SWIFT có chậm chạp trong xử lý các điểm yếu an ninh?
SWIFT: Các ngân hàng phải chịu trách nhiệm | |
Từ vụ tin tặc tấn công phần mềm của SWIFT |
Quy mô mở rộng và đòi hỏi tăng cường an ninh của SWIFT |
Rủi ro biết trước
Một báo cáo đặc biệt về vấn đề này vừa được Hãng tin Reuters đăng tải. Theo báo cáo này, có nhiều cựu thành viên HĐQT và các nhà quản lý cao cấp hoặc đang tại vị của Hiệp hội Viễn thông tài chính liên NH toàn thế giới (SWIFT) - mạng chuyển tiền, thông tin và là trung tâm của hệ thống tài chính toàn cầu - khẳng định đã nghi ngờ về những điểm yếu trong cách thức các NH nhỏ sử dụng hệ thống của SWIFT nhưng chúng đã không được giải quyết kịp thời.
Các nguồn tin này cho biết, ngay cả đến tháng 2 vừa qua, khi các tin tặc đã tấn công với ý định đánh cắp gần 1 tỷ USD bằng cách đột nhập vào hệ thống tin điện tại NHTW Bangladesh thì SWIFT vẫn không coi sự an toàn của thiết bị đầu cuối của khách hàng như là một ưu tiên.
Các giám đốc điều hành đã hoặc không nhận được thông tin từ các NH thành viên về những hành động tấn công cụ thể vào mạng tin điện, hoặc không tự phát hiện được những hành động như vậy.
Lục lại các báo cáo hàng năm và các kế hoạch chiến lược của SWIFT trong 17 năm qua, Reuters chỉ tìm thấy một tham chiếu duy nhất liên quan đến việc đến SWIFT muốn giúp người sử dụng đảm bảo an toàn cho các hệ thống của họ.
Và tài liệu tham khảo để giúp "cộng đồng của chúng tôi tăng cường cơ sở hạ tầng riêng của mình" xuất hiện trong báo cáo thường niên năm 2015 nhưng lại được công bố vào tháng 6/2016 - tức là cũng sau khi vụ tấn công mạng tại Bangladesh đã xảy ra và hacker đã đánh cắp được 81 triệu USD.
Leonard Schrank, Giám đốc điều hành của SWIFT giai đoạn 1992-2007 cho biết: "HĐQT đã tập trung vào những thứ khác mà không phải vào vấn đề nền tảng và vai trò quan trọng của SWIFT, đó là sự an toàn và độ tin cậy của hệ thống này".
Chính Schrank cho biết ông đã được cảnh báo về việc thiết bị đầu cuối của một số khách hàng đấu nối vào hệ thống có những điểm yếu nhưng đã dành quá ít sự lưu tâm đến nó. "Vì vậy, tôi cũng chịu trách nhiệm một phần về điều này", Schrank thừa nhận.
Chính vì những rủi ro như vậy không được đánh giá đúng mức nên hành động để đối phó cũng không đủ lớn và hậu quả đã xảy ra. Các nguồn tin cũng cho biết, SWIFT đã xem kết nối của các khách hàng nhỏ (những NH nhỏ tham gia SWIFT) vào hệ thống chính là những mối rủi ro tiềm tàng dù có thể nó không xảy ra ngay lập tức.
Bên cạnh đó, cựu thành viên HĐQT Arthur Cousins cho biết, SWIFT không hành động còn vì tin rằng, các nhà điều tiết NH - chứ không phải là SWIFT - phải chịu trách nhiệm đảm bảo thủ tục an ninh của các NH nhỏ và như thế là đủ mạnh để đẩy lùi các hacker.
Người phát ngôn của SWIFT thì vẫn khẳng định rằng: “SWIFT và HĐQT luôn chú tâm đến vấn đề an toàn, liên tục giám sát môi trường và ứng phó bằng cách tập trung vào các vấn đề an ninh cụ thể một khi phát hiện các mối đe dọa”.
Có một điều thú vị là, SWIFT đã và cho đến nay vẫn nằm trong sự chi phối bởi các NH lớn của phương Tây (trong đó có các NH như Citibank, JP Morgan, Deutsche Bank, BNP Paribas…) và hệ thống mạng thanh toán này đã được xây dựng từ nhiều thập kỷ trước đây.
Có lẽ điều đó cũng góp phần vào sự thiếu quan tâm đủ lớn bởi vì các NH lớn thường có xu hướng xây dựng đủ các hàng rào phòng thủ để ngăn chặn tội phạm xâm nhập vào hệ thống SWIFT của họ. Tuy nhiên kể từ những năm 1990, nhiều NH nhỏ tại các thị trường mới nổi đã tham gia vào SWIFT và một số trong đó có thể có hệ thống an ninh máy tính yếu. Tính đến hiện nay đã có hơn 10.000 định chế tài chính kết nối với SWIFT.
Phải thay đổi
Ông Gottfried Leibbrandt, Giám đốc điều hành SWIFT từ năm 2012 cho biết, chỉ có lợi ích của "nhận thức" sẽ cho thấy sự cần thiết phải tập trung hơn vào an ninh tại các thiết bị đầu cuối của khách hàng. "Đôi khi một cuộc khủng hoảng xảy đến sẽ giúp thay đổi mọi thứ” – Leibbrandt nói.
Vụ tin tặc (hacker) tấn công và lấy cắp 81 triệu USD của NHTW Bangladesh nhờ sử dụng phần mềm độc hại để chỉnh sửa phần mềm khách hàng của SWIFT từ tài khoản NHTW Bangladesh tại NH Dự trữ Liên bang New York vào tháng 2 vừa qua là một trong những vụ trộm cắp thông qua tấn công mạng lớn chưa từng có trong lịch sử.
Cho dù vụ việc cụ thể của NHTW Bangladesh chỉ là cá biệt nhưng các cựu thành viên HĐQT và nhà quản lý của SWIFT đều cho rằng, điều đó cho thấy hệ thống này đang trở nên dễ bị tổn thương hơn vì quy mô của nó đã lớn hơn trước rất nhiều.
Alessandro Lanteri, cựu giám đốc điều hành NH Unicredit của Ý và từng là thành viên HĐQT của SWIFT giai đoạn 1995 - 2000 cho biết, những thách thức an ninh gia tăng khi các NH nhỏ tại các thị trường mới nổi gia nhập mạng lưới SWIFT. "Luôn luôn có khó khăn để giữ cho hệ thống bảo mật hiệu quả khi bạn giải quyết với các NH nhỏ ở các nước mới nổi. Rất khó để đảm bảo rằng tất cả các quy định về an ninh được quản lý một cách chính xác" – người này cho biết.
Hiện số lượng các nước và vùng lãnh thổ được bao phủ bởi SWIFT đã tăng lên từ con số 126 năm 1994 đến 200 năm 2003 và hiện tại là 212. Các NH phương Tây lớn coi SWIFT là hệ thống tin điện thanh toán có chi phí hiệu quả và an toàn hơn so với các hệ thống khác. Họ cũng khuyến khích các NH nhỏ tại các quốc gia trở thành thành viên của mạng lưới thanh toán này.