Cầm thẻ trong tay không có nghĩa là không mất tiền
Chia sẻ tại Tọa đàm “An toàn thông tin và Mối đe dọa đến nền kinh tế” vừa được tổ chức, ông Nguyễn Hưng cho hay, các ngân hàng đã đầu tư rất nhiều tiền để nâng cấp hạ tầng, mạng lưới nhưng không có gì là tuyệt đối.
“Chúng tôi chỉ có thể hạn chế tối đa sự ảnh hưởng đến người dùng thông qua những hệ thống dự phòng dữ liệu hay cơ chế đối chiếu dữ liệu để khôi phục dữ liệu khi xảy ra sự cố. Một số hàng rào kỹ thuật cũng đang được các ngân hàng áp dụng để bảo đảm sự tổn thất của người dùng trong trường hợp bị lừa đảo là không quá nhiều, chẳng hạn như quy định hạn mức chuyển tiền một lần, hạn mức chuyển tiền liên ngân hàng...”, ông Hưng nói.
Về phía khách hàng, ông Hưng cho rằng nhiều người dùng hiện vẫn chưa hiểu thực sự chính xác bản chất vấn đề. “Với thẻ tín dụng, khi thanh toán online chỉ cần khai đủ số thẻ, ngày hết hạn, tên chủ thẻ và 3 số xác thực cuối (CVV), không cần sự hiện diện vật lý của thẻ. Do đó, tin tặc vẫn có thể tiêu tiền như thường dù “thẻ vẫn đang cất trong tủ” như phản ánh của khách hàng”, ông Hưng cho biết.
Tuy nhiên, trong khi ông Hưng cho rằng mỗi tin nhắn OPT chỉ tồn tại 1-2 phút, hạn mức chuyển tiền qua mạng một lần chỉ tối đa 20 - 50 triệu nên “liệu thành quả có đủ hấp dẫn để tin tặc hack cả một hệ thống ngân hàng hay không?”, thì ông Ngô Tuấn Anh - Phó chủ tịch phụ trách An ninh mạng của BKAV - lại cho rằng SMS đang là một điểm yếu về mặt công nghệ của mạng lưới ngân hàng. Dù là SMS hay mã OTP thì tin tặc đều có thể tấn công phishing thông qua hình thức tin nhắn.
Hacker cũng có thể tạo các phần mềm giao dịch giả để tiến hành tự động những vụ chuyển tiền online, vì thế, tổn thất cuối cùng vẫn có thể ở mức đáng kể. “Nên chăng, tới đây chúng ta định hướng phương pháp xác thực của ngân hàng cần phải mạnh hơn, như sử dụng chữ ký số chẳng hạn” - ông Ngô Tuấn Anh nêu quan điểm.
“Mất bò” vẫn không lo “làm chuồng”
Vài năm gần đây, nhiều hệ thống quan trọng của các tổ chức, doanh nghiệp Việt Nam bị hacker tấn công. Vào cuối tháng bảy là Vietnam Airlines và hệ thống của cụm cảng hàng không, website của VFF, sau đó là Báo Sinh viên Việt Nam, Athena… và mới đây, hacker đã nhắm vào Netlink khiến một số trang thông tin, báo điện tử bị tê liệt…Một thống kê của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) chỉ ra rằng, nếu năm 2015 ghi nhận 31.585 sự cố an toàn thông tin thì chỉ tính riêng 6 tháng đầu năm 2016 các sự cố này đã trên 127.000.
“Có nhiều lỗi mang tính chất rất căn bản”, ông Tống Viết Trung, Phó Tổng Giám đốc Tập đoàn Viễn thông Quân đội (Viettel) thẳng thắn nhận định, “Chúng tôi đi làm cho các doanh nghiệp tương đối lớn, nhưng khi rà soát về an toàn thông tin thì chỉ trong một ngày thấy rất nhiều vấn đề. Việc này, chẳng cần hacker cao thủ mà chỉ cần trình độ bình thường, sử dụng kỹ thuật phổ biến là có thể truy cập được hệ thống”.
Ông Triệu Trần Đức - Giám đốc Công ty an ninh an toàn thông tin CMC Infosec - cũng nhận định nhiều đơn vị “mất bò vẫn không lo làm chuồng”: “Đội ngũ làm công nghệ thông tin của cơ quan nhà nước rất… “gan dạ.” Vài ngày sau khi bị tấn công vẫn coi như bình thường. Nếu hệ thống chấp nhận rủi ro mất thông tin thì không có gì phải bảo vệ cả, nhưng có nhiều ngành không thể chấp nhận bị mất”.
Nhìn thẳng vào vấn đề, Phó Tổng Giám đốc Viettel Tống Viết Trung cho rằng có ba trạng thái nhận thức của lãnh đạo với an toàn thông tin: Thờ ơ, coi đó không phải việc của mình; việc này phức tạp lắm, thôi để các “ông lớn” lo; phức tạp quá, thôi đóng hệ thống lại. Và, cả ba trạng thái này đều rất nguy hiểm.
Cục trưởng Cục An toàn thông tin (Bộ Thông tin và Truyền thông) Nguyễn Thanh Hải thẳng thắn cho hay, hầu hết các trang thiết bị của Việt Nam đều đi mua, nên không thể nói dựa vào thiết bị của ai đó thì an toàn hơn. Do đó, vấn đề ở đây là các doanh nghiệp, Chính phủ phải có cách gì.
“Nhận thức là quan trọng số một. Các hệ thống dù có hiện đại đến đâu vẫn do con người vận hành và chỉ cần một sai sót là hacker có thể xâm nhập” – ông Hải nói - “Trong an toàn thông tin, không ai có thể nói có thể đảm bảo an toàn tuyệt đối. Quan trọng là các doanh nghiệp phải đánh giá chính xác giá thành và rủi ro an toàn thông tin. Nếu không đánh giá đúng thì sẽ lãng phí hoặc mất tiền”.
Hiện, Bộ Thông tin và Truyền thông đang triển khai hướng dẫn Luật An toàn thông tin mạng, trong đó xây dựng các cấp độ an toàn thông tin để có biện pháp bảo vệ hợp lý. “Ngoài ra, các tổ chức, doanh nghiệp cần phải phòng thủ tốt, thường xuyên kiểm tra đánh giá, rà soát hệ thống để phát hiện lỗi và kịp thời khắc phục” – ông Nguyễn Thanh Hải khuyến cáo.