng. Đối với một số người, chẳng hạn như các tổ chức quản lý tài sản, mất dữ liệu khách hàng là một mối đe dọa hiện hữu.
 

Nhưng trách nhiệm pháp lý liên quan đến an ninh mạng của các ngân hàng vượt xa việc mất thông tin cá nhân mà tất cả các công ty lo sợ. Thực tế, rất ít công ty phải chịu áp lực, trả giá cho những sai lầm hoặc sự không may mắn của khách hàng khi trở thành nạn nhân của những kẻ tấn công mạng, bất chấp trách nhiệm pháp lý phải làm như vậy. Ví dụ, hãy xem sự phản đối kịch liệt gần đây về việc Santander từ chối hoạt động của Vương quốc Anh để chi trả chi phí cho cái gọi là gian lận chuyển nhượng, trong đó, các nạn nhân đang mua nhà bị lừa qua email để chuyển tiền mặt vào tài khoản ngân hàng của những kẻ lừa đảo. Chỉ riêng ở Anh, gần 101 triệu bảng Anh đã bị đánh cắp từ tháng 01 - 6/2020 thông qua hình thức tấn công này. Vì các giao dịch chuyển tiền này được thực hiện bởi các chủ tài khoản sử dụng dữ liệu nhận dạng và xác thực chính xác của họ, các ngân hàng không chịu trách nhiệm pháp lý. Tuy nhiên, một số ngân hàng bao gồm cả ngân hàng CaixaBank của Tây Ban Nha đã nhận ra rằng, các vấn đề về uy tín của việc tuân thủ luật lệ là rất lớn nên họ hoàn lại tiền cho những khách hàng đã bị lừa theo cách này. Vào tháng 11/2017, Cơ quan quản lý tài chính của Vương quốc Anh (FCA) và Cơ quan quản lý hệ thống thanh toán đã thông báo rằng, họ sẽ tìm cách để đảm bảo khách hàng được hoàn lại tiền.
 

Sự phức tạp trong việc bảo vệ khách hàng, cũng như đảm bảo kết nối ngân hàng được an toàn, bên cạnh nhu cầu bảo mật cho các nhân viên và công nghệ sử dụng trong hệ thống ngân hàng, tạo ra một vấn đề lớn về an ninh mạng, không chỉ là về con người. Như Carbanak đã chỉ ra, việc xâm phạm công nghệ ngân hàng có thể tạo ra tổn thất lớn cho các ngân hàng và lợi nhuận cho tội phạm mạng (Simon Brady, 2018).
 

Cổng mới
 

Chuyển đổi kỹ thuật số được ví là xăng cho ngọn lửa. Đối với ngân hàng truyền thống chuyển sang mô hình ngân hàng di động, trong đó, khách hàng sử dụng ứng dụng để thực hiện mọi thứ, từ thanh toán đến so sánh các lựa chọn thế chấp. 
 

Ngân hàng cung cấp trực tiếp một số dịch vụ ngân hàng thông thường, thay vào đó kiếm hoa hồng từ việc kết nối người dùng của họ với các nhà cung cấp khác. Điều này tạo ra hàng nghìn điểm cuối mạng mới, mỗi điểm là một cổng tiềm năng vào hệ thống của ngân hàng. Ngân hàng nhận thức rõ về các tác động bảo mật, nhưng ví dụ này là một minh họa khác về cách số hóa đang tạo ra một bề mặt tấn công mới rộng lớn mà tội phạm có thể hoạt động. Một mô hình tự nó tạo ra bề mặt tấn công tiềm năng cho bọn tội phạm.
 

Một danh sách dài các tổ chức tài chính có trang web bị sao chép bởi những kẻ tấn công đang cố gắng lừa khách hàng nhập các chi tiết xác thực chính của họ vào một trang web giả mạo, để sau đó tin tặc có thể truy cập vào tài khoản thực của họ và làm trống chúng. Tất cả những gì khách hàng cần là nhấp vào một email dường như đến từ ngân hàng với thông báo chẳng hạn như tài khoản của họ đã bị xâm phạm và họ cần đăng nhập để kích hoạt lại nó và từ đó, cuộc tấn công đã được thực hiện. Hoặc họ có thể nhấp vào biểu tượng ngân hàng có trên trang web của bên thứ ba nhân bản của một sự kiện thể thao mà họ đã tài trợ - một trang web mà họ không tham gia phát triển. 
 

