Trao đổi với ICTnews sáng nay, 10/4/2014, Phó Chủ tịch Bkav Ngô Tuấn Anh khẳng định nếu dùng chữ ký số thì ngân hàng sẽ không lo chuyện các giao dịch trực tuyến bị ảnh hưởng bởi lỗ hổng Heartbleed đang "làm mưa làm gió" vài ngày nay. Bởi với chữ ký số, khóa dùng để truy cập khi giao dịch trực tuyến nằm trong tay người sử dụng, tin tặc khó có thể biết được mã. Tin tặc thường chỉ dò ra chuỗi ký tự dùng trong user name và password.

Tuy nhiên, trên thực tế tại Việt Nam hiện nay, chưa có nhiều ngân hàng triển khai chữ ký số cho hoạt động giao dịch trực tuyến (mới có một số điển hình tiên phong như Ngân hàng Thương mại Cổ phần Phương Đông OCB và Ngân hàng Thương mại Cổ phần Á Châu ACB... công bố ứng dụng chữ ký số công cộng).

Ông Ngô Tuấn Anh lý giải nguyên nhân một phần vì dù đã có văn bản luật quy định về việc triển khai ứng dụng chữ ký số song Ngân hàng Nhà nước lại vẫn chưa có quy định rõ ràng, cụ thể về hoạt động này, trong khi các ngân hàng đều chỉ nghe ngóng và làm theo hướng dẫn của đơn vị quản lý trực tiếp. Mặt khác, cách đây ít lâu, các ngân hàng đã đua nhau đổ tiền đầu tư cho các hệ thống giao dịch trực tuyến áp dụng phương thức xác thực một lần bằng mật khẩu (OTP - one time password), không dễ dàng bỏ đi ngay để chuyển sang phương thức hiện đại hơn là ứng dụng chữ ký số, đặc biệt trong bối cảnh kinh tế khó khăn gần đây.

Heartbleed

Cũng theo ông Ngô Tuấn Anh, lỗ hổng OpenSSL Heartbleed là một lỗi ngoài mong muốn, không chỉ gây ảnh hưởng tới hoạt động giao dịch trực tuyến của các ngân hàng mà còn tác động tới nhiều đối tượng khác như các doanh nghiệp thương mại điện tử, nhà cung cấp dịch vụ email, những công ty triển khai hệ thống ứng dụng cho phép nhân viên làm việc từ xa, đặc biệt là các tòa soạn báo cho phép phóng viên đăng nhập trang quản trị bằng user name - password...  Khai thác lỗ hổng OpenSSL, tội phạm mạng có thể chiếm được phiên giao dịch của người dùng để thực hiện chuyển tiền vào tài khoản khác nếu website là dịch vụ ngân hàng điện tử (e-Banking), truy cập hộp thư của người dùng nếu là dịch vụ e-mail. Tội phạm mạng cũng có thể truy cập vào mạng nội bộ của cơ quan mà không cần tài khoản đăng nhập.

Hiện vẫn chưa thống kê chính xác đã có bao nhiêu website, hệ thống ứng dụng tại Việt Nam bị ảnh hưởng bởi lỗ hổng OpenSSL Heartbleed.

Nhằm hỗ trợ người dùng tại Việt Nam tránh khỏi những địa chỉ giao dịch trực tuyến tiềm ẩn rủi ro, sáng nay, Bkav đã công bố công cụ hỗ trợ người dùng xác nhận xem một website có an toàn hay không.

"Bkav cũng đang khẩn trương xây dựng chương trình nhằm thống kê tất cả các website bị ảnh hưởng bởi lỗ hổng Heartbleed để hỗ trợ các cơ quan, đơn vị nhanh chóng vá lỗ hổng, giảm thiểu tối đa thiệt hại có thể xảy ra", ông Ngô Tuấn Anh chia sẻ thêm.

Một trong những vấn đề được cộng đồng người sử dụng các dịch vụ giao dịch trực tuyến quan tâm nhất hiện nay là thực sự đã có bao nhiêu ngân hàng bị "dính" lỗ hổng Heartbleed, bao nhiêu ngân hàng đã kịp thời vá lỗi, bao nhiêu ngân hàng vẫn đang "mở cửa" cho tin tặc... Nhưng đến giờ vẫn chưa thấy có ngân hàng nào cũng như cơ quan quản lý chuyên trách của Ngân hàng Nhà nước Việt Nam chính thức công bố về phạm vi, mức độ ảnh hưởng của Heartbleed cũng như khuyến cáo cụ thể đối với người thực hiện giao dịch trực tuyến.

Nhiều người cho rằng thời gian tới, khó có thể có được thông tin chính xác về số lượng ngân hàng bị tấn công qua lỗ hổng Heartbleed vì lâu nay hoạt động ngân hàng luôn được đưa vào diện nhạy cảm, những thông tin tiêu cực về hoạt động giao dịch của ngân hàng thường được giữ kín chứ không công bố công khai để tránh ảnh hưởng tới tâm lý của cộng đồng người dân.