Bất ổn quy trình bảo mật ngân hàng
Dồn dập các vụ khách hàng báo mất tiền trong tài khoản cho thấy quy trình bảo mật, đầu tư công nghệ tại các ngân hàng đang tồn tại nhiều lỗ hổng.
Khi kiểm tra thông tin các thẻ đang sử dụng tại Vietcombank, chị Trần Thị Thúy (Hà Nội) bất ngờ với một thẻ Visa Debit “đang hoạt động” được kết nối tới tài khoản chính của chị và mới được phát hành ngày 23-8. Đáng nói, chị Thúy không hề yêu cầu ngân hàng (NH) phát hành thêm bất cứ thẻ Visa Debit nào. Vietcombank giải thích việc phát hành lại thẻ đã có giao dịch trên website của Vietnam Airlines nhằm bảo đảm an toàn tuyệt đối cho khách hàng. Thế nhưng quy trình phát hành lại thẻ chỉ thông báo qua email thay vì hỏi ý kiến khách hàng đang tiềm ẩn rủi ro bảo mật.
Có sai sót trong quy trình
Theo chị Trần Thị Thúy, dù là email thông báo nhưng lẽ ra Vietcombank phải hỏi ý kiến trực tiếp khách hàng vì thẻ Visa Debit cũ vẫn đang phát sinh giao dịch. “Thẻ cũ của tôi được đăng ký vào tài khoản thanh toán của một số dịch vụ tại nước ngoài và tôi đang sử dụng. Nếu Vietcombank tự động khóa thẻ đồng nghĩa tôi không thể giao dịch thanh toán, phát sinh phiền phức, rủi ro; khi đó ai chịu trách nhiệm?” - chị Thúy nói.
Một chuyên gia NH cho rằng quy trình phát hành lại thẻ mới cho khách hàng của Vietcombank đang có “lỗ hổng” vì việc phát hành lại thẻ phải được khách hàng đồng ý và trực tiếp kích hoạt thẻ. Trước đó, sau sự cố của khách hàng Na Hương mất 500 triệu đồng trong tài khoản, Vietcombank phải thay đổi chính sách dịch vụ, yêu cầu khách hàng muốn đăng ký mật khẩu OTP phải đến tận quầy giao dịch.
Nhiều chuyên gia ngân hàng cảnh báo lỗ hổng trong quy trình đầu tư bảo mật của ngân hàng có thể gây rủi ro cho người dùng Ảnh: TẤN THẠNH
Theo các chuyên gia NH, trong những sự cố khách hàng mất tiền tại một số NH gần đây đã có những sai sót trong quy trình thực hiện giao dịch và đặt ra những thách thức cho các NH thương mại khi nâng cấp quy trình, công nghệ bảo mật để ứng phó với gian lận, lừa đảo, tin tặc… Công nghệ có thể tương đồng nhưng quy trình khác nhau sẽ phát sinh những rủi ro. Theo đại diện NH TMCP Kỹ thương Việt Nam (Techcombank), NH này thường xuyên đầu tư nâng cấp hệ thống bảo mật và đang áp dụng cơ chế bảo mật cho giao dịch NH điện tử bằng OTP qua SMS/email, khách hàng phải đăng ký tại quầy để thực hiện nhận OTP.
Cuộc chơi tốn kém!
Nhiều NH thương mại nhìn nhận đầu tư công nghệ bảo mật là “cuộc chơi tốn kém và lâu dài”. Phó tổng giám đốc một NH cổ phần cho biết khi NH triển khai một sản phẩm dịch vụ mới, nhất là các ứng dụng trên NH điện tử, phải thuê bên thứ ba là các hãng công nghệ, hãng kiểm toán chuyên về bảo mật kiểm định bằng cách “đóng vai hacker tấn công dồn dập vào hệ thống”. Quá trình kiểm định sẽ giúp NH phát hiện những lỗ hổng, sai sót trước khi áp dụng sản phẩm cho toàn bộ khách hàng nhưng chi phí cho các khâu này không hề rẻ. “Chi phí đầu tư công nghệ bảo mật từ hàng triệu đến chục triệu USD nên không phải dễ dàng với các NH trong nước nhưng trong bối cảnh tin tặc nhắm vào hệ thống NH, đầu tư cho công nghệ cần được xem như một chiến lược giống như các chiến lược kinh doanh phát triển sản phẩm khác. Dù là ứng dụng NH điện tử hay sản phẩm truyền thống cũng cần được đầu tư công nghệ bảo mật đi kèm với nâng cấp, duy trì thường xuyên” - vị phó tổng NH này phân tích.
Tổng giám đốc một NH cổ phần tại TP HCM cũng cho rằng đầu tư vào công nghệ bảo mật luôn là thách thức với NH nhỏ, tỉ trọng chi phí đầu tư ngày càng lớn trong tổng chi phí hoạt động NH. Nếu trước đây NH này chỉ dành 2 đồng cho bảo mật thì nay tăng lên 10 đồng. “Dù vậy không một hệ thống NH nào dám chắc an toàn 100% hoặc không có lỗ hổng, sơ hở. Điều này lý giải vì sao cần phải nâng cấp và rà soát thường xuyên các quy trình, công nghệ bảo mật. Như việc giới hạn hạn mức rút tiền ở máy ATM, chuyển tiền qua NH điện tử, một phần nhằm hạn chế rủi ro” - vị tổng giám đốc chia sẻ.
Ngay việc áp dụng tiêu chuẩn bảo mật quốc tế (PCI DSS) do Hội đồng Tiêu chuẩn bảo mật SSC thiết lập dành cho thẻ và tài khoản thẻ, đến giờ mới có 5 NH là Sacombank, Techcombank, TP Bank, VP Bank và SHB được cấp chứng chỉ này. Trong khi đó, đây là bộ tiêu chuẩn quan trọng trong việc bảo mật, kiểm soát thất thoát dữ liệu qua các hệ thống giao dịch giữa thẻ và tài khoản thẻ.
Ngay cả với hệ thống máy ATM, các chuyên gia bảo mật cũng cho rằng vẫn còn nhiều lỗ hổng chưa được vá! Theo Kaspersky Việt Nam, hầu hết máy ATM trên thế giới đều có thể bị truy cập trái phép và trục lợi, thậm chí không cần đến phần mềm độc hại. Tình trạng này xảy ra là do việc sử dụng rộng rãi phần mềm không an toàn và lỗi thời, lỗi cấu hình mạng và thiếu an toàn vật lý ở nhiều phần quan trọng của ATM. Mối đe dọa lớn nhất với người dùng và chủ thẻ ATM trong nhiều năm là skimmer - thiết bị đặc biệt được gắn vào ATM để đánh cắp dữ liệu từ thẻ NH nhưng khi có thêm thủ thuật độc hại, ATM còn gặp nhiều nguy hiểm hơn.
Nhiều mối đe dọa giao dịch trực tuyến Theo kết quả từ báo cáo về sự phát triển của mối đe dọa công nghệ thông tin vào quý II/2016 của Kaspersky Lab, phần mềm tài chính độc hại đang tăng lên vì những kẻ tạo ra phần mềm độc hại đang phối hợp với nhau. Trojan NH vẫn là mối đe dọa trực tuyến nguy hiểm nhất. Chúng thường xâm nhập thông qua những trang web bị tổn hại, email spam và giả dạng trang NH trực tuyến chính thức sau khi đã lây nhiễm người dùng nhằm đánh cắp thông tin cá nhân của họ. |