Đang tải... (xem toàn văn)
Bài viết An ninh giao dịch tài chính - Những thách thức đối với công nghệ tài chính góp phần cải thiện về an ninh – bảo mật trong giao dịch tài chính, trong bối cảnh các doanh nghiệp tài chính Việt Nam đang ứng dụng và phát triển Fintech. Mời các bạn cùng tham khảo!
AN NINH GIAO DỊCH TÀI CHÍNH NHỮNG THÁCH THỨC ĐỐI VỚI CƠNG NGHỆ TÀI CHÍNH Trần Trọng Hiếu Khoa Cơng nghệ Thơng tin Trường Đại học Tài – Marketing Email: tt.hieu@ufm.edu.vn Tóm tắt: Trước phát triển ứng dụng công nghệ 4.0 lĩnh vực kinh tế giới; doanh nghiệp khối ngành Tài Việt Nam nhanh chóng bắt kịp cơng nghệ tài Tuy nhiên, có nhiều rủi ro tiềm ẩn hoạt động tài mơi trường mạng internet đưa tới thiệt hại cho doanh nghiệp tài khách hàng Bài tham luận trình bày: tổng quan Cơng nghệ Tài - FinTech, thách thức giao dịch tài chính, đề xuất số giải pháp an ninh giao dịch tài chinh Với cách diễn giải – tổng hợp thông tin, minh chứng số liệu đề xuất giải pháp; tham luận góp phần cải thiện an ninh – bảo mật giao dịch tài chinh, bối cảnh doanh nghiệp tài Việt Nam ứng dụng phát triển Fintech Từ khóa: An ninh Giao dịch Tài chính, Cơng nghệ Tài TỔNG QUAN Cơng nghệ Tài chính, gọi tắt tiếng Anh Finech, từ ghép thuật ngữ Finance -“tài chính” Technology- “cơng nghệ”; với ý nghĩa ban đầu đề cập đến doanh nghiệp tài sử dụng cơng nghệ, nhằm để nâng cao tự động hóa dịch vụ quy trình tài Ngày nay, Cơng nghệ tài đề cập đến cơng nghệ áp dụng khối tài – kinh tế nhằm: cải tiến phương pháp tài truyền thống tăng sức cạnh tranh, đẩy mạnh hiệu việc cung cấp dịch vụ tài Theo thống kê tháng đầu năm 2020, tổng số lượng giao dịch qua hệ thống toán điện tử liên ngân hàng đạt 82,2 triệu, số lượng giao dịch toán qua Internet đạt 240,9 triệu giao dịch với giá trị đạt 15,2 triệu tỷ đồng, số lượng giao dịch toán qua điện thoại di động đạt 574,4 triệu giao dịch với giá trị đạt 5,9 triệu tỷ đồng Với thống kê nhiều triển vọng trình bày trên, kèm theo nguy tiềm ẩn đối Financial Transaction Security 23 với khối tài Theo thơng tin chia sẻ từ Công ty An ninh mạng Viettel (VCS), năm 2020 đến nay, phát 1.656 tên miền giả mạo 1.299 tên miền lừa đảo (1.210 tên miền nước 89 tên miền Việt Nam) với tổng cộng 26.055 người dùng bị ảnh hưởng (Nguồn:antoanthongtin.gov.vn – 01/2021) Hiện nay, theo dự báo chun gia, cơng có chủ đích xu an ninh mạng-bảo mật giao dịch tài năm 2021 Đặc biệt, ngân hàng tổ chức tài mục tiêu hấp dẫn giới tội phạm mạng, nhằm đánh cắp liệu tiền người dùng Biểu đồ 1: Thống kê tổng giá trị (USD) giao dịch tài giới bị Attacker (Nguồn VIC – 2019) Theo Cục An ninh mạng Phòng, chống tội phạm sử dụng công nghệ cao - thuộc Bộ Công an, ghi nhận dấu hiệu gia tăng đột biến tần suất, quy mô, số lượng đợt cơng mạng nhằm vào khối tài Việt Nam năm 2021 Các đợt công thường tập trung vào