Rủi ro môi trường điện toán đám mây với lĩnh vực ngân hàng

Điện toán đám mây (cloud computing) mang lại sự linh hoạt, tiện lợi và khả năng mở rộng nhanh chóng. Theo báo cáo gần đây của IDC Financial Insights, “Xu hướng dịch chuyển lên môi trường điện toán đám mây của các ngân hàng ở Châu Á / Thái Bình Dương năm 2022: Điện toán đám mây thực sự trở thành yếu tố kinh doanh quan trọng”, điện toán đám mây đã trở thành một phần quan trọng trong chiến lược của các ngân hàng nhằm đạt được và duy trì lợi thế cạnh tranh trong các dịch vụ tài chính kỹ thuật số. Đây là một bước nhảy vọt sau nhiều năm trì hoãn môi trường đám mây, do những rào cản quy định ban đầu mà các ngân hàng phải vượt qua.

Ông Phó Đức Giang, Giám đốc, An ninh mạng và Bảo mật thông tin, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam

Theo nghiên cứu, ngân sách điện toán đám mây tiếp tục tăng, với 92% ngân hàng trong khu vực Châu Á / Thái Bình Dương được khảo sát có kế hoạch tăng chi tiêu cho điện toán đám mây vào năm 2022 so với 89% vào năm 2020.

Các ngân hàng đang ở môi trường hỗn hợp và đa đám mây. Khoảng 93% dự kiến sẽ hoạt động trong môi trường hỗn hợp và đa đám mây vào năm 2023. Tại Việt Nam, để thúc đẩy thanh toán không dùng tiền mặt, Chính phủ đã xây dựng các chương trình chuyển đổi số quốc gia ưu tiên lĩnh vực ngân hàng. Trong đó, điện toán đám mây có thể coi là giải pháp trọng tâm thúc đẩy chuyển đổi số.

Tuy nhiên, các tổ chức tài chính không phải là đơn vị duy nhất dịch chuyển lên điện toán đám mây. Tội phạm mạng cũng sẽ có xu hướng dịch chuyển mục tiêu tấn công lên môi trường điện toán đám mây.

Những rủi ro phổ biến với các tổ chức tài chính và cách ngăn chặn

Đầu tiên là rủi ro về trách nhiệm và dữ liệu. Mỗi loại dịch vụ điện toán đám mây tương ứng với mô hình trách nhiệm hay bảo mật dữ liệu khác nhau.

Tổ chức tài chính cần nhận thức rõ trách nhiệm về quản lý rủi ro bảo mật dữ liệu, tuân thủ theo luật định hay tính khả dụng của dữ liệu. Bên sử dụng dịch vụ điện toán đám mây cần hiểu rõ trách nhiệm của mình ở đâu và của nhà cung cấp dịch vụ điện toán đám mây thế nào, từ đó áp dụng các biện pháp giảm thiểu rủi ro phù hợp tương ứng.

Về cơ bản, để giảm thiểu rủi ro liên quan tới dữ liệu trên môi trường điện toán đám mây thì tổ chức tài chính cần yêu cầu nhà cung cấp dịch vụ điện toán đám mây phân chia vùng quản lý, sử dụng và lưu trữ dữ liệu giữa các khách hàng cùng sử dụng dịch vụ điện toán đám mây với nhau. Bên cạnh đó, chúng ta cũng nên chủ động tự áp dụng các biện pháp mã hóa dữ liệu hay thiết lập mã hóa dữ liệu có sẵn trên hệ thống điện toán đám mây để bảo vệ dữ liệu của doanh nghiệp.

Ông Lê Thái Thuyên, Trưởng phòng, An ninh mạng và Bảo mật thông tin, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam

Kế tiếp, quản lý rủi ro tuân thủ theo quy định pháp lý, các thông lệ, chuẩn mực trên môi trường điện toán đám mây là cần thiết. Đối với các tổ chức thuộc lĩnh vực tài chính, bên cạnh việc phải tuân thủ pháp luật Việt Nam, tổ chức đó phải tuân thủ theo các văn bản, thông tư do Ngân hàng Nhà nước Việt Nam ban hành, cụ thể như:

- Đối với hệ thống thông tin cấp độ 3 trở nên cần đánh giá rủi ro công nghệ thông tin và thực hiện đánh giá sự tuân thủ của nhà cung cấp điện toán đám mây định kỳ hàng năm hoặc đột xuất khi có nhu cầu.

