Theo khảo sát của Ngân hàng Thanh toán quốc tế (BIS), ước tính của các ngân hàng trung ương (NHTW) về tổn thất tiềm năng từ các cuộc tấn công mạng vào hệ thống tài chính có thể lên tới 5% GDP. Sự cần thiết phải đối phó với những rủi ro ngày càng tăng của các mối đe dọa an ninh mạng đã dẫn đến sự gia tăng đáng kể ngân sách của các NHTW dành cho công nghệ thông tin (CNTT).
Năm 2021, Tập đoàn nghiên cứu thị trường Ipsos khảo sát khoảng 3.500 chuyên gia của Tập đoàn bảo hiểm đa quốc gia AXA, những người làm việc tại 60 quốc gia trên thế giới. Kết quả cho thấy, có tới 61% trong số người được khảo sát đưa rủi ro liên quan đến an ninh mạng vào top 3 rủi ro hàng đầu sẽ ảnh hưởng đến xã hội trong 5-10 năm tới. Năm 2018, tỉ lệ này là 54%. Trong “xếp hạng tổng thể”, rủi ro an ninh mạng vượt xa đại dịch Covid-19 và các bệnh truyền nhiễm, chỉ “chịu thua” trước những rủi ro liên quan đến biến đổi khí hậu (AXA Futures Risks Report, 2021). Các rủi ro an ninh mạng tiếp tục gia tăng khi các đợt phong tỏa do đại dịch Covid-19 đã đẩy nhanh quá trình số hóa các hoạt động. Các tổ chức tài chính và cơ sở hạ tầng thị trường tài chính nằm trong một khu vực rủi ro đặc biệt, các chuyên gia của BIS lưu ý khi đánh giá rủi ro an ninh mạng của NHTW; mặt khác, sự phát triển của thị trường tiền mã hóa còn làm tăng khả năng xảy ra tội phạm mạng trong khu vực tài chính theo nghĩa rộng, bao gồm các tổ chức tài chính truyền thống.
Một cuộc khảo sát do BIS thực hiện cho thấy, các NHTW rất lưu ý tới sự gia tăng rủi ro an ninh mạng. Theo đó, các NHTW đang xây dựng các chiến lược để phòng, chống các cuộc tấn công mạng và tăng đáng kể ngân sách cho mục đích này. Cuộc khảo sát với sự tham gia của 21 chuyên gia từ Global Cyber Resilience Group, một nhóm gồm các giám đốc phụ trách an toàn thông tin từ 9 đại diện của NHTW các nước phát triển và 12 đại diện từ NHTW các nước đang phát triển (Sebastian Doerr et al., 2022).
Thuật ngữ "rủi ro an ninh mạng" bao gồm nhiều loại rủi ro liên quan đến sự cố an ninh mạng và hack hệ thống CNTT; đồng thời, bao gồm cả các cuộc tấn công có chủ ý vào cơ sở hạ tầng CNTT và các sự cố không cố ý. Các chuyên gia châu Âu ước tính rằng các cuộc tấn công mạng chiếm 40% các sự cố mạng. BIS nhấn mạnh, có ba loại tấn công mạng: (i) Lừa đảo; (ii) Tấn công chuỗi cung ứng (lây nhiễm phần mềm trước khi phân phối cho người dùng); (iii) Phần mềm độc hại tống tiền, loại sự cố thứ hai đã tăng gấp ba lần chỉ trong năm 2021.
Động cơ của các cuộc tấn công mạng có thể là mong muốn kiếm tiền (tống tiền, gián điệp công nghiệp...), mục tiêu địa chính trị (các cuộc tấn công do nhà nước bảo trợ vào cơ sở hạ tầng quan trọng) hoặc sự bất mãn chung và mong muốn thúc đẩy các ý tưởng mang động cơ chính trị.
Rủi ro của các cuộc tấn công mạng đang gia tăng trong bối cảnh ứng dụng rộng rãi các công nghệ điện toán đám mây, vì điều này dẫn đến việc mở rộng "vành đai bảo mật" ra ngoài mạng công ty - xu hướng này đặc biệt gia tăng do quá trình chuyển đổi ồ ạt sang làm việc từ xa trong bối cảnh đại dịch Covid-19.
