Bảo mật thông tin: Yếu tố con người là trọng yếu
Bảo mật thông tin | |
NHNN yêu cầu tăng cường bảo mật thông tin khách hàng | |
Những nguyên tắc vàng trong sử dụng thẻ tín dụng |
Ông Ngô Tấn Vũ Khanh |
Công nghệ thông tin - truyền thông (CNTT-TT) phát triển vũ bão như hiện nay là thách thức cho bất kỳ DN nào ở Việt Nam trong bối cảnh đối phó với việc mất an toàn thông tin. Với ngân hàng - một ngành khá đặc thù khi là đơn vị tiếp xúc và lưu trữ rất nhiều thông tin khách hàng, đặc biệt là các thông tin quan trọng thì việc đảm bảo bí mật thông tin là điều kiện sống còn của ngân hàng.
Xung quanh vấn đề này, Thời báo Ngân hàng đã có trao đổi với ông Ngô Tấn Vũ Khanh - Giám đốc phát triển Kaspersky Lab Việt Nam.
Rủi ro mất an toàn thông tin trong bối cảnh hiện nay cần ngân hàng nhận diện ra sao, thưa ông?
Có thể thấy, cuộc chạy đua ứng dụng công nghệ trong ngành Ngân hàng khiến ngân hàng phải đối mặt với vấn đề bảo mật nói chung và mất an toàn thông tin người dùng nói riêng. Các nguy cơ có thể đến từ hai yếu tố chủ chốt.
Thứ nhất là yếu tố bên trong. Thật không may khi con người lại chính là yếu tố lớn nhất trong việc mất an toàn thông tin. Việc thất thoát dữ liệu hiện nay ở Việt Nam chủ yếu lại là do con người, đến từ việc cố ý lấy cắp dữ liệu cho đến ý thức/kiến thức về bảo mật kém của chính nhân viên vận hành (Non-IT). Kế đến là nguồn nhân lực cho bảo mật ở ngân hàng đang thiếu hụt cả về chất và lượng.
Thứ hai là yếu tố yếu tố bên ngoài, khả năng phòng thủ các đợt tấn công của ngân hàng không thật sự cao. Các ứng dụng và phần mềm trong ngành Ngân hàng thường không phải là một bức tranh tổng thể được thiết kế xuyên suốt mà có tính chắp vá và việc sử dụng quá nhiều Third-party (đơn vị thứ 3) cũng là một nguyên nhân lớn. Các công cụ bảo mật có thể rất nhiều tại ngân hàng lớn, nhưng lại chưa được tận dụng triệt để, hết công suất. Trong khi các ngân hàng quy mô nhỏ lại thiếu kinh phí đầu tư bài bản cho các giải pháp bảo mật nói chung và an toàn thông tin nói riêng.
Trên thực tế, hiện các ngân đã và đang đầu tư mạnh hơn cho công tác bảo mật. Nhưng bảo mật thông tin khách hàng chỉ phụ thuộc phía ngân hàng, thưa ông?
Một thực tế hiện nay là bảo mật tại ngân hàng đang được định nghĩa và tập trung ở “thiết bị” hoặc các phần mềm về bảo mật, trong khi thông tin khách hàng lại chứa trong một phần mềm quản trị khách hàng và vận hành nào đó (ví dụ như CRM - quản trị quan hệ khách hàng hay corebanking…). Chính bản thân các phần mềm này liệu đã bảo đảm tính an toàn thông tin hay không là một dấu hỏi rất lớn.
Tất nhiên, việc bảo mật thông tin không chỉ phụ thuộc từ phía ngân hàng mà còn phụ thuộc vào các đối tác của ngân hàng trong quá trình vận hành. Sự chuyển đổi số và chia sẻ CRM đem đến sự trải nghiệm tuyệt vời cho khách hàng nhưng cũng là đích đến cho những hacker xâm nhập vào các hệ thống phụ (hay các hệ thống/phần mềm/ứng dụng) của ngân hàng và làm bàn đạp tấn công vào các hệ thống chính để có trọn vẹn thông tin cá nhân người dùng. Bên cạnh đó, nhiều khách hàng quá dễ dãi trong việc chia sẻ thông tin cá nhân trong các trường hợp như khi mua sắm, ăn uống… và chia sẻ thông tin để được tích điểm thưởng cũng là một lý do gây mất an toàn thông tin. Do đó, bảo mật thông tin khách hàng phụ thuộc từ rất nhiều phía.
Vậy các tổ chức tài chính cần chú trọng điều gì khi lựa chọn các giải pháp bảo mật thông tin?
Trước hết cần tăng cường đào tạo nhân việc vận hành (non-IT) của mỗi ngân hàng cả về đạo đức lẫn kiến thức về an toàn bảo mật thông tin. Song song với đó tăng cường các khóa đào tạo cao cấp cho các chuyên gia về bảo mật. Việc này, một phần nhằm tăng cường đội ngũ, một phần để tạo động lực học tập cho nhân viên. Thường xuyên kiểm tra sức khỏe toàn bộ hệ thống ngân hàng về bảo mật. Có một hệ thống bảo mật đủ tốt (multi-layer security) để vận hành cũng như chống các cuộc tấn công có chủ đích (APT) đang rất phổ biến hiện nay trong ngành Ngân hàng.
Trường hợp xảy ra rủi ro khi có sự cố, tôi cho rằng hãy khoan sử dụng hệ thống backup/DR mà nên có các cuộc điều tra số và kiểm tra nguyên nhân sự cố bảo mật. Nếu được, hãy sử dụng các dịch vụ chuyên gia về bảo mật trong các sự cố security khi nhân sự tại chính ngân hàng đó không thật sự quá tốt. Và tất nhiên trong bất kỳ sự cố nào ngân hàng cũng cần sự bình tĩnh, có chiến lược ứng phó với truyền thông hợp lý và đúng đắn.
Xin trân trọng cảm ơn ông!