Những năm gần đây, hàng loạt các vụ tấn công mạng nhằm vào các ngân hàng, tổ chức tài chính tại Việt Nam đã xảy ra và có xu hướng gia tăng mạnh mẽ hơn. Gần đây nhất, ngày 21/11, thông tin của khoảng 2 triệu khách hàng của một ngân hàng tại Việt Nam đã bị chia sẻ miễn phí trên diễn đàn quốc tế dành cho hacker chuyên về chia sẻ dữ liệu.
Trong chia sẻ tại Diễn đàn an toàn, an ninh thông tin trên không gian mạng 2019 vừa được tổ chức hôm qua, ngày 27/11 tại TP.HCM, các chuyên gia đều nhận định rằng, hoạt động tấn công mạng nhằm vào các cơ sở hạ tầng thông tin trọng yếu của các tổ chức, tập đoàn kinh tế, tài chính tiếp tục diễn biến phức tạp với tính chất, mức độ ngày càng phức tạp, nguy hiểm. Theo Phó Cục trưởng Cục An toàn thông tin (Bộ TT&TT) Nguyễn Trọng Đường, ngân hàng đang là một trong những đích ngắm thường xuyên của tội phạm mạng.
Để làm rõ hơn về thực trạng công tác đảm bảo an toàn thông tin (ATTT) của đơn vị, doanh nghiệp hoạt động trong lĩnh vực ngân hàng, tài chính, ICTnews vừa có cuộc trao đổi với ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security.
Ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security. |
Từ thực tế hỗ trợ các cơ quan, đơn vị, doanh nghiệp thời gian qua, ông đánh giá thế nào về đầu tư cũng như nhận thức, năng lực đảm bảo ATTT của các ngân hàng, tổ chức tài chính?
Trong bối cảnh thị trường ATTT trong nước còn mới và Việt Nam vẫn còn ít các chính sách, tiêu chuẩn đảm bảo ATTT ngành, các ngân hàng và tổ chức tài chính lớn nhờ có cơ hội hòa nhập thị trường quốc tế sớm hơn nên đã đầu tư để bảo đảm an toàn hệ thống của mình theo các tiêu chuẩn của quốc tế.
Tuy nhiên, việc đầu tư sẽ rất khác nhau đối với từng ngân hàng: có ngân hàng đầu tư dài hạn và xây dựng đội ngũ chuyên gia bảo đảm ATTT riêng của mình, cũng có ngân hàng chọn hướng thuê ngoài các dịch vụ đảm bảo ATTT, có ngân hàng chỉ dùng các giải pháp ngoại, được đánh giá top thế giới... Song nhìn chung, các ngân hàng, đơn vị tài chính lớn đều có những sự nhìn nhận và đầu tư mạnh mẽ, thực tế hơn về việc đảm bảo ATTT.
Tuy nhiên, thực tế cho thấy, đầu tư các công nghệ tốt chỉ là một phần việc trong nhiệm vụ bảo đảm ATTT của tổ chức, ngoài ra vẫn còn rất nhiều công việc nội bộ mà các ngân hàng phải thực hiện như: giám sát, có các phương án xử lý sự cố phù hợp, các phương án quản trị rủi ro nội bộ, có quy trình phối hợp giữa nhiều phòng ban, các cuộc diễn tập thường xuyên để rèn luyện đội ngũ cũng như thử quy trình...
Ông nghĩ sao khi có ý kiến cho rằng những vụ tấn công mạng lớn như các vụ tấn công gây lộ lọt thông tin người dùng ngân hàng, tổ chức cung cấp dịch vụ chính là “hồi chuông cảnh tỉnh” để doanh nghiệp quan tâm hơn đến ATTT?
Sự cố mất ATTT nào cũng mang lại thiệt hại cho tổ chức, nhỏ thì sẽ làm gián đoạn hoạt động của một thành phần nào đó, lớn hơn là ảnh hưởng tới khách hàng của tổ chức đó hay danh tiếng của tổ chức. Các sự cố này luôn là các ví dụ điển hình để tư vấn cho những người đứng đầu tổ chức quan tâm hơn về việc đảm bảo ATTT tin cho hệ thống của mình.
Tôi cho rằng, các đơn vị, doanh nghiệp không nên xấu hổ và giấu đi các sự cố mất ATTT. Các sự cố này cần được phân tích kĩ lưỡng và đưa ra phương án khắc phục tận gốc rễ vấn đề để không xảy ra các sự cố tương tự lần sau.
