Mặc dù có nhiều tiện ích vượt trội so với giao dịch tiền mặt nhưng hình
thức thanh toán trực tuyến cũng tiềm ẩn nhiều rủi ro, nhất là khi tội
phạm sử dụng công nghệ cao tấn công mạng đang ngày một phổ biến và tinh
vi hơn.
Ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng của Tập đoàn Công nghệ BKAV trao đổi với Phóng viên xoay quanh câu chuyện này.
- Sau cảnh bảo về lỗ hổng bảo mật Open SSL Heartbleed khiến các thông tin cá nhân liên quan đến thẻ tín dụng, tài khoản
của khách hàng có thể bị lộ lọt, Bkav đã tiến hành rà soát lại các
website của 62 ngân hàng, 30 cổng thanh toán trực tuyến phổ biến nhất
tại Việt Nam và khẳng định các hệ thống thanh toán giao dịch trực tuyến
này đều an toàn. Tuy nhiên, những vụ tội phạm tại Việt Nam lấy cắp thông
tin thẻ tín dụng của khách hàng và chiếm đoạt tiền của khách hàng vẫn
xảy ra, vậy đâu nguyên nhân chủ yếu thưa ông?
Ông Ngô Tuấn Anh: Gần đây tại Việt Nam, tội phạm mạng
có thể đánh cắp thông tin tài khoản của một số khách hàng thông qua việc
mua thông tin thẻ tín dụng được bán trên thị trường chợ đen quốc tế,
sau đó tiến hành in các thông tin này lên phôi thẻ trắng và tiến hành
rút tiền.
Bên cạnh đó, tại Việt Nam cũng bắt đầu xuất hiện hình thức tội phạm tiến
hành cài đặt các thiết bị đọc thông tin (Skimmer) vào các máy ATM để
đánh cắp thông tin. Khi khách hàng đưa thẻ vào máy ATM để tiến hành giao
dịch, thiết bị sẽ ghi nhớ thông tin cá nhân của khách hàng.
Đồng thời, tội phạm cũng cài đặt camera theo dõi để đánh cắp mã số bảo
mật (PIN) của khách hàng bấm trên bàn phím. Với các thông tin đánh cắp
được này, tội phạm sẽ làm các thẻ ATM giả để rút tiền thật của khách
hàng.
Sau khi có các vụ việc xảy ra, các ngân hàng tại Việt Nam đã tăng cường
an ninh tại các máy ATM. Theo đó, trước khi tiến hành giao dịch, các
ngân hàng thường cảnh bảo khách hàng về việc lộ lọt thông tin như yêu
cầu khách hàng che mã PIN khi nhập trên bàn phím. Người sử dụng xác nhận
phải đọc các thông tin này rồi mới giao dịch được. Đây cũng là giải
pháp để bảo vệ người tiêu dùng của các nhà cung cấp dịch vụ.
- Theo ông, ngoài một lỗ hổng bảo mật được phát hiện là Open SSL
Heart Bleed, giao dịch thanh toán trực tuyến tại Việt Nam còn phải đối
mặt với những nguy cơ tấn công mạng nào khác? Ông đánh giá như thế nào
về khả năng phòng vệ trước các đợt tấn công mạng của các website ngân
hàng điện tử, các cổng thanh toán trực tuyến tại Việt Nam hiện nay?
Ông Ngô Tuấn Anh: Lỗ hổng Open SSL Heartbleed chỉ là
một lỗ hổng bảo mật được công bố, vẫn còn nhiều lỗ hổng bảo mật khác,
các rủi ro khác mà giao dịch trực tuyến đang phải đối mặt như tấn công
từ chối dịch vụ, tấn công vào website để đánh cắp thông tin cá nhân của
khách hàng. Đây là các nguy cơ thường trực mà các ngân hàng điện tử, các
cổng thanh toán trực tuyến đang phải đối mặt.
Hiện các ngân hàng, các cổng giao dịch trực tuyến tại Việt Nam đều đã
đầu tư nguồn lực, các phần mềm, thiết bị bảo vệ an toàn cho hoạt động
giao dịch trực tuyến này.