Nguồn: Sebastian Doerr et al. (2022). Cyber risk in central banking, BIS Working Papers No 1039
Ở các NHTW, lừa đảo và các hình thức tấn công xã hội khác được coi là hình thức tấn công phổ biến nhất. Ở các nước phát triển, NHTW quan tâm đến những cuộc tấn công vào chuỗi cung ứng hơn ở các nước đang phát triển và tổn thất liên quan đến chúng được cho là nhiều hơn. Đồng thời, theo đại diện của các NHTW, các cuộc tấn công liên quan đến việc sử dụng phần mềm độc hại có tổn thất lớn nhất (Biểu đồ 1). Thậm chí ngoài những tổn thất tài chính trực tiếp từ các cuộc tấn công mạng, các NHTW còn lo ngại về các rủi ro hoạt động và rủi ro danh tiếng liên quan đến các cuộc tấn công mạng, ảnh hưởng đến uy tín của NHTW và các hệ thống thanh toán.
Các NHTW từ các nước phát triển và đang phát triển có quan điểm hơi khác nhau về chủ thể chính của các cuộc tấn công mạng. NHTW ở các nước phát triển đổ lỗi cho tội phạm có tổ chức và các nhóm do nhà nước bảo trợ là thủ phạm chính; còn các nước đang phát triển thì xem tội phạm có tổ chức và các nhà hoạt động xã hội - chính trị (những người hoặc nhóm người thực hiện các hành động xã hội hay chính trị bằng cách đột nhập và phá hoại hệ thống máy tính) là những chủ thể tấn công mạng chủ yếu. Thật thú vị khi chỉ có một NHTW từ các nước đang phát triển cho rằng các chủ thể nội bộ có thể gây ra mối đe dọa, trong khi một phần ba số người được khảo sát từ các NHTW của các nước phát triển nghĩ như vậy (Biểu đồ 1). Các mối đe dọa nội bộ có thể được coi là nhỏ, nhưng không nên đánh giá thấp tầm quan trọng của chúng.
Tổn thất vì tấn công mạng
Theo một phân tích dựa trên hơn 100.000 sự cố rủi ro an ninh mạng, trong giai đoạn 2002 - 2019, các công ty tổn thất cho mỗi sự cố trung bình là 2,6 triệu USD (Aldasaro I. et al., 2020). Vào năm 2021, một cuộc tấn công mạng vào Colonial Pipeline, hệ thống đường ống lớn nhất của Hoa Kỳ, đã khiến nó phải ngừng hoạt động, gây ra tình trạng thiếu hụt và giá nhiên liệu trong nước tăng vọt, công ty buộc phải trả khoảng 5 triệu USD cho tin tặc; do cuộc tấn công mạng vào mạng lưới các nhà máy của JBS - một trong những công ty chế biến thịt lớn nhất thế giới - đã ngừng hoạt động.
Trong lĩnh vực tài chính, các cuộc tấn công mạng phổ biến hơn sáu lần so với các lĩnh vực khác, nhưng chi phí trung bình lại thấp hơn, ở mức 1,7 triệu USD, điều này dường như là nhờ có sự quản lí và giám sát chặt chẽ hơn. Lĩnh vực tài chính thường xuyên bị ảnh hưởng bởi gian lận, chiếm hơn 60% trong tất cả các sự cố so với 49% theo mẫu khảo sát các công ty thuộc tất cả các lĩnh vực. Đối với các ngân hàng, rủi ro an ninh mạng chỉ chiếm 0,2% trong tổng số tổn thất hoạt động, nhưng tần suất xuất hiện những rủi ro này ngày càng tăng và tỉ lệ thu nhập của ngân hàng có thể bị ảnh hưởng bởi rủi ro an ninh mạng ước tính vào khoảng 0,2-4,2% (Aldasaro I. et al., 2020).
