Chi trăm ngàn đô la cho an toàn thông tin có quá thấp?

Chưa chú trọng đầu tư?

Một câu hỏi đặt ra là liệu các ngân hàng có đang đầu tư vào vấn đề an toàn thông tin ở mức quá thấp, khi báo cáo mới đây cho hay có đến 80% tổ chức tài chính chi ra dưới 100.000 đô la (tương đương khoảng 2,3 tỉ đồng) cho vấn đề an toàn thông tin trong năm 2018?

Đây là con số được đưa ra theo báo cáo “Mức độ quan tâm và hiện trạng bảo mật trong lĩnh vực tài chính – ngân hàng”, do Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) và IDG thực hiện và công bố mới đây, dựa trên khảo sát 30 ngân hàng thương mại và 16 đơn vị cung cấp dịch vụ tài chính, bảo hiểm tại Việt Nam trong khoảng thời gian từ tháng 5-2019 đến tháng 7-2019.

Nguồn: Mức độ quan tâm và hiện trạng bảo mật trong lĩnh vực tài chính – ngân hàng (VNCERT, IDG 2019).

Tính theo tỷ lệ tương đối, có đến 70% tổ chức dành 5-15% ngân sách công nghệ thông tin hàng năm cho vấn đề an toàn thông tin, nhưng đáng chú ý trong đó là con số có tới 30% tổ chức tín dụng dành ngân sách dưới 10%. 

“Con số dưới 10% là quá thấp”, TS. Cấn Văn Lực, chuyên gia tài chính, bình luận tại sự kiện Diễn đàn Ngân hàng Bán lẻ năm 2019.

Trao đổi với TBKTSG Online, ông Nguyễn Đình Thắng, Chủ tịch HĐQT Ngân hàng TMCP Bưu điện Liên Việt (Lienvietpostbank), cũng nhận định tỷ lệ dưới 10% là ở mức thấp. Riêng ở Lienvietpostbank thì con số này rơi vào khoảng 15-16% và ngân hàng có kế hoạch phải tiếp tục nâng lên trong những năm tới. 

“Tỷ lệ này còn tăng nữa vì trong tương lai khi bùng nổ người dùng trực tuyến thì chi phí đầu tư cho hệ thống cũng phải cao hơn”, ông Thắng nói.

Ông Thắng cũng lưu ý rằng khái niệm an toàn ở đây không chỉ là ngăn chặn sự xâm nhập từ bên ngoài, mà còn là sự an toàn trong vận hành của hệ thống, như đảm bảo giao dịch thông suốt. “Cả hệ thống công nghệ thông tin thì nền tảng quan trọng nhất là sự an toàn”, ông Thắng nói.

Mới đây, Công ty tư vấn PwC Việt Nam cũng công bố kết quả khảo sát nhanh với 33 đại diện lãnh đạo ngân hàng Việt Nam. Nhìn chung, phần lớn các ngân hàng vẫn đang ở trong giai đoạn đầu tiên trong lộ trình triển khai quản trị dữ liệu toàn hàng.

Cụ thể hơn, có dưới 50% lãnh đạo cho biết ngân hàng đã xây dựng chính sách và quy trình quản lý dữ liệu toàn hàng, hay quy định vai trò của các bên có liên quan đến dữ liệu. 

Tuy nhiên, có hơn 66% ngân hàng chưa vận hành quy định các tiêu chí đánh giá để đo lường chất lượng dữ liệu. Chỉ có 18% cho hay ngân hàng đã xây dựng kiến trúc công nghệ (nền tảng, công cụ,…) để hỗ trợ quản lý dữ liệu toàn hàng.

Nguồn: VNCERT, IDG 2019.

Muốn số hóa, phải an toàn

Chia sẻ tại Diễn đàn Ngân hàng Bán lẻ 2019, ông Nguyễn Trọng Đường, Phó Cục trưởng Cục An toàn thông tin, cho biết những lổ hổng mất an toàn ngày càng gia tăng, với tốc độ khoảng 300%/năm trong bối cảnh số hóa diễn ra mạnh mẽ. 

Những năm gần đây ghi nhận hàng loạt các cuộc tấn công có chủ đích, được thiết kế tinh vi và có quy mô lớn trên thế giới nhằm vào các tổ chức tài chính, ngân hàng.

Chẳng hạn như vụ Cổng thanh toán trực tuyến Wonga của Anh bị lộ 270.000 tài khoản khách hàng, hay Tesco Bank bị đánh cắp 2,5 triệu bảng từ 9.000 khách hàng, thông qua lỗ hổng bảo mật từ hệ thống và thẻ ghi nợ, hay vụ “bốc hơi” 81 triệu đô của ngân hàng Banglades, từ lỗ hổng hệ thống mạng thanh toán SWIFT.

Ở Việt Nam, ngân hàng cũng được cảnh báo là một trong những đích ngắm thường xuyên của tội phạm mạng. 

Đáng chú ý, các chuyên gia cũng dẫn ví dụ có một cuộc tấn công nhằm vào hệ thống chuyển tiền SWIFT và chuyển hơn 1,13 triệu đô la ở một ngân hàng Việt, nhưng đã bị phát hiện và ngăn chặn kịp thời.

Bên cạnh việc ghi nhận các cuộc tấn công nhằm vào các tổ chức tài chính, ngân hàng Việt Nam, cơ quan quản lý cũng cảnh báo xuất hiện thêm nhiều chiêu trò lừa đảo (phishing) người dùng để lấy thông tin.

Theo ông Thắng, rủi ro an toàn của tổ chức đến từ cả 2 phía. Đầu tiên là từ chính hệ thống đơn vị fintech hoặc ngân hàng, có sơ hở để cho các hacker trực tiếp đi vào và khía cạnh còn lại nằm ở người dùng. 

“Vấn đề hệ thống thì chỉ có khắc phục bằng cách tự bản thân các đơn vị phải đưa ra chiến lược an toàn là trên hết, sau mới đến tiện ích và hiệu quả”, ông Thắng nói.

Hiện nay, áp lực an toàn thông tin ở các ngân hàng nói riêng và các định chế tài chính nói chung trong ngành ngày một cao hơn, khi hàng loạt các vụ việc rò rỉ dữ liệu người dùng diễn ra ngày càng thường xuyên với quy mô ngày càng lớn, xuất hiện trên nhiều lĩnh vực như bán lẻ, tài chính.

Các ngân hàng hiện cũng đang phải hoàn thiện hệ thống dữ liệu của mình “chỉnh chu” hơn theo các quy định chuẩn an toàn mới trong Basel II, trong đó có vấn đề thu thập, quản lý và phân tích dữ liệu.

 “Các ngân hàng cũng đã nhanh chóng nhận ra quản trị dữ liệu là nền tảng cơ sở cho các hoạt động đổi mới sáng tạo trong ngân hàng tại thời điểm hiện tại, như xây dựng ngân hàng số, phân khúc khách hàng, phát triển sản phẩm thông qua các phân tích nâng cao,” bà Đinh Hồng Hạnh, Lãnh đạo Dịch vụ Tư vấn Tài chính, Phó Tổng giám đốc Công ty tư vấn PwC Việt Nam đưa ra nhận định mới đây.