Đảm bảo công nghệ bảo mật đạt chuẩn quốc tế

Trao đổi với ICTnews sáng nay, 11/4/2014, ông Nguyễn Minh Đức, chuyên gia Ban Công nghệ Tập đoàn FPT khẳng định các ngân hàng, tổ chức cung cấp dịch vụ thanh toán điện tử luôn là những đối tượng đầu tư nhiều nhất về an toàn an ninh. Đặc biệt, các ngân hàng tại Việt Nam đều có đội ngũ nhân lực chuyên về an toàn an ninh (security) và sử dụng những công nghệ thanh toán theo chuẩn quốc tế như chuẩn PCI DSS. Theo yêu cầu của Cục Công nghệ Tin học Ngân hàng Nhà nước, hàng năm, ngân hàng phải thường xuyên kiểm định các hệ thống thanh toán, giao dịch trực tuyến theo định kỳ và phải chứng minh hệ thống giao dịch của mình đạt chuẩn quốc tế.

Một số ngân hàng cũng lên tiếng trấn an khách hàng về sự an toàn của dịch vụ giao dịch trực tuyến mà mình cung cấp. Điển hình như Ngân hàng Thương mại cổ phần Hàng hải Việt Nam (MaritimeBank) đã khẳng định việc kênh ngân hàng trực tuyến M-Banking có tính an toàn bảo mật cao bởi sử dụng hệ thống nền tảng MBTT của IBM, cơ chế bảo mật đa lớp được hỗ trợ bởi Verisign và RSA (hai nhà cung cấp công nghệ mã hóa hàng đầu thế giới).

Hoặc Ngân hàng Thương mại cổ phần Công Thương Việt Nam (VietinBank) cho biết đã triển khai hệ thống công nghệ bảo mật tiên tiến theo chuẩn quốc tế dành cho dịch vụ Internet Banking; còn các giao dịch thanh toán đều được bảo vệ bởi hệ thống an ninh tiêu chuẩn thế giới DSS PCI của Visa và 3D Secure của Mastercard.

Theo đánh giá của nhiều chuyên gia công nghệ, các giải pháp công nghệ bảo mật được sử dụng tại các ngân hàng ở Việt Nam đều tương đương với thế giới chứ không quá lạc hậu. Một số ngân hàng tại Việt Nam còn mạnh dạn đầu tư triển khai những công nghệ hiện đại nhất hiện nay như chữ ký số, xác thực bằng vân tay... với độ an toàn bảo mật cao.

Tuy nhiên, không mấy người biết được cụ thể hàng năm, các ngân hàng tại Việt Nam đã chi bao nhiêu tiền để đầu tư cho các hệ thống an toàn bảo mật bởi đây là thông tin mật. Hầu hết các ngân hàng đều e ngại nhắc đến vấn đề này vì lo rằng mình sẽ trở thành mục tiêu, đích ngắm của tin tặc khi cuộc chạy đua giữa các nhà cung cấp giải pháp bảo mật với giới tội phạm mạng, tin tặc chưa bao giờ ngừng nghỉ. Đặc biệt, chưa có một giải pháp bảo mật nào tuyệt đối an toàn, có thể khiến tất cả giới tội phạm mạng "bó tay".

OSS Heartbleed

Phản ứng quá chậm khiến khách hàng hoang mang

Dù ngân hàng là đối tượng đầu tư nhiều nhất cho các giải pháp bảo mật, an toàn an ninh, thế nhưng sự cố lỗi bảo mật OSS Heartbleed vừa qua được ví như "gáo nước lạnh dội vào mặt" các ngân hàng bởi đã khiến nhiều khách hàng lo ngại về chất lượng dịch vụ ngân hàng.

Lỗi bảo mật này được phát hiện từ ngày 7/4/2014, nhưng sang ngày 10/4, Ngân hàng Nhà nước Việt Nam mới gửi công điện khẩn yêu cầu các ngân hàng phải rà soát, kiểm tra lại toàn bộ website, cổng thanh toán trực tuyến. Trong trường hợp phát hiện lỗ hổng, phải thông báo tới các khách hàng đổi lại mật khẩu giao dịch. Nếu thấy cần thiết phải cấp lại thẻ cho khách hàng. NHNN cũng yêu cầu các NH phải rà soát lại những website, ứng dụng sử dụng OpenSSL, đặc biệt các ứng dụng cung cấp trên mạng Internet; cập nhật ngay OpenSSL lên phiên bản 1.0.1 thay thế chứng chỉ SSL cho các website, ứng dụng đang sử dụng. Các ngân hàng phải thông báo ngay cho khách hàng thay đổi mật khẩu giao dịch trực tuyến. Đề nghị khách hàng sử dụng các dịch vụ kiểm soát giao dịch, số dư tài khoản (như dịch vụ SMS Banking, Internet Banking) để giám sát tài khoản của mình và phản hồi ngay cho ngân hàng đối với thông báo về các giao dịch không phải do mình thực hiện.

Cho đến sáng nay, 11/4 mới chỉ có một số ngân hàng như VietinBank, Techcombank, Nam Á, Sacombank, Maritimebank, ACB, HD Bank, công bố với các phương tiện truyền thông đại chúng về việc không liên quan hoặc không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL Heartbleed và hoạt động giao dịch trực tuyến vẫn bình thường. Vẫn có ngân hàng chia sẻ với ICTnews rằng e ngại nếu công bố rộng rãi về việc hệ thống giao dịch của mình an toàn có thể bị tin tặc cho là khiêu khích và bị triển khai tấn công mạnh.

Ở góc độ của một chuyên gia bảo mật, ông Nguyễn Minh Đức nhận định: "Nhìn nhận một cách khách quan, không thể trách các ngân hàng yếu kém về bảo mật. Bởi hầu hết các tổ chức, doanh nghiệp dùng Linux làm nền tảng máy chủ đều dính lỗi OSS Heartbleed, trong đó có cả những doanh nghiệp lớn như Yahoo. Tuy nhiên, có thể nói việc tiếp nhận thông tin và triển khai cập nhật, vá lỗ hổng của các ngân hàng còn chậm, có thể một phần do sự cố xảy ra đúng vào dịp nghỉ lễ Giỗ Tổ Hùng Vương".

"Điều cần rút kinh nghiệm nhất là với những lỗ hổng kiểu này là dù có bị ảnh hưởng hay không hoặc đã vá lỗi hay chưa thì các ngân hàng nên sớm có thông báo với khách hàng, tránh tình trạng khách hàng phải đọc thông tin từ nhiều nguồn khác nhau dẫn đến hoang mang, lo ngại khi tiến hành giao dịch trực tuyến. Khi đó sẽ ảnh hưởng tới chính hoạt động kinh doanh của ngân hàng", ông Nguyễn Minh Đức khuyến nghị.