[Podcast] Rủi Ro An Ninh Mạng Trong Hoạt Động Ngân Hàng Số: Trường Hợp Việt Nam

7 Tháng Một, 2022

Hiện nay, chuyển đổi số và ứng dụng công nghệ cao không phải là câu chuyện của riêng doanh nghiệp, mà còn của tất cả người dân. Tốc độ phát triển chóng mặt của công nghệ cũng như sự ảnh hưởng nặng nề của đại dịch Covid-19 đã khiến chúng ta nhận thức được sâu sắc tầm quan trọng của chuyển đổi số trong kỷ nguyên 4.0. Bởi vì, những thứ cần thiết hàng ngày như chuỗi cung ứng thực phẩm, phương tiện vận chuyển, thanh toán và giao dịch tài chính, hoạt động giáo dục, vận hành của Chính phủ, thậm chí cả khai thác nguồn tài nguyên cũng đang ngày càng phụ thuộc vào công nghệ số. Tuy nhiên, chính điều này lại làm cho chúng ta luôn có nguy cơ trở thành mục tiêu của các tội phạm mạng.

Tội phạm mạng đang là vấn đề nhức nhối đối với rất nhiều ngành công nghiệp và ngành ngân hàng cũng không phải ngoại lệ

Thực trạng tội phạm mạng hiện nay

Thực tế cho thấy tội phạm mạng đang gia tăng với mức độ ngày càng tinh vi. Theo báo cáo về tội phạm mạng của FBI, kể từ khi đại dịch Covid-19 bắt đầu, một số loại tấn công mạng đã tăng hơn 300% và chi phí liên quan của một số tội phạm mạng tăng hơn 2,400% (WEF, 2020). Xu hướng này cũng được Google khẳng định khi công bố rằng mỗi ngày công ty đã chặn hơn 18 triệu nỗ lực lừa đảo bằng cách ghi tên Corona lên các tệp hoặc link chứa mã độc (FBI, 2020). Còn theo tổ chức Cybersecurity Ventures, thiệt hại do tội phạm mạng ước tính lên tới 6 nghìn tỷ đô la Mỹ vào năm 2021 và 10,5 nghìn tỷ USD vào năm 2025 so với chỉ 3 nghìn tỷ vào năm 2015. Con số này tương đương với GDP của nền kinh tế lớn thứ ba thế giới chỉ sau Mỹ và Trung Quốc (Steve Morgan, 2021).

Lĩnh vực Tài chính – Ngân hàng trở thành mục tiêu hàng đầu của các cuộc tấn công mạng

Trong số các lĩnh vực bị tấn công, tài chính – ngân hàng là lĩnh vực thu hút sự chú ý nhất của tội phạm mạng. Trong báo cáo toàn cầu về An ninh mạng của Keepersecurity (2020), gần 70% tổ chức tài chính từng là nạn nhân của các cuộc tấn công mạng. Còn theo báo cáo về an ninh mạng của Insights (2021), hơn 25% các cuộc tấn công bằng phần mềm độc hại là nhằm vào các ngân hàng và tổ chức tài chính; số lượng này nhiều hơn bất kỳ ngành nào khác. Điều này có lẽ xuất phát từ tính đặc thù của ngành Tài chính – Ngân hàng khi mà mô hình hoạt động kinh doanh cũng như việc cung ứng sản phẩm dịch vụ của ngành dựa trên nền tảng công nghệ kỹ thuật số.

Trường hợp tấn công an ninh mạng Ngân hàng số tại Việt Nam

Việt Nam hiện đứng thứ 21 trên thế giới về các vụ tấn công lừa đảo với 673,743 cuộc tấn công được ghi nhận trong năm 2020. Nếu xét riêng khu vực Đông Nam Á, Việt nam ở trong nhóm dẫn đầu bị tấn công mạng, chỉ sau Thái Lan và Indonesia. Theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, hơn 50% các cuộc tấn công mạng là nhằm vào các tổ chức tài chính và ngân hàng. Còn theo báo cáo của Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, trong năm 2020 các ngân hàng đã bị thiệt hại khoảng 100 tỷ đồng từ 4,000 vụ tấn công an ninh mạng, trong đó có ngân hàng bị thiệt hại tới 44 tỷ đồng.

