Chiến lược An toàn thông tin trong ngành Ngân hàng

Ảnh minh họa

Nhìn lại khoảng thời gian cách đây 10 - 15 năm, khi đó các giải pháp bảo mật chỉ giới hạn trong Firewall (bức tường lửa), cấu hình, việc đóng mở các cổng kết nối và các phần mềm phòng chống virus. Hầu hết các các tổ chức, doanh nghiệp (DN) đều đã đầu tư vào hệ thống bảo mật, bảo vệ máy chủ và trung tâm dữ liệu. Chúng ta xây dựng các lớp Firewall bảo vệ hệ thống máy chủ và cơ sở dữ liệu, chia tách phân vùng DMZ (vùng mạng trung lập giữa mạng nội bộ và internet) với các kết nối bên ngoài... Lúc này, Firewall như một tòa thành trì với nhiều lớp khác nhau.

Tuy nhiên bất cứ hệ thống ứng dụng nào cũng cần phải có dữ liệu để vận hành. Các thiết bị, máy tính cá nhân khi kết nối một cách hợp lệ thông qua các ứng dụng đã tạo ra những tiềm ẩn điểm yếu về bảo mật. Firewall mới chỉ dừng lại là các biện pháp để phòng vệ thô sơ, chống tấn công đơn giản từ bên ngoài.

Trong thời đại công nghệ hiện nay, giải pháp công nghệ thông tin (CNTT) ngày càng hiện đại nhưng cũng đi kèm với những thách thức và mối đe dọa rõ rệt hơn, phạm vi lớn hơn. Các DN, đặc biệt là DN ngành tài chính ngân hàng phải đối mặt với nhiều nguy cơ tiềm ẩn đến từ việc gian lận tài chính, tấn công có chủ đích, thất thoát dữ liệu nhạy cảm hoặc lây nhiễm mã độc, thậm chí là hiểm họa đến từ việc tấn công khai thác các lỗ hổng vừa được phát hiện và chưa kịp thời gian để chỉnh sửa, vá lỗi từ các nhà cung cấp.

Nhận thức được tầm quan trọng của Chiến lược An toàn thông tin (ATTT), thấy được trách nhiệm bảo mật đối với các thông tin khách hàng cũng như với các giải pháp chiến lược hoạt động, nhiều ngân hàng thương mại đã chủ động triển khai các nhóm giải pháp an toàn bảo mật sau:

Firewall, IPS và NextGen Firewall: Tăng cường gia tăng đầu tư vào hệ thống Firewall, đặc biệt là thế hệ NextGen để ngăn chặn truy cập bất hợp pháp và các cuộc tấn công. Đối với các Firewall thế hệ cũ chỉ hoạt động ở tầng giao vận (Layer 4 - OSI). Tuy nhiên với thế hệ NextGen Firewall mới, hệ thống hỗ trợ cho việc hoạt động cả ở tầng ứng dụng (Layer 7 - OSI), cung cấp một giải pháp toàn diện cho người quản trị về đảm bảo an ninh và quản lý hệ thống.

Anti-Malware: Đầu tư vào các phần mềm phòng chống mã độc. Với môi trường công nghệ và hoạt động internet dầy đặc như ngày nay thì việc trang cấp cho tổ chức các phần mềm phòng chống mã độc gần như là một trong những điều kiện tiên quyết. Mọi DN cần phải nhận thức được điều này để có biện pháp phòng chống cũng như xử lý khi hệ thống máy trạm/máy chủ bị lây nhiễm mã độc.

Data Lost Protection: Chống thất thoát các dữ liệu nhạy cảm qua các máy trạm và thiết bị đầu cuối, mạng, email, truy cập internet, giúp tăng cường bảo mật cho máy tính người dùng. Giám sát việc truy cập và sử dụng các dữ liệu nhạy cảm là hoạt động quan trọng đối với các DN có quản lý các loại dữ liệu kinh doanh nhạy cảm như chứng khoán, ngân hàng, bảo hiểm, viễn thông… Một DN không trang bị giải pháp giám sát sẽ không thể phát hiện được đầy đủ các nguy cơ, hiểm họa xảy ra cho DN mình khi để thất thoát dữ liệu ra bên ngoài.

Access Management: Đồng bộ việc quản lý tài khoản và quyền của người dùng, quản lý và phân vùng các truy cập đến các tài nguyên của tổ chức. Với hệ thống của những DN có nhiều website và ứng dụng thì việc quản lý tài khoản, quyền hạn là rất cần thiết nhằm đem lại nhiều thuận tiện cho người dùng cũng như tăng cường tính năng bảo mật.

Fraud Analytics, Monitoring, Fraud Investigation: Giám sát chi tiết các giao dịch, các kết nối mạng, hiệu năng của hệ thống, phát hiện các vấn đề bất thường. Các DN liên quan đến tài chính, ngân hàng cần phải nhanh chóng bổ sung vào kế hoạch trang cấp, cũng như kiện toàn hệ thống CNTT với các hệ thống hỗ trợ giám sát giao dịch, điều tra gian lận, từng bước tổng hợp, phân tích dữ liệu của khách hàng và xây dựng bộ nguyên tắc để phát hiện các gian lận có thể.

Software Development Life Cycle (SDLC), Security Testing: Tích hợp yêu cầu ATTT vào trong quy trình phát triển phần mềm. Các quy trình chuẩn trong phát triển phần mềm cần phải được thay đổi, cập nhật để đảm bảo có kèm theo các yêu cầu của an toàn bảo mật xuyên suốt trong toàn bộ quá trình phát triển sản phẩm.

Change Management: Quản lý/phê duyệt các thay đổi theo từng hệ thống, đặc biệt là các rủi ro phát sinh trong thay đổi được lường trước và định lượng, kiểm soát. Hệ thống Production chỉ có thể được truy cập sau khi đã thông qua quá trình SDLC chuẩn và phê duyệt bởi hệ thống quản lý thay đổi. Các nguyên tắc 2 tay, 4 mắt cần được chấp hành một cách nghiêm túc, đồng thời không có bất kỳ một cá nhân nào được quyền biết hoàn toàn các mật khẩu của hệ thống máy chủ.

Đánh giá rủi ro CNTT: Chủ động nhận biết và đánh giá những rủi ro tiềm ẩn, đưa ra các giải pháp để giảm thiểu, loại trừ rủi ro. Các DN cần thực hiện đánh giá định kỳ rủi ro về CNTT (đánh giá RCSA), xác định các lĩnh vực Red, Orange, Green để có đánh giá thực trạng hợp lý và kế hoạch tăng cường đảm bảo ATTT, giảm thiểu rủi ro.

Chiến lược ATTT có thể coi là một cuộc đua về an toàn bảo mật mà không bao giờ có đích đến. Đó là cuộc đua mãi mãi giữa những người sở hữu thông tin và các thế lực tấn công. Vấn đề chính là chúng ta tham gia cuộc đua đó với những hỗ trợ thế nào, tâm thế và khả năng chủ động ra sao để luôn giành phần thắng trên từng chặng đua. Bảo mật là không ngừng tăng cường, nâng cấp cả về con người, công nghệ, tầm nhìn và chiến lược. Do đó, DN cần tiếp tục đưa ra các giải pháp nhằm tối ưu hóa Chiến lược ATTT để tạo tiền đề cho việc phát triển DN một cách bền vững.