CMC: Sự cố lộ thông tin người dùng ngân hàng cần được phân tích kỹ để đưa ra phương án khắc phục tận gốc rễ

Những năm gần đây, hàng loạt những vụ tiến công mạng nhằm vào các ngân hàng, tổ chức tài chính tại Việt Nam đã xảy ra và có xu hướng gia tăng hùng mạnh hơn. Gần đây nhất, ngày 21/11, tin tức của khoảng 2 triệu khách hàng của 1 ngân hàng tại Việt Nam đã biết thành chia sẻ miễn phí trên diễn đàn quốc tế dành cho hacker chuyên về chia sẻ dữ liệu.

Trong chia sẻ tại Diễn đàn an toàn, an ninh thông tin trên không gian mạng 2019 vừa được tổ chức hôm qua, ngày 27/11 tại TP.HCM, các chuyên gia đều nhận định rằng, hoạt động tấn công mạng nhằm vào các cơ sở hạ tầng thông tin hiểm yếu của các tổ chức, tập đoàn kinh tế, tài chính tiếp tục cốt truyện phức tạp với tính chất, mức độ ngày càng phức tạp, nguy hiểm. Theo Phó Cục trưởng Cục An toàn thông tin (Bộ TT&TT) Nguyễn Trọng Đường, ngân hàng đang là một trong số đích ngắm đều đặn của tội phạm mạng.

Để làm rõ hơn về thực trạng công tác đáp ứng an toàn tin tức (ATTT) của đơn vị, doanh nghiệp hoạt động trong nghề ngân hàng, tài chính, ICTnews vừa có cuộc trao đổi với ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security.

Ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security.

Từ thực tiễn hỗ trợ các cơ quan, đơn vị, doanh nghiệp thời gian qua, ông đánh giá ra sao về đầu tư cũng như nhận thức, n ăng lực đáp ứng ATTT của các ngân hàng, tổ chức tài chính ?

Trong bối cảnh thị trường ATTT trong nước còn mới và Việt Nam vẫn còn ít các chính sách, tiêu chuẩn đảm bảo ATTT ngành, các ngân hàng và tổ chức tài chính lớn vì có cơ hội hòa nhập thị trường nước ngoài sớm hơn nên đã đầu tư để bảo đảm an toàn hệ thống của mình theo một số tiêu chí của quốc tế.

Tuy nhiên, việc đầu tư sẽ cực kỳ không trùng lặp đối với từng ngân hàng: có ngân hàng đầu tư dài hạn và thành lập hàng ngũ chuyên gia bảo hiểm ATTT riêng của mình, cũng có ngân hàng chọn hướng thuê ngoài các dịch vụ đảm bảo ATTT, có ngân hàng chỉ dùng các biện pháp ngoại, được đánh giá top thế giới… Song nhìn chung, các ngân hàng, đơn vị tài chính lớn đều có các sự nhìn nhận và đầu tư mạnh mẽ, thực tiễn hơn về việc đáp ứng ATTT.

Tuy nhiên, thực tiễn cho thấy, đầu tư các công nghệ tốt chỉ là phần nào việc trong nhiệm vụ bảo hiểm ATTT của tổ chức, ngoài ra vẫn còn biết bao công việc nội bộ mà các ngân hàng phải thi hành như: giám sát, có những phương án giải quyết sự cố phù hợp, các phương án quản trị rủi ro nội bộ, có quy trình phối hợp giữa nhiều phòng ban, các cuộc diễn tập đều đặn để rèn dũa đội ngũ cũng như thử quy trình…

Ông nghĩ sao khi có quan điểm nghĩ rằng những vụ tấn công mạng lớn như các vụ tiến công gây lộ lọt tin tức người dùng ngân hàng, tổ chức cung cấp dịch vụ chính là “hồi chuông cảnh tỉnh” để doanh nghiệp đoái hoài hơn đến ATTT?

Sự cố mất ATTT nào cũng đem lại thiệt hại cho tổ chức, nhỏ thì sẽ khiến đứt quãng hoạt động của 1 thành một phần đó, lớn hơn là ảnh hưởng tới khách hàng của tổ chức đó hay danh tiếng của tổ chức. Các sự cố này luôn là các tỉ dụ tiêu biểu để tham mưu cho những người đứng đầu tổ chức đoái hoài hơn về việc đáp ứng ATTT tin cho hệ thống của mình.

