Trong buổi hội thảo chia sẻ với lãnh đạo các ngân hàng Việt Nam ngày 11/10, ông Jason Yuen - Phó tổng giám đốc phụ trách an ninh mạng, Dịch vụ Tư vấn của Ernst & Young (EY) Malaysia đã chỉ ra nhiều bài học về an toàn bảo mật thông tin mà mọi ngân hàng, dù lớn nhỏ đều phải đối mặt. Một trong số đó là chắc chắn sẽ có người bấm vào những đường link giả mạo mà không dễ để nhận ra.
Ông Jason Yuen chia sẻ những bài học kinh nghiệm từ các vụ tấn công mạng với lãnh đạo các ngân hàng Việt Nam. Ảnh: EY.
Thực tế, tội phạm mạng xảy ra với ngân hàng Việt ngày càng nhiều. Một trong những thủ đoạn phổ biến là kẻ gian dùng chiêu thức Phishing (lấy thông tin qua một website giả mạo của ngân hàng). Ông Jason Yuen cũng dẫn số liệu từ báo cáo mới đây của Kaspersky Lab cho thấy, Việt Nam đứng thứ 2 về nguồn gốc của thư rác. Trong khi đó, theo thống kê, 23% số người dùng sẽ mở các email giả mạo và 11% sẽ click vào những tập tin đính kèm.
Đánh giá chung về khả năng bảo mật của các ngân hàng Việt Nam, chuyên gia của EY cho rằng, nhìn chung các đơn vị chủ yếu là đang phòng thủ, thường yếu kém trong khâu giám sát, ứng phó xử lý sự cố và kể cả yếu kém trong khâu điều tra sau khi sự cố xảy ra.
Gần đây xảy ra rất nhiều sự cố về mất tiền trong tài khoản ngân hàng với những tranh chấp giữa khách hàng, nhân viên ngân hàng nhưng khi được yêu cầu, các nhà băng đều cho biết không thể cung cấp dữ liệu camera tại các phòng giao dịch với lý do quá 3 tháng nên không còn lưu. Trả lời VnExpress, ông Jason Yuen cho biết: "Thực tế chi phí để lưu trữ dữ liệu rẻ hơn rất, rất nhiều so với những hạng mục khác trong đầu tư công nghệ mà các nhà băng đang làm. Như Google, họ còn phải lưu trữ hàng núi dữ liệu. Vấn đề là bản thân cơ quan quản lý phải có những quy định cụ thể về việc, dữ liệu các ngân hàng phải lưu trữ trong thời gian bao lâu, miễn để đủ có thể tái hiện lại những gì xảy ra để phục vụ cho việc điều tra khi gặp sự cố".
Vị chuyên gia này cũng cho biết, trong quá trình tham gia đánh giá, tư vấn cho một số tổ chức tín dụng, ông phát hiện có nhiều ngân hàng vẫn tồn tại những điểm yếu cố hữu và căn bản như, đặt username và mật khẩu quản trị tất cả đều là "admin" và "admin". "Như vậy rất dễ để kẻ gian xâm nhập và tiếm quyền quản trị hệ thống. Điều này cho thấy ngân hàng đó không có sự đầu tư đúng mực cho quy trình vận hành và rà soát bảo mật định kỳ", ông Jason nói.
Ngoài ra, theo ông, ai cũng có thể trở thành mục tiêu tấn công của hacker và không có mục tiêu nào là nhỏ. Ông Jason cũng dẫn số liệu từ báo cáo điều tra của Verizon năm 2015 cho thấy, hầu hết lĩnh vực nào cũng từng gặp sự cố về an ninh thông tin, trong đó, lĩnh vực tài chính đã đối mặt với 642 vụ việc. "Kể cả kẻ mạnh nhất cũng có thể bị đánh bại", ông Jason nói và đề cập tới việc NASA - cơ quan an ninh được xem là mạnh của Mỹ cũng nhiều lần bị xâm nhập, tấn công có chủ đích.
Do đó, theo chuyên gia của EY, các ngân hàng, từ vị trí lãnh đạo như những ông chủ nhà băng đến các bộ phận công nghệ và từng nhân viên nên thay đổi cách tiếp cận về rủi ro an ninh mạng. "Thay vì tiếp cận theo kiểu: tôi đầu tư bao nhiêu tiền vào hệ thống đó thì sẽ an toàn, các ngân hàng nên xem an toàn bảo mật là rủi ro kinh doanh. Ngoài số tiền đầu tư còn phải quan tâm trọng tâm đầu tư, một ngân hàng bỏ 20 triệu USD vào hệ thống chưa chắc đã an toàn hơn một nhà băng chỉ đầu tư 10 triệu USD", ông Jason nói.