Những tên tội phạm ngày càng tinh vi sử dụng các kỹ thuật ngày càng bí mật khó bị phát hiện hơn. Quay trở lại những ngày đầu của tội phạm mạng, Trojan ngân hàng cải trang thành một ứng dụng hoặc phần mềm chính hãng, khi tải về nó sẽ tự tìm cách truy cập và lấy cắp thông tin. Đây là những phần mềm giả mạo, là các ứng dụng hợp pháp, nằm trên hệ thống của người dùng, có được đặc quyền của quản trị viên và sau đó có thể xóa, sửa đổi hoặc sao chép dữ liệu. Chúng có thể tạo quyền truy cập cửa hậu vào hệ thống, ngụy trang hành động của các phần mềm độc hại khác và lợi dụng các lỗ hổng trong phần mềm chạy trên PC hoặc điện thoại. 

 

3. Tính bảo mật - chìa khóa cho chuyển đổi số ngân hàng thành công
 

Khách hàng và nhà đầu tư mong đợi phía ngân hàng cung cấp các dịch vụ hàng đầu, được cá nhân hóa một cách nhanh chóng và họ yêu cầu ngân hàng phải chịu trách nhiệm về bảo mật. Việc tiếp tục đầu tư vào con người, quy trình và công nghệ để giữ cho hệ thống an toàn và cho phép khách hàng trải nghiệm không bị gián đoạn là yêu cầu cấp thiết.
 

Một nghiên cứu thực nghiệm của Filotto và cộng sự (2021) cũng chỉ ra rằng, tính thân thiện với người dùng và tính bảo mật mới tạo ra lợi thế cho các ngân hàng trong cuộc chạy đua “kỹ thuật số”.
 

Các sự cố thường gặp như dữ liệu không được mã hóa, phần mềm độc hại, dịch vụ bên thứ ba không an toàn, dữ liệu bị thay đổi trái phép, tấn công giả mạo… Đặc biệt, xu hướng tấn công chủ đích (APT) ngày càng gia tăng số lượng và mức độ tinh vi.

An toàn thông tin là yếu tố then chốt và xuyên suốt, bảo đảm an toàn thông tin phải theo mô hình quản lý rủi ro. Việc bảo vệ hệ thống thông tin theo quy định đã được nêu rõ tại Luật An toàn thông tin mạng, có hiệu lực từ ngày 01/7/2016 và các nghị định, thông tư hướng dẫn. Tuy nhiên, thực tế bối cảnh hiện nay đã khác và đòi hỏi các tổ chức, doanh nghiệp Việt Nam, trong đó, các ngân hàng Việt Nam cần phải đẩy mạnh và nâng cao hơn nữa việc an toàn thông tin mạng, đảm bảo an ninh mạng.
 

Thực trạng an toàn bảo mật thông tin tại các ngân hàng Việt Nam
 

Theo số liệu thống kê của Hiệp hội An toàn thông tin Việt Nam (VNISA), năm 2018, các tổ chức tín dụng và ngân hàng đạt chỉ số an toàn thông tin là 57,5%, thấp so với yêu cầu về an toàn thông tin mạng đặt ra. Năm 2019, 2020 Ngân hàng Nhà nước Việt Nam là một trong những bộ, ngành vươn lên xếp loại A về đảm bảo an toàn thông tin mạng. Xếp hạng an toàn bảo mật thông tin các quốc gia trên thế giới, Việt Nam xếp thứ 100 năm 2017; xếp thứ 50 năm 2018 và vươn lên xếp hạng 25/194 quốc gia. Đây là bước phát triển vượt bậc của lĩnh vực an toàn, an ninh mạng của Việt Nam. Tuy nhiên, tại Việt Nam, hành lang pháp lý cho vấn đề này còn chưa hoàn thiện, khuôn khổ pháp lý còn chậm được sửa đổi, bổ sung cho phù hợp với bối cảnh và tình hình mới, đã và đang tiềm ẩn nhiều nguy cơ rủi ro. Bảo mật thông tin cá nhân vẫn chưa được coi trọng bởi chính người dùng Internet tại Việt Nam. (Nguyễn Thị Thái Hưng, 2020).
 