quan trọng yếu, tập đoàn kinh tế, tài quan trọng với nhiều phương thức, thủ đoạn tinh vi, nguy hiểm, mà thiệt hại tài giao dịch tài lớn Các loại hình cơng mà tin tặc thực là: phát tán tập tin có nhúng mã độc gửi qua thư điện tử, khai thác “lỗ hổng” hệ thống, cài-cắm virus thám lây nhiễm qua thiết bị lưu trữ di động, giả mạo giao diện doanh nghiệp tài chính-ngân hàng, công qua nguồn cung cấp chuỗi cung ứng (Icloud, Software, Hardware, Certificate Supply,…) 24 Biểu đồ 2: Tỷ lệ hình thức cơng tài (Nguồn: Cục An ninh mạng Phòng, chống tội phạm – 01/2021) Như trình bày, thấy giải pháp, cơng nghệ bảo đảm an toàn, an ninh mạng lĩnh vực trọng yếu khối kinh tế - tài cần phải trọng đến: hạ tầng tốn, tăng cường trao đổi hợp tác doanh nghiệp-người dùng nhằm cải thiện lực bảo mật thông tin tài chính, đẩy mạnh cơng tác phát xử lý rủi ro an tồn thơng tin- an ninh mạng,…; nhằm giúp doanh nghiệp tài có định hướng tối ưu hóa việc xây dựng chiến lược đầu tư hệ thống bảo mật-an ninh mạng cách hiệu NHỮNG THÁCH THỨC ĐỐI VỚI GIAO DỊCH TÀI CHÍNH 2.1 Sự phát triển liên tục công an ninh mạng Một thách thức lớn an ninh mạng chất liên tục phát triển rủi ro an ninh Trong bối cảnh công nghệ phát triển không ngừng, mà công nghệ xuất công nghệ sử dụng theo cách khác nhau, tin tặc tìm đủ cách công an ninh mạng ngày tinh vi Mối tương quan liên tục phát triển công nghệ việc cơng tin tặc; thách thức tổ chức nói chung khối tài nói riêng Điều địi hỏi doanh nghiệp tài cần: cập nhật hệ thống giám sát an ninh mạng, tìm lỗ hổng phần cứng-phần mềm qui trình xử lý, ; từ đề phương pháp hữu hiệu để bảo vệ hệ thống tài điện tử cho doanh nghiệp 25 Hình 1: Minh hoạ số lượt công mạng Việt Nam số quốc gia khu vực Đông Nam Á (Nguồn Kaspersky-2020) 2.2 Chuỗi cung ứng dịch vụ cho hoạt động tài Trong trình triển khai hoạt động dịch vụ tài người dùng, tổ chức tài thường “viện” đến bên thứ ba – nhà cung cấp chuỗi cung ứng Mối tương quan mang tính hỗ tương doanh nghiệp tài nhà cung ứng giao dịch tài chính, đem đến số hiệu định: • Các nhà cung ứng dịch vụ: cơng việc chun dụng nên ngày chuyên nghiệp hơn, xếp hạng tín nhiệm cao từ doanh nghiệp tài (là bên mua dịch vụ); tăng lợi nhuận có nhiều bên mua đặt hàng, kéo theo khấu hao nhanh, giảm chi phí vốn cạnh tranh chuyên tâm phát triển cơng nghệ • Doanh nghiệp tài mua cung ứng dich vụ: tận dụng tính chuyên nghiệp bên cung ứng, nên tối ưu hóa qui trình-xử lý, tăng hiệu suất phục vụ cho người dùng, giảm chi phí đầu tư, dễ dàng phát triển sản phẩm-dịch vụ tài Tuy nhiên doanh nghiệp tài phải đối mặt với thách thức đến từ dịch vụ cung ứng cho hoạt động tài chính: + Đối với việc quản lý thơng tin – liệu, phần lớn tổ chức tài sử dụng dịch vụ lưu trữ nư iCloud Khi đó, liệu-thơng tin bị thay đổi- cắp tin tặc công vào sở liệu bên cung ứng quản lý (nhưng khơng biết); hay q trình truyền liệu để xử lý giao dịch Đôi khi, nhiều trường hợp lừa đảo khơng lường trước nhân viên doanh nghiệp cung ứng dịch vụ, 26 + Đối với phần cứng hay phần mềm nhà cung ứng thực cung cấp cho tổ chức tài chính: o Đối với phần mềm chưa hồn thiện việc an ninh-bảo mật số mắt xích yếu qui trình giao dịch như: chứng thực bên, xác minh chủ,… Hiện nay, số phần mềm-hệ thống quản trị thiết kế mã nguồn mở; điểm yếu mà tin tặc khai thác để công sở liệu o Đối với phần cứng: chưa thiết kế chuyên dụng kỹ thuật, chưa phối hợp kiểm chứng cổng với giao thức hệ thống; có lỗ hổng bảo mật không lường trước, tạo kẽ hở cho attackers xâm nhập • Ngồi ra, rủi ro cơng thiết bị cơng nghệ mà người dùng sử dụng; chẳng hạn thiết bị công nghệ hay dùng giao dịch tài điện thoại thơng minh có hồ mạng internet Những điện thoại sử dụng giao dịch tài như: ebanking, thương mại điện tử, giao dịch chứng khoán,… Tuy nhiên, điện thoại thơng minh nhà sản xuất tích hợp tự động nhờ bên thứ ba số dịch vụ như: dọn dẹp tự động, quản lý ứng dụng,… Điều vơ tình tạo kẽ hở để lọt thông tin nhạy cảm tài người dùng Hình 2: Mơ hình cơng khai thác lỗ hổng bảo mật thiết bị định tuyến (Router) 2.3 Quá trình xử lý giao dịch tài Hầu hết tổ chức tài phát triển ứng dụng công nghệ, tạo nhiều phương thức giao tiếp phục vụ khách hàng hiệu nhất, thông qua: ứng 27 dụng cài đặt điện thoại thông minh, trang web xử lý giao dịch trực tuyến,… Tuy nhiên, trình xử lý giao dịch tài bị tin tặc công qua nhiều phương thức sau: + Các tin tặc thường tán phát mã độc qua thư điện tử, tin nhắn,… “mồi nhử”; tập tin chứa nội dung liên quan đến thơng giao dịch tài như: khuyến mãi, khai thêm thông tin xác nhận Đến thư điện tử mở, mã độc kích hoạt, từ tin tặc kiểm sốt hồn tồn máy tính, lấy thơng tin người dùng Ngồi ra, để mở rộng phạm vi kiểm sốt, thu thập thơng tin, số mã độc có tính tự lây nhiễm vào thiết bị lưu trữ ngồi để tìm hội lây lan, xâm nhập hệ thống thiết bị công nghệ khác người dùng để giao dịch tài + Các trang web giả lập doanh nghiệp tài tin tặc tạo để lừa người dùng sơ ý vào khai báo thông tin theo yêu cầu trang web + Việc người dùng sử dụng điện thoại thơng minh khơng có tính bảo mật cao: khơng khố hình, khơng tạo hình bảo mật vào ứng dụng tài bị điện thoại,…đã vơ tình lộ thơng tin tài điện thoại người dùng + Hiện nay, số hình thức cơng phát triển nhanh là: (1) lừa đảo lợi dụng lỗ hổng mã xác thực lần (One Time Password - OTP) thông qua kỹ thuật xã hội tin nhắn điện thoại thông minh Đây loại mật sử dụng lần coi lớp bảo vệ thứ hai cho tài khoản ngân hàng sử dụng chứng thực giao dịch tài Dựa vào đó, tin tặc giả mạo người chủ mã xác thực OTP để chiếm dụng tài khoản lấy cắp tiền người sử dụng (2) Ngoài ra, xuất vụ việc liên quan đến kỹ thuật giả mạo sâu (Deepfake) thơng