Trong khi đó, tại Việt Nam, hiện cũng chưa xuất hiện nhiều các đợt tấn
công vào các website ngân hàng và cổng thanh toán trực tuyến. Tuy nhiên,
không ai có thể đảm bảo là trong tương lai không xảy ra vụ tấn công
mạng như vậy.
Vì vậy, chúng tôi khuyến cáo các nhà cung cấp dịch vụ thanh toán giao
dịch trực tuyến này cần có các diễn tập ứng phó, xử lý với tình huống
tấn công mạng này bởi theo đánh giá của các chuyên gia, thiệt hại kinh
tế được tính lớn nhất ở đây chính là thời gian ngừng trệ giao dịch và
khôi phục lại hoạt động của trang giao dịch trực tuyến.
- Vậy theo ông đâu là các giải pháp chủ yếu cần thực hiện trong ngắn
hạn và dài hạn để nâng cao an toàn an ninh mạng và cho các hoạt động
giao dịch thanh toán trực tuyến? Đâu là giải pháp mà khách hàng cần áp
dụng để hạn chế thấp nhất những rủi ro trong hình thức giao dịch này?
Ông Ngô Tuấn Anh: Một giải pháp an ninh mạng phải là
giải pháp tổng thể từ thiết bị, công nghệ đến quy trình cho đến yếu tố
con người. Vì vậy, theo tôi, để đảm bảo an toàn an ninh cho giao dịch
thanh toán trực tuyến, các đơn vị cung cấp dịch vụ giao dịch thanh toán
trực tuyến như ngân hàng cần phải xây dựng quy trình quản lý an ninh
thông tin theo tiêu chuẩn ISO 27001 nhằm nâng cao công tác điều hành,
kiểm tra, giám sát và phát triển hệ thống quản lý an ninh thông tin một
cách toàn diện, khoa học.
Bên cạnh đó, các đơn vị có liên quan đến thẻ thanh toán cần áp dụng tiêu
chuẩn bảo mật thông tin thẻ thanh toán được áp dụng trên toàn cầu là
PCI DSS nhằm đảm bảo an toàn cho dữ liệu thẻ trong suốt quá trình xử lý
và lưu trữ tại các ngân hàng hoặc các đơn vị có chức năng thanh toán
trực tuyến.
Về dài hạn, khi các đơn vị xây dựng các dự án về công nghệ thông tin cần
dành từ 5-10% tổng kinh phí dự án để đầu tư cho vấn đề an ninh mạng. Sự
đầu tư này sẽ rẻ hơn rất nhiều so với những thiệt hại có thể xảy ra
trong tương lai nếu không đầu tư.
Theo thống kê của Bkav, hiện nay chưa có nhiều dự án về công nghệ thông
tin đưa hạng mục đầu tư về an ninh mạng vào trong tổng chi phí dự án.
Đây chính là vấn đề mà chúng tôi muốn cảnh báo với các đơn vị khi lập dự
án về công nghệ thông tin.
Ở góc độ khác, theo thống kê của Bkav, 70% các phần mềm không có bản
quyền, không rõ nguồn gốc trên internet hiện nay thường đính kèm mã độc.
Vì vậy, khi người sử dụng tự cài đặt các phần mềm như vậy vào máy tính
cá nhân đã vô tình để để cho mã độc xâm nhập vào hệ thống cơ sở dữ liệu
máy tính để có cơ hội ghi nhận toàn bộ thông tin tài khoản cá nhân,
thông tin thẻ tín dụng của khách hàng và gửi cho tội phạm mạng.
Để đảm bảo an toàn trong thanh toán giao dịch trực tuyến, chúng tôi cũng
khuyến cáo khách hàng không nên tự cài đặt các phần mềm trên Internet.
Bên cạnh đó, khách hàng cũng cần thường xuyên cập nhật các bản vá phần
mềm và hệ điều hành; chủ động trang bị các phần mềm phòng chống virut để
bảo vệ máy tính trước các mối nguy trong tương lai nếu chẳng may gặp
phải./.
- Xin cảm ơn ông!
Kim Anh (TTXVN)