Các NHTW lưu ý rằng, tổn thất tiềm ẩn từ các cuộc tấn công nghiêm trọng mang tính hệ thống vào cơ sở hạ tầng tài chính có thể rất lớn: Con số tổn thất thông thường được đề cập ở mức 5% GDP hằng năm, nhưng một số NHTW ở các nước đang phát triển đưa ra ước tính trên 10% GDP. Hơn nữa, những thiệt hại từ các cuộc tấn công mạng đã xảy ra đối với lĩnh vực tài chính trong giai đoạn 2020 - 2021 đã tăng lên: Thông thường, mức tăng này được ước tính trong khoảng 20%, nhưng gần 1/3 NHTW ở các nước phát triển tin rằng nó vượt quá 20% (Sebastian Doerr et al., 2022).
Bảo vệ trước mối đe dọa an ninh mạng
Hầu hết các NHTW được khảo sát đang tăng ngân sách CNTT để đối phó với sự gia tăng các mối đe dọa an ninh mạng. Hơn 60% NHTW ở các nước phát triển và khoảng 50% ở các nước đang phát triển đã tăng ngân sách cho cơ sở hạ tầng CNTT lên 5-20% và khoảng 1/4 NHTW ở các nước đang phát triển đã tăng ngân sách hơn 20% (Biểu đồ 2). Danh mục các nhiệm vụ ưu tiên bao gồm tạo và duy trì các giao thức bảo mật, đảm bảo tính liên tục của các quy trình kinh doanh, đào tạo cán bộ và thuê nhân viên mới với các kỹ năng cần thiết. Đồng thời, BIS cũng chỉ ra các khó khăn trong việc tìm đủ số lượng nhân viên có trình độ chuyên môn cao: “Hầu hết các NHTW gặp khó khăn trong việc thuê, giữ chân và liên tục đào tạo lại nguồn nhân lực của họ do nguồn cung lao động hạn chế, chi phí cao và môi trường công nghệ thay đổi nhanh chóng”. Một cuộc khảo sát năm 2020 đối với các chuyên gia an ninh mạng do Enterprise Strategy Group và ISSA thực hiện cho thấy, 70% số người được hỏi tin rằng các tổ chức của họ đang thiếu hụt kĩ năng an ninh mạng toàn cầu, với gần một nửa cho biết tình trạng thiếu hụt chỉ trở nên tồi tệ hơn trong những năm gần đây và chỉ 7% ước tính rằng tình hình đã được cải thiện (Jon Oltsik et al., 2020).
Nguồn: Sebastian Doerr et al. (2022). Cyber risk in central banking, BIS Working Papers No 1039
Ngân sách bổ sung cho an ninh mạng sẽ phải được tăng lên trong trường hợp đưa vào lưu hành các loại tiền kĩ thuật số của NHTW (CBDC), vì điều này sẽ tăng tính phức tạp và đòi hỏi hoàn thiện cơ sở hạ tầng CNTT hiện có (Biểu đồ 3).
Nguồn: Sebastian Doerr et al. (2022). Cyber risk in central banking, BIS Working Papers No 1039
Tất cả các NHTW được khảo sát đều xây dựng kế hoạch hành động trong trường hợp bị tấn công. Ngoài ra, khoảng 80% xây dựng chiến lược trong trường hợp hệ thống tài chính bị tấn công. Trong số các NHTW được khảo sát, tất cả đều tiến hành các đợt diễn tập nội bộ để mô phỏng các cuộc tấn công mạng ít nhất mỗi năm một lần, bao gồm các kịch bản tấn công vào hệ thống của chính NHTW, cũng như sự cố ngừng hoạt động của hệ thống thanh toán hoặc cơ sở hạ tầng thị trường tài chính quan trọng khác.
Tại hầu hết các nước, đặc biệt là nước đang phát triển, NHTW đã ban hành khung quản lý rủi ro an ninh mạng hoặc đang có kế hoạch giới thiệu một khuôn khổ như vậy, nhưng việc kiểm tra sức chịu đựng thường xuyên đối với các công ty tài chính vẫn chưa trở thành một thông lệ phổ biến. Cho đến nay, chỉ có 1/3 NHTW ở các nước phát triển và 15% ở các nước đang phát triển tiến hành các kiểm tra này (Sebastian Doerr et al., 2022). Kết quả khảo sát cho thấy, hơn một nửa số NHTW tin rằng các khoản đầu tư vào an ninh mạng trong lĩnh vực tài chính là không đủ trong những năm gần đây. Ngoài ra, đại diện của các NHTW đồng tình rằng, thị trường bảo hiểm vẫn chưa thể đánh giá và bù đắp rủi ro an ninh mạng một cách hiệu quả.