- Bên thứ ba phải cung cấp: công cụ kiểm soát chất lượng dịch vụ đám mây; phải có quy trình giám sát, kiểm soát chất lượng dịch vụ đám mây.

- Thực hiện trả lại hoặc hỗ trợ chuyển toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá trình sử dụng dịch vụ về cho tổ chức.

- Xóa toàn bộ dữ liệu của tổ chức trong một khoảng thời gian xác định.

Cuối cùng, rủi ro về tính sẵn sàng và khả năng phục hồi của hệ thống thông tin các tổ chức trên môi trường điện toán đám mây cũng cần được xem xét nghiêm túc. Việc thuê ngoài cơ sở hạ tầng công nghệ thông tin của nhà cung cấp điện toán đám mây có thể làm tăng rủi ro liên quan tới tính vận hành liên tục trong hoạt động kinh doanh, vì lý do cơ bản là hệ thống thông tin sẽ nằm ngoài tầm kiểm soát của tổ chức. Chẳng hạn như rủi ro mất kết nối đến môi trường điện toán đám mây hay sự cố hệ thống trên môi trường điện toán đám mây không hoạt động đúng cách.

Minh họa trách nhiệm của nhà cung cấp điện toán đám mây và trách nhiệm của khách hàng- Đối tượng sử dụng dịch vụ điện toán đám mây.

Năm 2019, Ngân hàng Capital One tại Mỹ xảy ra một vụ vi phạm dữ liệu lớn. Một tin tặc đã có được quyền truy cập vào tài khoản và ứng dụng thẻ tín dụng của khách hàng Capital One. Tin tặc bị cáo buộc đột nhập vào máy chủ Capital One và giành quyền truy cập vào 140.000 số An sinh xã hội, 1 triệu số Bảo hiểm xã hội Canada và 80.000 số tài khoản ngân hàng, ngoài một số không được tiết lộ về tên, địa chỉ, điểm tín dụng, hạn mức tín dụng của mọi người, số dư và thông tin khác, theo ngân hàng và Bộ Tư pháp Hoa Kỳ.

Một đơn tố cáo hình sự cho biết tin tặc đã cố gắng chia sẻ thông tin với những người khác trên mạng. Người này sống ở Seattle, trước đây đã từng là kỹ sư phần mềm của công ty công nghệ Amazon (AMZN) Web Services, công ty cung cấp dịch vụ lưu trữ đám mây mà Capital One đang sử dụng. Kẻ đột nhập có thể có quyền truy cập bằng cách khai thác tường lửa ứng dụng web (WAF) bị cấu hình sai, theo hồ sơ tòa án.

Capital One cho biết họ sẽ thông báo cho những người bị ảnh hưởng bởi vi phạm và sẽ cung cấp dịch vụ giám sát tín dụng và bảo vệ danh tính miễn phí. Công ty dự kiến sẽ phải chịu từ 100 triệu đến 150 triệu USD chi phí liên quan đến vụ việc, bao gồm thông báo cho khách hàng, giám sát tín dụng, chi phí kỹ thuật và hỗ trợ pháp lý do sự cố bảo mật này. Cổ phiếu của Capital One đã sụt giảm 5% sau đó.

Khuyến nghị đối với các tổ chức tài chính tại Việt Nam

Như vậy để giảm thiểu rủi ro, các tổ chức tài chính khi dịch chuyển các dịch vụ trọng yếu lên môi trường điện toán đám mây nên đánh giá rủi ro công nghệ và tuân thủ với các nhà cung cấp dịch vụ điện toán đám mây định kỳ hoặc đột xuất, nêu rõ các yêu cầu cam kết chất lượng dịch vụ và xóa dữ liệu khi cần trong hợp đồng. Bên cạnh đó, cần chủ động áp dụng các biện pháp mã hóa dữ liệu hay thiết lập mã hóa dữ liệu có sẵn trên hệ thống điện toán đám mây để bảo vệ dữ liệu của tổ chức và sử dụng các hệ thống dự phòng khác nếu sự cố xảy ra.