Tôi cho rằng, các đơn vị, doanh nghiệp không nên xấu hổ và giấu đi các sự cố mất ATTT. Các sự cố này cần phải được phân tích kĩ lưỡng và mang ra phương án khắc phục tận cội rễ vấn đề để không xảy ra các sự cố tương tự lần sau.

Lãnh đạo CMC từn g phản ánh sự cố mất ATTT nóng mấy cũng chỉ sau 2 tuần là bị quên lãng và nhiều đơn vị lại lơ là việc đảm bảo an toàn các hệ thống. Hiện tình trạng này đã được cải thiện chưa, thưa ông?

Đến nay, tình trạng nêu trên mặc dầu đã có cải thiện nhưng vẫn còn hiện diện ở biết bao doanh nghiệp. Như tôi đã chia sẻ ở trên, này là vấn đề suy luận và trách nhiệm của người đứng đầu. Nếu người đứng đầu tổ chức, doanh nghiệp không quan tâm tới ATTT, không đầu tư đủ cho ATTT thì các nhân sự kỹ thuật ở dưới cũng sẽ không có khả năng phòng thủ, chống lại các cuộc tiến công của tin tặc.

Thực tế là, khi sự cố mất ATTT xảy ra, nhiều chủ doanh nghiệp thường quy trách nhiệm ngay cho cơ quan CNTT hoặc bộ phận phụ trách ATTT chứ không đánh giá lại 1 cách rộng hơn là tổ chức mình đã đoái hoài tới việc bảo đảm ATTT hay chưa? có đầu tư đủ cho việc đáp ứng ATTT không?

Phó Tổng giám đốc CMC Cyber Security cho biết, hạn chế về nguồn lực CNTT, an toàn tin tức luôn cũng có thể xử lý bằng các dịch vụ thuê ngoài (Ảnh Trung tâm điều hành an ninh mạng CMC SOC)

Vậy để phòng tránh cũng giống kịp thời xử lý các sự cố tiến công mạng cũng đều có thể xảy ra, các ngân hàng, tổ chức tài chính cần lưu ý, quan tâm đến vấn đề gì?

Theo tôi lúc này vấn đề không còn là dùng giải pháp gì hoặc dùng kĩ thuật gì để phòng ngự nữa, đã có rất nhiều giải pháp, tư vấn, công nghệ rất mới và tốt của cả Việt Nam và thế giới. Việc quan trọng hiện giờ là thay đổi ý thức của lớp lãnh đạo, những người phải coi việc đáp ứng an toàn tin nghĩa là trách nhiệm của họ, để có những quan tâm và đầu tư đúng mức hơn cho an toàn thông tin.

Một trong các biện pháp mà tôi nghĩ nên làm, đó là việc quy trách nhiệm khi xảy ra sự cố an toàn thông tin cho những người đứng đầu cơ quan, tổ chức, tổ chức; hơn là đẩy phần trách nhiệm quá to này cho cơ quan đảm nhận an toàn tin tức hoặc CNTT.

Theo kết quả khảo sát của Cục ATTT, 2 nhân tố gây trở ngại lớn nhất cho chuyện đáp ứng ATTT của n gân hàng là: nhân viên đều đặn vi phạm các chủ trương an toàn, bảo mật tin tức và có hạn về nguồn nhân công CNTT, ATTT. Xin ông cho biết các ngân hàng phải làm những gì để băng qua những trở ngại này?

Đào tạo, truyền thông ý thức về ATTT, diễn tập giải quyết sự cố ATTT và quan sát liên tiếp 24/7 là những biện pháp mà tổ chức có thể áp dụng để cải thiện tình hình phạm luật chính sách ATTT của người dùng. Việc huấn luyện và diễn tập cần phải được thực hành thường xuyên, hãy coi đây là nhiệm vụ truyền thông nội bộ mà các tổ chức cần làm, nên làm hơn là những việc chỉ làm cho có và sẽ cho vừa một quy chế nào đó.

Hạn chế về nguồn lực CNTT, ATTT luôn cũng có thể có thể xử lý bằng các dịch vụ thuê ngoài. Các doanh nghiệp nội địa hãy tin tưởng và trao cơ hội cho những dịch vụ thuê ngoài đáp ứng ATTT do các các công ty Việt Nam cung cấp. Cộng đồng ATTT Việt Nam luôn muốn tăng cường chất lượng dịch vụ, chung tay bổ trợ các doanh nghiệp trong nước đối đầu với những nguy cơ ngày càng nguy hiểm và phức tạp về bảo mật hiện nay.

Xin cảm ơn ông!