Hầu hết các NHTW ở các nước đang phát triển đều có hệ thống thu thập thông tin về các cuộc tấn công mạng nhằm vào các tổ chức tài chính, nhưng ở các nước phát triển, chỉ một nửa số người được hỏi báo cáo việc này. Một thực trạng tương tự như vậy khi đề cập đến việc liệu các tổ chức được giám sát có bắt buộc phải báo cáo các tổn thất liên quan đến các cuộc tấn công mạng cho người giám sát hay không. Ở hầu hết các nước đang phát triển, các định chế chịu sự giám sát của NHTW được yêu cầu báo cáo các khoản tổn thất liên quan đến rủi ro an ninh mạng, trong khi chỉ có 2/3 NHTW ở các nước phát triển đưa ra yêu cầu như vậy. Những câu trả lời này phù hợp với sự thay đổi chung trong thực tiễn an ninh mạng của các NHTW, đó là, sự dịch chuyển từ trọng tâm dựa trên tuân thủ sang quản lí rủi ro và khả năng phục hồi. Khả năng phục hồi không gian mạng (Cyber resilience), trong bối cảnh này, có thể được định nghĩa là khả năng của một NHTW/cơ quan quản lí tiền tệ có thể tiếp tục thực hiện sứ mệnh của mình bằng cách đánh giá và thích ứng với các mối đe dọa an ninh mạng và những thay đổi có liên quan khác trong môi trường cũng như bằng cách chống đỡ, ngăn chặn và phục hồi nhanh chóng sau các sự cố mạng không vượt quá giới hạn hoạt động của tổ chức. Qua một số khảo sát tại các NHTW, những người tiến hành khảo sát nhận thấy, hiện nay, có ba xu hướng đang nổi lên, đó là:
Thứ nhất, phương pháp tiếp cận dựa trên rủi ro và tập trung vào các ưu tiên được áp dụng nhiều hơn. Các cách tiếp cận trước đây tập trung vào việc tuân thủ toàn diện các tiêu chuẩn kiểm toán hoặc liên tục bổ sung các công cụ công nghệ mới. Phương pháp tiếp cận dựa trên rủi ro neo các bộ điều khiển chủ chốt vào các kịch bản tấn công thực tế. Độ bền thường được kiểm tra bằng cách sử dụng các cuộc tấn công mô phỏng nhiều lớp, nhiều tầng với quy mô toàn diện.
Thứ hai, quản lí an ninh mạng ngày càng được tích hợp vào các khuôn khổ quản lí rủi ro doanh nghiệp. Các lợi ích bao gồm thể hiện tốt hơn khẩu vị rủi ro, ưu tiên giữa các loại rủi ro và quan trọng là được thừa nhận tốt hơn về trách nhiệm giải trình ở tuyến đầu trong quản lí mức độ rủi ro an ninh mạng của các quy trình kinh doanh.
Thứ ba, an ninh mạng chuyển sang khả năng phục hồi không gian mạng. Khái niệm khẩu vị rủi ro chấp nhận rằng rủi ro bằng không không tồn tại. Do đó, trọng tâm đang chuyển sang khả năng tổ chức đánh giá và phòng, chống các cuộc tấn công, cũng như tiếp tục duy trì các hoạt động quan trọng của tổ chức trong các giai đoạn ứng phó và phục hồi. Do đó, ưu tiên dành cho các quy trình phục hồi và ứng phó như quản lí sự cố hay quản lí khủng hoảng.
Tài liệu tham khảo:
1. Aldasaro I. et al. (2020). Cyber risk in the financial sector. SUERF Policy Note, Issue No 206.
2. Ipsos (2021). AXA Futures Risks Report 2021.
3. Jon Oltsik et al. (2020). The Life and Times of Cubersecurity Professionals 2020. ESG Research Report.
4. Sebastian Doerr et al. (2022). Cyber risk in central banking. BIS Working Papers No 1039.
Nhật Trung
Trường Đại học Hòa Bình