Bất ổn quy trình bảo mật ngân hàng
Dồn dập các vụ khách hàng báo mất tiền trong tài khoản cho thấy quy trình bảo mật, đầu tư công nghệ tại các ngân hàng đang tồn tại nhiều lỗ hổng.
Nhiều chuyên gia ngân hàng cảnh báo lỗ hổng trong quy trình đầu tư bảo mật của ngân hàng có thể gây rủi ro cho người dùng. Ảnh: TẤN THẠNH[/caption]
Theo các chuyên gia NH, trong những sự cố khách hàng mất tiền tại một số NH gần đây đã có những sai sót trong quy trình thực hiện giao dịch và đặt ra những thách thức cho các NH thương mại khi nâng cấp quy trình, công nghệ bảo mật để ứng phó với gian lận, lừa đảo, tin tặc… Công nghệ có thể tương đồng nhưng quy trình khác nhau sẽ phát sinh những rủi ro. Theo đại diện NH TMCP Kỹ thương Việt Nam (Techcombank), NH này thường xuyên đầu tư nâng cấp hệ thống bảo mật và đang áp dụng cơ chế bảo mật cho giao dịch NH điện tử bằng OTP qua SMS/email, khách hàng phải đăng ký tại quầy để thực hiện nhận OTP.
Cuộc chơi tốn kém!
Nhiều NH thương mại nhìn nhận đầu tư công nghệ bảo mật là “cuộc chơi tốn kém và lâu dài”. Phó tổng giám đốc một NH cổ phần cho biết khi NH triển khai một sản phẩm dịch vụ mới, nhất là các ứng dụng trên NH điện tử, phải thuê bên thứ ba là các hãng công nghệ, hãng kiểm toán chuyên về bảo mật kiểm định bằng cách “đóng vai hacker tấn công dồn dập vào hệ thống”. Quá trình kiểm định sẽ giúp NH phát hiện những lỗ hổng, sai sót trước khi áp dụng sản phẩm cho toàn bộ khách hàng nhưng chi phí cho các khâu này không hề rẻ. “Chi phí đầu tư công nghệ bảo mật từ hàng triệu đến chục triệu USD nên không phải dễ dàng với các NH trong nước nhưng trong bối cảnh tin tặc nhắm vào hệ thống NH, đầu tư cho công nghệ cần được xem như một chiến lược giống như các chiến lược kinh doanh phát triển sản phẩm khác. Dù là ứng dụng NH điện tử hay sản phẩm truyền thống cũng cần được đầu tư công nghệ bảo mật đi kèm với nâng cấp, duy trì thường xuyên” - vị phó tổng NH này phân tích.
Tổng giám đốc một NH cổ phần tại TP HCM cũng cho rằng đầu tư vào công nghệ bảo mật luôn là thách thức với NH nhỏ, tỉ trọng chi phí đầu tư ngày càng lớn trong tổng chi phí hoạt động NH. Nếu trước đây NH này chỉ dành 2 đồng cho bảo mật thì nay tăng lên 10 đồng. “Dù vậy không một hệ thống NH nào dám chắc an toàn 100% hoặc không có lỗ hổng, sơ hở. Điều này lý giải vì sao cần phải nâng cấp và rà soát thường xuyên các quy trình, công nghệ bảo mật. Như việc giới hạn hạn mức rút tiền ở máy ATM, chuyển tiền qua NH điện tử, một phần nhằm hạn chế rủi ro” - vị tổng giám đốc chia sẻ.
Ngay việc áp dụng tiêu chuẩn bảo mật quốc tế (PCI DSS) do Hội đồng Tiêu chuẩn bảo mật SSC thiết lập dành cho thẻ và tài khoản thẻ, đến giờ mới có 5 NH là Sacombank, Techcombank, TP Bank, VP Bank và SHB được cấp chứng chỉ này. Trong khi đó, đây là bộ tiêu chuẩn quan trọng trong việc bảo mật, kiểm soát thất thoát dữ liệu qua các hệ thống giao dịch giữa thẻ và tài khoản thẻ.
Ngay cả với hệ thống máy ATM, các chuyên gia bảo mật cũng cho rằng vẫn còn nhiều lỗ hổng chưa được vá! Theo Kaspersky Việt Nam, hầu hết máy ATM trên thế giới đều có thể bị truy cập trái phép và trục lợi, thậm chí không cần đến phần mềm độc hại. Tình trạng này xảy ra là do việc sử dụng rộng rãi phần mềm không an toàn và lỗi thời, lỗi cấu hình mạng và thiếu an toàn vật lý ở nhiều phần quan trọng của ATM. Mối đe dọa lớn nhất với người dùng và chủ thẻ ATM trong nhiều năm là skimmer - thiết bị đặc biệt được gắn vào ATM để đánh cắp dữ liệu từ thẻ NH nhưng khi có thêm thủ thuật độc hại, ATM còn gặp nhiều nguy hiểm hơn.
Theo Thái Phương - Chánh Trung (NLĐ)
