95% ngân hàng vẫn dùng xác thực SMS OTP tiềm ẩn nguy cơ mất an toàn

Anh Lê

09/08/2017 12:15

VietTimes -- Giải pháp xác thực 2 yếu tố dựa trên SMS OTP tiềm ẩn nhiều rủi ro trong khi các công nghệ xác thực mạnh như sử dụng OTP Token, ký xác thực giao dịch, chữ ký điện tử có độ an toàn cao hơn nhưng do triển khai phức tạp, chi phí cao và chưa bắt buộc nên chưa được quan tâm đầu tư.

Hiện nay tội phạm mạng chuyển sang tấn công qua trung gian là người dùng các dịch vụ và nhân viên ngành ngân hàng-những đối tượng dễ dàng hơn. Ảnh: VIB

Đó là trao đổi của ông Lê Mạnh Hùng Cục trưởng Cục CNTT - Ngân hàng Nhà nước tại hội thảo “Đẩy mạnh ứng dụng sản phẩm mật mã dân sự phục vụ phát triển kinh tế xã hội” diễn ra hôm qua (8/8) tại Hà Nội.

Theo số liệu khảo sát mà ông Mạnh Hùng nhắc tới, khoảng 70% tổ chức tín dụng (TCTD) định kỳ đánh giá các điểm yếu, lỗ hổng an ninh bảo mật của hệ thống CNTT; 55% TCTD dùng giải pháp hệ thống chữ ký số dựa trên nền tảng PKI tích hợp với các hệ thống ứng dụng nghiệp vụ ngân hàng; 35% TCTD đầu tư các giải pháp an ninh bảo mật khác như hệ thống quản lý sự kiện an ninh-SIEM, hệ thống phòng chống tấn công từ chối dịch vụ, hệ thống firewall lớp ứng dụng; hơn 60% TCTD áp dụng tiêu chuẩn dữ liệu thẻ PCI DSS và tiêu chuẩn ISO 27001...

Ông Hùng cho biết, song song với việc mở rộng sản xuất kinh doanh, ngành Ngân hàng cũng rất quan tâm đảm bảo an ninh bảo mật để các hệ thống thông tin hoạt động liên tục và an toàn.

“Vì thế, từ chỗ tấn công thẳng, trực tiếp vào hệ thống CNTT ngành Ngân hàng, với hiệu quả đạt được không như mong muốn, hiện nay tội phạm mạng chuyển sang tấn công qua trung gian là người dùng các dịch vụ và nhân viên ngành ngân hàng-những đối tượng dễ dàng hơn”, ông Hùng chia sẻ.

Ông Hùng cũng dẫn chứng thêm, theo báo cáo khảo sát năm 2016 của VNISA, các nguy cơ mất an toàn thông tin từ cán bộ đang làm việc chiếm 9,2%; và từ cán bộ đã nghỉ việc chiếm 5,8%.

Bên cạnh đó, các hệ thống CNTT quan trọng của Việt Nam, trong đó có hệ thống CNTT ngành Ngân hàng cũng đang phải đối mặt với nguy cơ tấn công mạng có tổ chức. Ông Hùng phân tích, nếu như những năm trước, tình hình tội phạm mạng đa phần chỉ diễn ra với các cá nhân, doanh nghiệp nhỏ; thì thời gian gần đây, đã xảy ra những cuộc tấn công mạng nhằm vào các hệ thống lớn, quan trọng.

“Những diễn biến phức tạp, bất ổn về vấn đề an ninh trên thế giới, khu vực cũng như đang làm gia tăng nguy cơ tấn công mạng xuyên biên giới, gia tăng tội phạm mạng có tổ chức và được tài trợ bởi các Chính phủ, có mục tiêu tấn công rõ ràng”, ông Hùng nhấn mạnh.

Một nguy cơ nữa với các hệ thống CNTT ngành Ngân hàng, theo ông Hùng chính là sự gia tăng mã độc khai thác lỗ hổng zero-day và các mã độc mới.

Theo ghi nhận của các hãng bảo mật, năm 2016, số lượng mã độc mới đã tăng 36%, trong đó mã độc tấn công vào ngành tài chính, ngân hàng cũng tăng tương ứng. Tiếp đó, đầu năm 2017, hơn 140 ngân hàng ở 40 nước bị dính malware có khả năng ẩn mình trong bộ nhớ máy tính, điều khiển các hệ thống ATM tự động nhả tiền.

Đặc biệt, vào tháng 5/2017, mã độc tống tiền WannaCry đã khiến cả thế giới “chao đảo” khi lan rộng tới hơn 150 quốc gia trong đó có Việt Nam, ảnh hưởng tới 10.000 tổ chức, 200.000 cá nhân.

Đáng chú ý, xu hướng phát triển, cung cấp dịch vụ ngân hàng số với nhiều kênh dịch vụ trên môi trường mạng Internet đã và đang làm xuất hiện thêm nhiều rủi ro, thách thức mới. Dự đoán trong 1-2 năm tới, tin tặc sẽ tập trung các hoạt động vào việc lấy trộm tiền qua hệ thống ngân hàng tự động.

Năm 2016, Ngân hàng Quốc tế Nga và Ngân hàng Metallinvestbank đã gánh chịu các cuộc tấn công nghiêm trọng vào hệ thống ngân hàng tự động, thiệt hại tới 1 tỷ rúp. Tại Việt Nam, 2 năm gần đây, C50-Bộ Công an cũng đã phát hiện, bắt giữ hàng chục vụ trộm tiền trong tài khoản ngân hàng với các thủ đoạn ăn cắp thông qua ATM.