Tăng cường bảo mật trong lĩnh vực tài chính - ngân hàng
Theo dự báo của các chuyên gia trong lĩnh vực an toàn thông tin, bước sang năm 2020, các tổ chức tài chính-ngân hàng (TC-NH) sẽ tiếp tục là đích đến của các cuộc tấn công mạng với thủ đoạn diễn ra tinh vi và nguy hiểm hơn. Mọi sự cố về an ninh mạng đều gây thiệt hại nặng nề về tài chính và uy tín của doanh nghiệp.
Để tìm hiểu về việc tăng cường biện pháp phòng, chống trước các cuộc tấn công mạng đối với tổ chức, doanh nghiệp trong lĩnh vực TC-NH, phóng viên Báo Quân đội nhân dân có cuộc trao đổi với ông Tạ Hoàng Linh, Tổng giám đốc Công ty Cổ phần An ninh An toàn thông tin CMC-CMC Cyber Security (Tập đoàn Công nghệ CMC).
Ông Tạ Hoàng Linh.
Phóng viên (PV): Ông đánh giá như thế nào về công tác tổ chức bảo mật của các tổ chức TC-NH hiện nay?
Ông Tạ Hoàng Linh: Hiện nay, các tổ chức TC-NH đều có nhận thức cao về vấn đề an ninh mạng. Tuy nhiên, cách thức tổ chức thực hiện chưa bài bản. Cụ thể, do thói quen sử dụng dịch vụ an ninh mạng chưa nhiều và tâm lý cho rằng chỉ dịch vụ của mình là an toàn nên các tổ chức TC-NH thường làm theo cách tự đầu tư công nghệ thông tin và xây dựng đội ngũ kỹ sư an toàn thông tin. Trong khi đó, công nghệ ngày càng phát triển với tốc độ chóng mặt và thay đổi từng giờ, từng ngày, giới hacker (những người xâm nhập vào một hệ thống nào đó vì mục đích nhất định) có thể tìm hiểu nhanh và áp dụng ngay. Nếu không có đội ngũ bảo mật chuyên nghiệp, chuyên môn tốt, cũng như kinh nghiệm dày dạn trong lĩnh vực này, các tổ chức TC-NH khó có thể phòng thủ thành công trước cuộc tấn công mạng của giới tội phạm công nghệ cao. Việc rò rỉ một số dữ liệu thông tin của khách hàng trong lĩnh vực TC-NH thời gian qua đã chứng minh cho công tác bảo đảm an toàn thông tin, bảo mật dữ liệu ở một số tổ chức tài chính cần được dành nhiều nguồn lực hơn.
Diễn tập phòng, chống tấn công vào cổng, trang thông tin điện tử. Ảnh: BẢO ANH
PV: Vậy các tổ chức TC-NH cần làm gì để tăng cường an ninh thông tin, thưa ông?
Ông Tạ Hoàng Linh: Khi thông tin khách hàng bị rò rỉ, nhóm tội phạm công nghệ cao sẽ dựa vào những thông tin đó để thực hiện hành vi lừa đảo hay sử dụng nguồn dữ liệu này thực hiện các cuộc tấn công dò mật khẩu. Do đó, nếu không chủ động trong xử lý bảo vệ dữ liệu và quản lý rủi ro an ninh mạng thì lĩnh vực tài chính sẽ là mục tiêu để tội phạm công nghệ cao khai thác theo phương thức và thủ đoạn ngày càng tinh vi hơn. Các tổ chức trong lĩnh vực này cần hiểu rằng dịch vụ tốt nhất cần được cung cấp bởi những doanh nghiệp chuyên nghiệp nhất. Do đó, các ngân hàng, tổ chức tài chính một mặt cần kiện toàn lực lượng tại chỗ, mặt khác nên thuê dịch vụ giám sát bảo vệ từ các doanh nghiệp uy tín đã được Bộ Thông tin và Truyền thông cấp phép. Bất cứ tổ chức nào cũng cần bảo vệ bằng cách có chuyên gia sẽ tốt hơn.
Ngoài ra, khi xảy ra sự cố tấn công mạng, các tổ chức thường cố gắng giữ kín, càng ít người biết càng tốt vì lo ngại mất uy tín. Tuy nhiên, không ai an toàn trong không gian mạng nên càng chia sẻ lại càng an toàn. Nếu chúng ta không chịu chia sẻ, sau này sẽ bị tấn công tương tự và cứ tiếp diễn như vậy. Tuy nhiên, cần lưu ý rằng chia sẻ ở đây không phải là chia sẻ rộng rãi mà chia sẻ với các đơn vị liên quan đến lĩnh vực an ninh thông tin, như: Trung tâm Giám sát an toàn không gian mạng quốc gia, Hiệp hội An toàn thông tin, Liên minh phòng, chống mã độc… Khi các tổ chức tài chính Việt Nam bị tấn công mạng, hãy chia sẻ và báo cáo với các cơ quan đó.
PV: Về phía người dùng trong lĩnh vực TC-NH, họ cần phải làm gì để tự bảo vệ chính mình, thưa ông?
Ông Tạ Hoàng Linh: Người dùng không nên chủ quan nghĩ rằng bảo đảm an toàn thông tin chỉ là việc của các tổ chức TC-NH. Tội phạm mạng không chỉ tấn công vào tổ chức tài chính mà còn tấn công lấy cắp thông tin người dùng từ chính người sử dụng qua các hình thức, như: Tán phát virus, mã độc qua email; nhắn tin hay thực hiện cuộc gọi giả danh là tổ chức tài chính yêu cầu cung cấp mã OTP… Do vậy, người dùng cần tự bảo vệ dữ liệu bản thân bằng cách nâng cao nhận thức về lĩnh vực an ninh mạng. Tuyệt đối không cung cấp thông tin liên quan đến OTP, mật khẩu ngân hàng hay thông tin tài khoản cho bất kỳ ai; không kích vào các email lạ hay các đường link yêu cầu xác thực thông tin để truy cập; không chia sẻ thông tin cá nhân trên mạng xã hội. Ngoài ra, không nên sử dụng mật khẩu quá ngắn và liên quan đến thông tin cá nhân, như: Ngày sinh, số điện thoại… Đặc biệt, không sử dụng một mật khẩu cho tất cả các tài khoản ngân hàng.
PV: Trân trọng cảm ơn ông!