Lãnh đạo CMC từng phản ánh sự cố mất ATTT nóng mấy cũng chỉ sau 2 tuần là bị quên lãng và nhiều đơn vị lại lơ là việc đảm bảo an toàn các hệ thống. Hiện tình trạng này đã được cải thiện chưa, thưa ông?
Đến nay, tình trạng nêu trên mặc dù đã có cải thiện nhưng vẫn còn tồn tại ở rất nhiều doanh nghiệp. Như tôi đã chia sẻ ở trên, đây là vấn đề tư duy và trách nhiệm của người đứng đầu. Nếu người đứng đầu tổ chức, doanh nghiệp không quan tâm tới ATTT, không đầu tư đủ cho ATTT thì những nhân sự kỹ thuật ở dưới cũng sẽ không có khả năng phòng thủ, chống lại các cuộc tấn công của tin tặc.
Thực tế là, khi sự cố mất ATTT xảy ra, nhiều chủ doanh nghiệp thường quy trách nhiệm ngay cho bộ phận CNTT hoặc bộ phận phụ trách ATTT chứ không đánh giá lại một cách rộng hơn là tổ chức mình đã quan tâm tới việc bảo đảm ATTT hay chưa? có đầu tư đủ cho việc đảm bảo ATTT không?
Phó Tổng giám đốc CMC Cyber Security cho biết, hạn chế về nguồn lực CNTT, an toàn thông tin luôn có thể giải quyết bằng các dịch vụ thuê ngoài (Ảnh Trung tâm điều hành an ninh mạng CMC SOC) |
Vậy để phòng tránh cũng như kịp thời xử lý các sự cố tấn công mạng có thể xảy ra, các ngân hàng, tổ chức tài chính cần lưu ý, quan tâm đến vấn đề gì?
Theo tôi bây giờ vấn đề không còn là dùng giải pháp gì hoặc dùng kĩ thuật gì để phòng thủ nữa, đã có rất nhiều giải pháp, tư vấn, công nghệ rất mới và tốt của cả Việt Nam và thế giới. Việc quan trọng hiện nay là thay đổi nhận thức của lớp lãnh đạo, những người phải coi việc đảm bảo an toàn thông tin là trách nhiệm của họ, để có những quan tâm và đầu tư đúng mức hơn cho an toàn thông tin.
Một trong những giải pháp mà tôi nghĩ nên làm, đó là việc quy trách nhiệm khi xảy ra sự cố an toàn thông tin cho những người đứng đầu cơ quan, tổ chức, tổ chức; hơn là đẩy phần trách nhiệm quá lớn này cho bộ phận phụ trách an toàn thông tin hoặc CNTT.
Theo kết quả khảo sát của Cục ATTT, 2 nhân tố gây trở ngại lớn nhất cho việc đảm bảo ATTT của ngân hàng là: nhân viên thường xuyên vi phạm các chính sách an toàn, bảo mật thông tin và hạn chế về nguồn nhân lực CNTT, ATTT. Xin ông cho biết các ngân hàng cần làm gì để vượt qua những trở ngại này?
Đào tạo, truyền thông nhận thức về ATTT, diễn tập xử lý sự cố ATTT và giám sát liên tục 24/7 là những biện pháp mà tổ chức có thể áp dụng để cải thiện tình hình vi phạm chính sách ATTT của người dùng. Việc đào tạo và diễn tập cần phải được thực hiện thường xuyên, hãy coi đây là nhiệm vụ truyền thông nội bộ mà các tổ chức cần làm, phải làm hơn là những việc chỉ làm cho có và cho đủ một quy định nào đó.
Hạn chế về nguồn lực CNTT, ATTT luôn có thể giải quyết bằng các dịch vụ thuê ngoài. Các doanh nghiệp trong nước hãy tin tưởng và trao cơ hội cho các dịch vụ thuê ngoài đảm bảo ATTT do các các công ty Việt Nam cung cấp. Cộng đồng ATTT Việt Nam luôn muốn tăng cường chất lượng dịch vụ, chung tay hỗ trợ các doanh nghiệp trong nước đối đầu với các nguy cơ ngày càng nguy hiểm và phức tạp về bảo mật hiện nay.
Xin cảm ơn ông!