Chủ động ứng phó với tấn công mạng vào ngành tài chính, ngân hàng

Chia sẻ Facebook
01/10/2022 10:53:54

Cùng với những lợi ích của tiến trình chuyển đổi số, lượng dữ liệu và tài sản số “khổng lồ” của các ngân hàng đang phải đối mặt với nguy cơ bị tội phạm mạng “rình rập”.


Để tránh tình trạng "mất bò mới lo làm chuồng", đã đến lúc các ngân hàng cần nâng cao nhận thức về an toàn, an ninh mạng, chủ động nhận diện và ngăn chặn hành vi xâm hại hệ thống, đồng thời đánh giá tính hiệu quả của công cụ bảo mật đã đầu tư.


An ninh mạng thách thức ngân hàng số

Theo khảo sát của Ngân hàng Nhà nước, số hóa giúp các ngân hàng tiết kiệm từ 60-70% chi phí. Do đó, các ngân hàng có xu hướng tiếp cận ngày càng sâu hơn với việc chuyển dịch lên ngân hàng số, tích hợp đa chiều nhằm cung ứng dịch vụ tài chính trọn gói, đa dạng theo nhu cầu của thị trường để tạo ra lợi thế cạnh tranh.

Cùng với chuyển đổi số ngành ngân hàng, lượng dữ liệu người dùng và giao dịch cũng tăng mạnh. Số liệu từ Ngân hàng Nhà nước cho biết, đến tháng 6/2022, cả nước có tới 68% người trưởng thành mở tài khoản với hơn 114 triệu tài khoản. Mỗi ngày, các giao dịch số như Internet Banking, Mobile Money phát sinh tới 8 triệu giao dịch, tổng giá trị giao dịch khoảng 900.000 tỷ đồng (40 tỷ USD).

Với sự chuyển dịch mạnh mẽ lên môi trường số, khối lượng dữ liệu khổng lồ của ngân hàng trở thành đích ngắm hàng đầu của tội phạm mạng. Theo Báo cáo Tình hình An ninh mạng quý 2/2022 của Công ty An ninh mạng Viettel (Viettel Cyber Security – VCS), 68% tổng số các cuộc tấn công mạng có liên quan đến các tổ chức tài chính ngân hàng. Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cũng ghi nhận hơn 1.000 lượt phản ánh về các vụ lừa đảo liên quan đến ngân hàng trên không gian mạng trong nửa năm qua.

Hơn bao giờ hết, đã đến lúc các ngân hàng phải chủ động trong việc xử lý bảo vệ dữ liệu và quản lý rủi ro an ninh, an toàn thông tin (ATTT) để "bứt tốc" và nâng cao sức cạnh tranh trong cuộc đua chuyển đổi số.

Là một trong những ngân hàng thương mại cổ phần lớn nhất Việt Nam với 200 chi nhánh tại các tỉnh, thành phố trong cả nước, Ngân hàng X cũng nằm trong diện bị các đối tượng xấu thực hiện nhiều cuộc tấn công mạng. Tuy rằng các chương trình bảo mật của ngân hàng vẫn đang hoạt động tốt, nhưng không hàm nghĩa sẽ đảm bảo cho dữ liệu ngân hàng được an toàn tuyệt đối.

Trước các cuộc tấn công mạng đang ngày càng thiên biến vạn hóa, giới lãnh đạo ngân hàng X hằng năm đều đầu tư thêm rất nhiều cho các hệ thống, phần mềm ATTT, nhưng nguy cơ bị tấn công và khai thác các lỗ hổng thông tin vẫn thường trực. Nỗi lo lớn nhất là sức mạnh của các hệ thống bảo mật và các giải pháp bảo mật đang có đã thực sự đảm bảo ATTT hay chưa? Liệu sau khi triển khai các giải pháp bảo mật còn tồn tại lỗ hổng ATTT nào không?

Để giải quyết những băn khoăn thường trực này, Ngân hàng X đã lựa chọn dịch vụ Kiểm tra, đánh giá ATTT (Penetration Testing - Pentest) của Công ty An ninh mạng Viettel, nhằm mục tiêu kiểm tra hệ thống công nghệ thông tin có thể bị tấn công hay không bằng cách đóng vai trò độc lập, tìm các lỗ hổng, tấn công thử nghiệm vào hạ tầng hệ thống tại ngân hàng.

Lời giải cho bài toán bảo mật của ngân hàng: Đi trước một bước!

Thông qua các lần tấn công giả lập, Pentest sẽ ghi nhận các lỗ hổng đang tồn tại trên hệ thống khách hàng, từ đó hỗ trợ tư vấn và đưa ra các biện pháp khắc phục trước khi bị kẻ xấu bên ngoài tìm thấy và thực hiện khai thác.

Với mỗi hệ thống, VCS thực hiện Pentest tại 02 giai đoạn: Giai đoạn khi ứng dụng được triển khai trên thực tế và Giai đoạn sau khi ứng dụng được nâng cấp (upcode), thay đổi tính năng. Điều này giúp giảm thiểu nguy cơ phát sinh các lỗ hổng mới trong quá trình vận hành hàng ngày của hệ thống. Đồng thời tại mỗi quy trình kiểm tra, sẽ có 2 chuyên gia ATTT (pentesters) đánh giá độc lập và 1 quản lý chất lượng (QA) kiểm soát nhằm tránh sót các lỗ hổng do yếu tố chủ quan.

Một trong những điểm khác biệt giúp dịch vụ Pentest của VCS nhận được sự tín nhiệm từ thị trường chính là đội ngũ nhân sự chuyên gia chất lượng cao được "chuẩn hóa" thông qua những chứng chỉ và kết quả nghiên cứu được cộng đồng quốc tế ghi nhận như: OSCP, OSWE, PortSwigger, CVE, BugBounty,… Với hơn 400 lỗ hổng zero-day được phát hiện ra, các chuyên gia VCS liên tục được đánh giá cao bởi các hãng công nghệ lớn toàn cầu như Microsoft, Google, Facebook, Oracle,…

Việc triển khai dịch vụ Pentest của Viettel Cyber Security đã giúp Ngân hàng X phát hiện nhiều lỗ hổng an toàn thông tin, ngăn chặn kẻ tấn công chiếm quyền và leo thang sâu vào hệ thống, đồng thời phát hiện cả những lỗ hổng logic ngăn cản thực hiện thanh toán hàng hóa với giá trị nhỏ hơn giá trị thật. Hơn thế nữa, trong quá trình thực hiện pentest, nhiều lỗ hổng của các sản phẩm thương mại do ngân hàng mua về và sử dụng cũng được phát hiện, đảm bảo tính an toàn cao cho khách hàng và cho các đơn vị có sử dụng sản phẩm thương mại này.

Trước thực trạng các cuộc tấn công đang ngày càng gia tăng, đã đến lúc các doanh nghiệp, đặc biệt các tổ chức tài chính, ngân hàng cần chủ động trong việc phát hiện và ngăn chặn sớm các nguy cơ tiềm ẩn trong hệ thống ATTT, từ đó kịp thời đưa ra phương án xây dựng chiến lược đầu tư bài bản. Trên chặng đường đó, VCS quyết tâm đồng hành, sát cánh cùng tổ chức, doanh nghiệp, hiện thực hóa mục tiêu nâng cao năng lực cạnh tranh, làm chủ cuộc đua mang tên chuyển đổi số.

Chia sẻ Facebook