qua cơng nghệ Trí tuệ nhân tạo (AI-Artificial Intelligence) để giả mạo chứng thực nhân thân (qua hình ảnh mặt, chữ ký,…) (3)Tấn cơng có chủ đích (APT-Advanced Persistent Threat) phát triển nhanh chóng năm 2020 Viêt Nam; với ngân hàng, tổ chức chứng khoán 293 tổ chức/cá nhân nạn nhân loại hình cơng (Nguồn: VSC -2020) 28 Hình 3: Sơ đồ lây nhiễm hình thức cơng chuỗi cung ứng MỘT SỐ GIẢI PHÁP TRONG AN NINH GIAO DỊCH TÀI CHÍNH 3.1 Giải pháp ứng dụng cơng nghệ Hiện nay, nhiều mơ hình cơng nghệ bảo mật nghiên cứu, đẩy mạnh phát triển ứng dụng trình giao dịch tài chính; thơng qua thiết bị cơng nghệ nối kết mạng Internet1, có tải-cài đặt tiện ích-ứng dụng (App - Application); thơng qua dịch vụ tài di động (Mobile Financial Services-MFS), điện thoại thơng minh (Smart Phone - hay thiết bị có hồ mạng khác) sử dụng giao dịch tài doanh nghiệp ngân hàng cung cấp dịch vụ: nhận chuyển tiền chi trả với đối tác; thông báo thông tin dư-nợ tài khoản, Bên cạnh đó, phần lớn hoạt động thương mại di động (Mobile Commerce) đẩy mạnh hoạt động: đặt-mua hàng toán trực tuyến, bán-theo dõi hàng theo thời gian thực, quảng cáo-tiếp thị-khuyến online,… ➢ Công nghệ Mã (Code) chứng thực công việc xác nhận: sản phẩm, hàng hoá, quản lý kho hay vận chuyển, giao dịch tài chính, thơng qua phát triển loại mã (code) xác nhận, ví dụ như: + Loại mã vạch 1D - Bar code: loại mã đơn giản có kèm theo số; chủ yếu dùng xác nhận hàng hố, bưu chính, kho, vận chuyển,… như: UPC ( Uniform Product Code), Postnet, Code 39, Code 128 , ISBN (International Standard Book Number), Codabar (dung thư viện, y tế,…),… Desktop, Laptop, Notebook, Ibook, Smartphone,… 29 Hình 4: Các loại Code 1D – UPC, Postnet, Code 39, Code 128, ISBN, CodaBar + Loại mã vạch 2D: loại mã hình chiều hình dạng ma trận chiều, bao hao chứa nhiều thông tin gồm ký tự số lẫn văn bản; chẳng hạn như: PDF417- dùng cho thẻ/ vé với hình dạng chữ nhật; với hình dạng vng có: Maxicode (có lưới nhận dạng lục giác), Data Matrix (gồm ô vuông đại diện bit) Hiện phổ biến giao dịch tài dạng QR Code tích hợp nhiều thơng tin nhân thân, Hình 5: Các loại Code 2D – Maxicode, Data Matrix QR Code ➢ Cơng nghệ Blockchain quản lý tài Hiện nay, có nhiều ngân hàng tổ chức tài nghiên cứu, ứng dụng cơng nghệ Blockchain vào hoạt động nghiệp vụ tài Với ưu điểm trội công nghệ Blockchain như: + Tính minh bạch bền vững liệu: đối tượng tham gia giao dịch tài chính, cung cấp rõ ràng nhân thân tới toàn người mạng lưới Khi đó, ứng dụng cơng nghệ Blockchain việc lưu trữ liệu, tin tặc khó lịng đánh cắp hay thay đổi thơng tin liệu người dùng + Xử lý liệu sát theo thời gian thực: trình xác nhận đối tượng tham gia giao dịch tài Các attacker không đủ thời gian để thao tác: bẻ khố, tìm lỗ hổng bảo mật,… hệ thống Điều làm tăng hiệu suất bảo mật an ninh toàn