Một số giải pháp nâng cao bảo mật trong thời đại số
 

Những giải pháp chủ yếu để bảo đảm an toàn thông tin trong quá trình chuyển đổi số gồm: 
 

Thứ nhất, về kỹ thuật, công nghệ 
 

Đầu tư nâng cấp hệ thống hạ tầng bảo mật đảm bảo mức độ an toàn cao nhất, trong trường hợp, khi hệ thống máy chủ của ngân hàng bị tấn công, hạn chế tối đa sự ảnh hưởng đến người dùng thông qua những hệ thống dự phòng dữ liệu hay cơ chế đối chiếu dữ liệu để khôi phục dữ liệu khi xảy ra sự cố. 
 

Cần phân tách các vùng mạng và có phương án bảo vệ riêng cho mỗi vùng mạng, thiết lập và bảo vệ các kết nối VPN, thiết lập các hệ thống phòng, chống xâm nhập cho các vùng thông tin, xác thực mạnh và chữ ký số để bảo đảm giao dịch trực tuyến, duy trì giám sát, kiểm tra, phát hiện các lỗ hổng trong ứng dụng phát triển.
 

Tiếp tục áp dụng một số hàng rào kỹ thuật để bảo đảm giảm tổn thất của người dùng trong trường hợp bị lừa đảo (chẳng hạn như quy định hạn mức chuyển tiền một lần, hạn mức chuyển tiền liên ngân hàng...). Ngay cả trong hệ thống ngân hàng chuyển tiền giữa các ngân hàng với nhau cũng cần có quy định giới hạn chuyển từng lần, từng ngày...
 

Thứ hai, xây dựng đội ngũ nhân lực chất lượng
 

Cần nâng cao nhận thức cho nhân viên, người dùng, bộ phận chuyên trách về an toàn thông tin, đào tạo, huấn luyện đội ngũ chuyên trách về an toàn thông tin, diễn tập thường xuyên về an toàn thông tin.
 

Có đội ngũ nhân lực trình độ cao đáp ứng yêu cầu kỹ thuật để vận hành giải pháp một cách hiệu quả. Có những chính sách đào tạo nhân viên, cử nhân viên đi tu nghiệp, liên kết với các cơ sở đào tạo nước ngoài và các ngân hàng nước ngoài để học hỏi kinh nghiệm. Ví dụ, cử nhân viên tiếp cận triển khai áp dụng An toàn thông tin theo các tiêu chuẩn quốc tế như hệ thống quản lý an toàn bảo mật thông tin theo tiêu chuẩn ISO 27001, áp dụng tiêu chuẩn an ninh dữ liệu thẻ PCI DSS, áp dụng “Khung tiêu chuẩn bảo mật khách hàng - Customer Security Framework” của SWIFT với các yêu cầu liên quan đến sự an toàn của khách hàng trong các giao dịch.
 

Thứ ba, tương tác với khách hàng và đưa ra các lời cảnh báo bảo mật
 

Khuyến cáo khách hàng chủ động bảo vệ thiết bị cá nhân và thay đổi thường xuyên mật khẩu truy cập dịch vụ, email cá nhân và chỉ thực hiện đăng nhập trên website chính thức của ngân hàng và mua sắm, thanh toán trực tuyến tại các trang mạng uy tín, giữ bí mật tuyệt đối, bảo mật mã OTP, không cung cấp cho bất kỳ ai và bằng bất cứ hình thức nào như nhắn tin, trả lời điện thoại… không dùng tính năng ghi nhớ mật khẩu tại các trình duyệt; không truy cập các website lạ; không click vào đường link lạ được gửi qua tin nhắn, qua thư điện tử không rõ nguồn gốc, qua mạng xã hội…

 

4. Kết luận
 

ThS.  Nguyễn Thu Hiền