Trong thời gian qua, các ngân hàng thương mại Việt Nam đã đẩy mạnh quá trình chuyển đổi số. Mục tiêu của quá trình này là nhằm nâng cao hiệu quả hoạt động ngân hàng, gia tăng trải nghiệm khách hàng và đặc biệt tạo thuận lợi cho khách hàng trong sử dụng dịch vụ ngân hàng hiện đại. Tuy nhiên, cùng với xu hướng chuyển đổi số, chính là những thách thức về an ninh mạng. Điển hình như hệ thống dữ liệu ngân hàng bị xâm nhập để lấy cắp dữ liệu hoặc để thực hiện các hành vi gây thiệt hại về tài sản của ngân hàng và khách hàng. Các vụ tấn công nhằm vào các khách hàng của ngân hàng như lừa tiền qua tài khoản, mạo danh nhân viên ngân hàng hoặc gửi link giả mạo ngân hàng và các website mạo danh ngân hàng để lừa tiền khách hàng cũng đang trở nên phổ biến. Như vậy, có thể thấy hoạt động ngân hàng số ở Việt Nam đang đứng trước rủi ro an ninh mạng rất cao bởi vì cả ba chủ thể tham gia vào hoạt động ngân hàng số bao gồm ngân hàng, các đối tác và các khách hàng đều có thể là mục tiêu tấn công của tội phạm mạng.

An ninh mạng đóng vai trò then chốt với sự phát triển theo hướng số hóa trong ngành ngân hàng hiện nay

Đề xuất giải pháp hạn chế rủi ro an ninh mạng trong hoạt động Ngân hàng số

Để khắc phục được những điều này, nhóm tác giả đề xuất các nhóm giải pháp xoay quanh 3 trụ cột chính: Quy trình (Processes), Công nghệ (Technology), và Con người (People). Cụ thể, nhóm giải pháp về quy trình sẽ tập trung vào giới thiệu chi tiết các bước trong quản trị rủi ro an ninh mạng cùng với các hướng dẫn chi tiết nhằm giúp các ngân hàng nhận diện, đánh giá các mối đe dọa, và qua đó có kế hoạch ngăn chặn các vi phạm an ninh mạng và đặc biệt có phương án sẵn sàng ứng phó khi sự cố xảy ra. Trong khi đó, nhóm giải pháp công nghệ được xây dựng trên cơ sở kết hợp các công cụ và kỹ thuật bảo mật hiện đại. Hai công nghệ “Trí tuệ nhân tạo (Artificial Intelligence)” và “Tự động hóa, phản hồi, điều phối và bảo mật (Security Orchestration, Automation and Response)” được đề xuất bởi vì đây là hai loại hình công nghệ đang được các ngân hàng trên thế giới đánh giá cao nhất về hiệu quả trong chiến lược đầu tư công nghệ nhằm giảm thiểu rủi ro an ninh mạng (Accenture Security, 2020). Mặc dù Blockchain là công nghệ đang được cho là đầy hứa hẹn trong đảm bảo an ninh mạng nhưng các ngân hàng cũng cần có những cân nhắc thật kỹ lưỡng trước khi đưa vào sử dụng. Bởi vì công nghệ này vẫn còn chứa đựng nhiều rủi ro chưa thể dự đoán trước được. Đối với nhóm giải pháp về nhân sự, chúng tôi tiếp cận theo hướng đẩy mạnh nhận thức và xây dựng văn hóa an ninh mạng trong ngân hàng. Ngoài ra, các kiến nghị đối với Chính phủ và NHNN trong các vấn đề liên quan đến hành lang pháp lý và xây dựng chiến lược an ninh mạng ở tầm quốc gia cũng được chú trọng.

