Chuyên gia bảo mật CMC lo ngại vấn đề an toàn thông tin trong lĩnh vực ngân hàng

Tại Hội thảo “Tiêu chuẩn về An toàn thông tin trong lĩnh vực Ngân hàng” mới đây với sự tham gia của Bộ TT&TT, Bộ công an, Bộ Quốc phòng, Ngân hàng Nhà nước với mục đích trao đổi, thảo luận, định hướng về công tác bảo đảm an toàn thông tin trong lĩnh vực ngân hàng và chia sẻ thông tin về tiêu chuẩn, giải pháp, từng bước hình thành các nhóm chia sẻ thông tin, phối hợp hành động. Hội thảo đã thu hút hơn 150 khách tham dự đến từ hơn 40 ngân hàng TMCP tại Việt Nam, các đơn vị thanh toán trực tuyến và các doanh nghiệp ICT khác như tập đoàn CMC, tập đoàn NTT Data Thailand,…

Cuộc cách mạng công nghiệp lần thứ 4 đang diễn ra tại nhiều nước phát triển, mang đến cơ hội thay đổi bộ mặt các nền kinh tế. Hệ thống ngân hàng theo đó cũng có bước phát triển cả về quy mô tài sản, nguồn vốn và mạng lưới. Đặc biệt, việc chuyển dịch sang ngân hàng số một mặt giúp các ngân hàng cung cấp dịch vụ hiện đại, tiện ích cho khách hàng, nhưng mặt khác các ngân hàng cũng phải đối mặt với nhiều rủi ro về an ninh công nghệ, bảo mật thông tin bao gồm các nguy cơ đến từ việc gian lận tài chính, tấn công có chủ đích, thất thoát dữ liệu quan trọng hoặc lây nhiễm mã độc.

Tại hội thảo, các diễn giả đại diện từ Cục Công nghệ thông tin của Ngân hàng Nhà nước,  Cục An toàn thông tin của Bộ TT&TT, Tập đoàn NTT- Data Thailand và Tập đoàn Công nghệ CMC đã có những trao đổi, thảo luận, định hướng về công tác bảo đảm an toàn thông tin trong lĩnh vực ngân hàng và chia sẻ thông tin về tiêu chuẩn, giải pháp, từng bước hình thành các nhóm chia sẻ thông tin và phối hợp hành động.

Tại hội thảo này, đại diện Công ty CMC InfoSec kết hợp cùng hãng bảo mật ECQ Thái Lan đã mang đến hội thảo bài tham luận: “Tiêu chuẩn an toàn thông tin và các nguy cơ mất an toàn thông tin trong ngành ngân hàng dưới góc nhìn của các chuyên gia bảo mật”. Xoay quanh việc đánh giá về tình hình áp dụng và các vấn đề thực tế khi áp dụng các tiêu chuẩn an toàn thông tin tại các ngân hàng ở Việt Nam và Thái Lan, ông Hà Thế Phương, Phó Tổng Giám đốc Công ty CMC InfoSec đã đưa ra các giải pháp để kết hợp các tiêu chuẩn cùng các biện pháp để bảo mật tốt hơn cho hệ thống ngân hàng tại Việt Nam.

Theo ông Phương một số vấn đề về an toàn thông tin tại các ngân hàng Việt có thể kể đến như: “Hiện nay, một số dự án đầu tư vào bảo mật vẫn đang tập trung vào mua sắm thiết bị, chưa đầu tư vào nhân sự và đào tạo, đồng thời việc đầu tư này còn khá manh mún chưa có chiến lược dài hạn, nhân sự quản lý về CNTT còn thiếu các chứng chỉ cần thiết về bảo mật”. Bên cạnh đó, theo chuyên gia đến từ CMC InfoSec vấn đề tấn công APT đối với khối ngân hàng cũng là một vấn đề đáng chú ý.

Tại Việt Nam, CMC InfoSec là doanh nghiệp thứ 2 được quyền đánh giá và cấp chứng chỉ bảo mật thẻ theo tiêu chuẩn thế giới PCI DSS. Đây là tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý bởi 05 tổ chức thanh toán quốc tế như Visa, MasterCard, American Express, Discover và JCB.

Ông Hà Thế Phương, cho biết: “Việc áp dụng tiêu chuẩn PCI DSS sẽ hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép; hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ.”

Trước bối cảnh tình hình  an toàn thông tin diễn biến ngày càng phức tạp, những nội dung thông tin và góc nhìn thực tiễn được các lãnh đạo cũng như các chuyên gia đưa ra đàm luận tại Hội thảo  hy vọng sẽ giúp các  ngân hàng, đơn vị cung cấp cổng thanh toán, tổ chức tài chính…nhận thức rõ ràng hơn về vấn đề an toàn thông tin, qua đó sớm xây dựng những biện pháp phối hợp với các công ty bảo mật chống lại các mối đe dọa, các cuộc tấn công mạng trong hệ thống của mình.

Theo ông Hà Thế Phương, việc đảm bảo an toàn thông tin cho hệ thống CNTT giống như việc khám sức khỏe định kỳ của con người để từ đó có thể có các biện pháp “phòng bệnh” kịp thời hay vì chờ “chữa bệnh” khi có sự cố.

Cụ thể, ông Phương cho rằng, khám sức khỏe định kỳ hàng năm là việc ai cũng khuyên và tất cả mọi người đều đồng ý nhưng không phải ai cũng làm. Khi có dấu hiệu của bệnh thì người ta mới đến bệnh viện để chữa bệnh nhưng rất ít người đầu tư vào phòng bệnh. Việc đảm bảo an ninh bảo mật cũng tương tự, khi xảy ra sự cố thì các chủ doanh nghiệp mới tìm đến các công ty bảo mật tư nhân hoặc các đơn vị chuyên trách về bảo mật của Chính phủ PC50 hay Cục An toàn thông tin.

Tuy nhiên, ông Phương khẳng định, việc đầu tư vào các giải pháp và dịch vụ “khám bệnh” cho hệ thống CNTT là rất ít, thậm chí nhiều công ty lớn còn không có bộ phận bảo mật riêng. “Việc đầu tư vào an toàn bảo mật ở Việt Nam hiện chuyên về mua bán các giải pháp bảo mật, chưa có sự đầu tư tương xứng vào con người và các quy trình để bảo vệ hệ thống của họ”, ông Phương nói.