SWIFT: Các ngân hàng phải chịu trách nhiệm
Từ vụ tin tặc tấn công phần mềm của SWIFT | |
Vụ mất 81 triệu USD của NHTW Bangladesh: Có thể do tin tặc tấn công vào phần mềm của SWIFT |
Khách hàng phải tự chịu trách nhiệm
Hiệp hội Viễn thông tài chính liên NH toàn thế giới (SWIFT) - mạng chuyển tiền, thông tin và là trung tâm của hệ thống tài chính toàn cầu vừa đưa ra khẳng định cho rằng, các NH - khách hàng của SWIFT - phải có trách nhiệm đảm bảo an ninh cho hệ thống các máy tính được sử dụng để gửi tin qua mạng lưới tin điện của SWIFT.
Đây là diễn biến tiếp theo sau vụ tin tặc (hacker) tấn công và lấy cắp 81 triệu USD của NHTW Bangladesh mới đây nhờ sử dụng phần mềm độc hại để chỉnh sửa phần mềm khách hàng của SWIFT từ tài khoản NHTW Bangladesh tại NH Dự trữ Liên bang (Fed) New York vào tháng 2 vừa qua. Đây là một trong những vụ trộm cắp thông qua tấn công mạng lớn chưa từng có trong lịch sử.
Vụ việc mất tiền qua giao dịch của hệ thống SWIFT đang làm dấy lên lo ngại về sự yếu kém của hệ thống thanh toán toàn cầu |
“SWIFT không có và không thể chịu trách nhiệm trong quyết định của khách hàng để lựa chọn, triển khai và duy trì các bức tường lửa cũng như không thể đảm bảo tính đúng đắn đối với các mạng nội bộ của khách hàng. Là đối tượng sử dụng SWIFT, khách hàng phải có trách nhiệm về an ninh đối với hệ thống của mình trong giao diện với mạng lưới của SWIFT cũng như với môi trường xung quanh khác” - Bức thư gửi cho các khách hàng của SWIFT ngày 3/5 vừa qua cho biết.
Hãng tin Reuters đã biết được nội dung của bức thư này vào ngày 11/5. Các chi tiết của bức thư lần đầu tiên được đưa ra trong tuần này bởi các trang web The Banker và Payments Cards and Mobile. Một nhân vật thạo tin cho biết, kể từ khi tổ chức này được thành lập vào năm 1973, đây là lần đầu tiên SWIFT gửi đi một bức thư như vậy.
Các cựu nhân viên SWIFT cho biết, tổ chức này luôn khẳng định với khách hàng của SWIFT về việc họ phải có trách nhiệm đảm bảo an ninh cho các kết nối, truy cập của mình vào hệ thống SWIFT. Hơn nữa, SWIFT không thể đảm bảo rằng tội phạm sẽ không truy cập được vào các mật mã SWIFT của khách hàng, cũng như các thiết bị đã được mã hóa để xác định người sử dụng hợp pháp.
Nói với Reuters ngày 11/5, bà Natasha Deteran - người phát ngôn của SWIFT cho biết, SWIFT đăng ký và xác thực khách hàng của mình, đồng thời cung cấp cho họ các công cụ mã hóa như chữ ký số và các công cụ hạ tầng khóa công khai (PKI) để nhận dạng người dùng được phép sử dụng mạng của SWIFT.
“Khách hàng phải chịu trách nhiệm về tất cả các tin điện theo xác thực của họ cũng như phải bảo vệ các xác thực của mình và đảm bảo chỉ những người được quyền mới có thể ký các tin điện. SWIFT không có và không thể chịu trách nhiệm cho các tin nhắn được tạo ra một cách gian lận từ trong nội bộ của khách hàng” – bà Natasha Deteran tái khẳng định lại nội dung được nêu trong bức thư của SWIFT gửi khách hàng vừa qua.
Fed New York cũng vô can
Phần tiền bị đánh cắp (81 triệu USD của NHTW Bangladesh có tài khoản tại Fed New York) đã được thực hiện trước khi xuất hiện các lệnh lừa đảo yêu cầu chuyển tiền tới Bangladesh.
Một quan chức của Fed New York cho biết, mỗi NHTW có tài khoản tại Fed đều đã đồng ý rằng, Fed New York có thể dựa vào các giao thức tin nhắn SWIFT để xác định chủ sở hữu tài khoản đã gửi yêu cầu thanh toán. Theo quan chức trên, thỏa thuận này được ràng buộc theo luật thanh toán của Mỹ đối với các yêu cầu ủy quyền và xác nhận thanh toán.
Theo một số cựu nhân viên của SWIFT và các chuyên gia ngành công nghiệp thanh toán, việc hoàn thành nhanh chóng các hướng dẫn thanh toán khi nhận được các tin điện SWIFT có hiệu lực chính là mục đích chính của hệ thống thanh toán này. Điều này dường như là cơ sở pháp lý để Fed cho rằng họ đã không làm điều gì sai trái trong bối cảnh NHTW Bangladesh có thể kiện để đòi lại khoản tiền đã mất.
Đại diện của SWIFT, Chủ tịch Fed New York William Dudley và Thống đốc NHTW Bangladesh Fazle Kabir đã có cuộc gặp vào ngày 10/5 vừa qua tại Basel, Thụy Sỹ để thảo luận về vụ lừa đảo vừa qua.
Kết thúc cuộc họp, các bên liên quan đã đưa ra một tuyên bố chung trong đó cam kết sẽ hợp tác để truy tìm và thu hồi phần tiền bị đánh cắp. Đây cũng là cuộc gặp lần đầu tiên giữa các bên liên quan sau khi xảy ra vụ việc trên và từ đó đến nay, các bên vẫn đổ lỗi cho nhau.
Trong một động thái liên quan, FireEye Inc - công ty được NHTW Bangladesh thuê điều tra vụ việc này cho biết, có 3 nhóm hacker liên quan đến vụ việc này. Trong đó, họ đã xác định được dấu vân tay kỹ thuật số của 2 nhóm hacker đến từ Pakistan và Bắc Triều Tiên xuất hiện trong hệ thống mạng của NHTW Bangladesh. Tuy nhiên, các chuyên gia của FireEye Inc chưa tìm được đủ dữ liệu để xác định xem nhóm thứ ba - thủ phạm thực sự gây ra vụ đánh cắp - là ai và đến từ đâu.
Cục Điều tra Liên bang Mỹ nghi ngờ có một đối tượng trong cuộc với quyền truy cập vào các máy tính tại NHTW Bangladesh đã đóng một vai trò quan trọng trong vụ việc vừa qua.
Cảnh sát ở Bangladesh cũng khẳng định họ đã phát hiện những sơ suất trong NHTW nước này, như các biện pháp bảo mật máy tính rất thiếu quản lý nghiêm ngặt, thậm chí thiếu cả các biện pháp phòng ngừa cơ bản như tường lửa hay dựa vào sử dụng thiết bị chuyển mạch (switch) đã qua sử dụng có giá chỉ 10 USD để kết nối mạng máy tính của NH với SWIFT. Tuy nhiên, cơ quan này cũng chưa xác định được liệu có bất kỳ ý đồ tội phạm nào thông qua các kẽ hở đó hay không.