Vấn đề cuối cùng mà nhóm tác giả muốn đề xuất chính là nhóm giải pháp hạn chế rủi ro an ninh mạng cho mô hình ngân hàng số toàn diện. Mặc dù chưa được phép tại Việt Nam nhưng việc thành lập một ngân hàng số toàn diện là hướng đi chuyển đổi số mà các ngân hàng Việt Nam đang hướng đến. Trên cơ sở kinh nghiệm phát triển của ngân hàng số C6 ở Brazil (Keri Pearlson và cộng sự, 2020), chúng tôi, vì thế, đề xuất chính sách an ninh mạng cho ngân hàng số toàn diện trên cơ sở năm nhóm chính, bao gồm: nhóm phòng thủ, nhóm kỹ thuật, nhóm quản trị, nhóm an toàn ứng dụng, và nhóm phụ trách văn hóa an ninh mạng. Bên cạnh đó, rủi ro an ninh mạng cũng cần được kiểm soát chặt chẽ bằng cách sử dụng mô hình kiểm soát rủi ro 3 lớp: lớp liên quan đến quy trình hoạt động, lớp liên quan đến kiểm soát rủi ro và đảm bảo tính tuân thủ các nguyên tắc bảo mật, và cuối cùng là lớp liên quan đến kiểm soát nội bộ.

Về phía khách hàng, an ninh mạng cũng là vấn đề đáng được quan tâm hàng đầu. Nhóm tác giả đề xuất một số lời khuyên khái quát cho phía khách hàng nhằm bảo vệ bản thân đối với vấn đề an ninh mạng dựa trên những rủi ro đã đề cập ở trên bao gồm: luôn giữ thông tin cá nhân ở mức an toàn cao nhất có thể khi sử dụng dịch vụ ngân hàng qua các thiết bị điện tử (sử dụng các phần mềm chống virus, tường lửa trên các thiết bị có kết nối mạng), đề phòng các trang mạng không uy tín, email, tin nhắn mạo danh lừa đảo (đặc biệt chú ý với hình thức lừa đảo chiếm đoạt thông tin khách hàng thông qua hình thức mở tệp đính kèm hoặc liên kết được nhúng), sử dụng mật khẩu mạnh, khác nhau cho các tài khoản khác nhau (không nên sử dụng thông tin cá nhân để đặt làm mật khẩu).

Tóm lại, rủi ro an ninh mạng là một trong những vấn đề vấn đề sống còn trong quá trình chuyển đổi số của hệ thống ngân hàng Việt Nam hiện nay. Để hạn chế rủi ro này, các ngân hàng cần phải áp dụng đồng bộ các giải pháp cả về công nghệ bảo mật hiện đại kết hợp với xây dựng quy trình quản trị rủi ro an ninh mạng hiệu quả cùng với chính sách phát triển văn hoá an ninh mạng. Các giải pháp này sẽ chỉ khả thi khi có được sự hỗ trợ của Chính phủ và các cơ quan ban ngành về các khía cạnh pháp lý và định hướng phát triển chính sách an ninh mạng ở tầm quốc gia.

Xem đầy đủ bài nghiên cứu Rủi ro an ninh mạng trong hoạt động ngân hàng số: Trường hợp Việt Nam tại đây. Nhóm tác giả: TS. Phan Chung Thủy, TS. Phan Thu Hiền, NCS. Huỳnh Ngọc Quang Anh (Khoa Ngân hàng, Trường Kinh doanh UEH).

Đây là bài viết nằm trong Chuỗi bài lan tỏa nghiên cứu và kiến thức ứng dụng từ UEH với thông điệp giai đoạn năm 2022 “Research Contribution For All – Nghiên Cứu Vì Cộng Đồng”, UEH trân trọng kính mời Quý độc giả đón xem Bản tin kiến thức KINH TẾ SỐ #25 “Nâng cao trải nghiệm khách hàng trực tuyến trong ngành du lịch”.

Tin, ảnh: Nhóm tác giả, Phòng Marketing – Truyền thông UEH.

Giọng đọc: ThS. Phạm Nguyễn Hoài – Viện ISCM.