hệ thống 30 + Loại bỏ nhà cung cấp dịch vụ trung gian: lưu trữ iCloud, xác thực đối tượng-giao dịch,… thông qua cấu trúc phi tập trung sở liệu công tác lưu trữ Cũng cấu trúc phi tập trung sở liệu đơng hố theo thời gian thực, giúp tránh tình mất: liệu, bị tin tặc thay đổi liệu (nếu có) Vì thế, công nghệ Blockchain xem phương án tạo hệ thống an tồn, cắt giảm chi phí tiết kiệm thời gian trễ để bảo mật Điều đặc biệt nhiều tổ chức tài hình thành liên minh để thương mại hóa cơng nghệ Blockchain qui trình xử lý dịch vụ tài chính; đạt hiệu suất cao trong: quản lý, bảo mật-an ninh hệ thống, dễ dàng phát triển thêm nhiều dịch vụ an tồn cho người dùng Hình 6: Ứng dụng công nghệ Blockchain tự động đồng qua mã QR ➢ Cơng nghệ mã hóa Dữ liệu Mã hóa liệu phần quan trọng biện pháp an ninh mạng hiệu Tất liệu lưu trữ trực tuyến hay máy tính tổ chức tài phải mã hóa Khi đó, tin tặc khó đánh cắp sử dụng liệu giao dịch tài Mục đích việc mã hóa liệu bảo vệ bảo mật liệu số lưu trữ hệ thống máy tính truyền qua internet mạng máy tính khác Các thuật tốn mã hóa thường cung cấp yếu tố bảo mật then chốt như: (1) Tính xác thực cho phép xác minh nguồn gốc liệu, (2) Tính tồn vẹn chứng minh nội dung liệu khơng bị thay đổi kể từ gửi (3) Tính khơng thu hồi: đảm bảo người gửi hủy việc gửi liệu 31 Mã hóa liệu bao gồm việc tạo liệu mã hoá nơi gửi việc chứng nhận-giải mã hoá liệu nơi nhận phải xử lý tiệm cận với thời gian thực, hiệu giao dịch tài nâng cao, khơng làm thời gian cho q trình giao dịch Để đạt điều cân có “hiệu đồng bộ” phối hợp tốt phần liên quan hệ thống: phần cứng, phần mềm, mạng giao thức,… Với tổ chức tài chính, việc sử dụng mã hóa liệu điều cần thiết Thực tốt cơng việc mã hố liệu giao dịch tài chính, đồng thời kết hợp với cơng nghệ chứng thực, giúp tránh thiệt hại cho doanh ghiệp tài người dung; thơng tin tài vơ tình bị lộ ngồi, tin tặc khó lịng bị giải mã liệu lập tức, để chiếm đoạt tài sản 3.2 Giải pháp đến từ yếu tố người ➢ Đối với doanh nghiệp khối tài Cơng tác chia sẻ nguy cơ, cảnh báo rủi ro sớm phương thức an tồn thơng tin kịp thời khối tài cần thiết Trong bối cảnh phải đối diện với nguy bảo mật ngày gia tăng; doanh nghiệp tài cần có cơng cụ để chia sẻ nguy cảnh báo nguy công an ninh mạng, các: dịch vụ, giao dịch, hoạt động doanh nghiệp tài ln ln mục tiêu công nạn nhân tin tặc mà khơng hay biết Ngồi ra, tin tặc ln tìm kiếm chiến thuật kỹ thuật cho chiến dịch cơng có chủ đích ln thay đổi đa dạng Tuy nhiên, số lượng nhóm công hữu hạn; tội phạm mạng có sử dụng hình thức cơng nào, mà tổ chức tài giải vấn đề thời gian phát (Mean time to Detect - MTTD) thời gian phản hồi (Mean time to Respond - MTTR) tốn bảo mật cho khối tài khơng cịn tốn khó ➢ Đầu tư cho công tác an ninh – bảo mật tài Các doanh nghiệp tài phải ln nâng cấp công nghệ, bắt kịp tiến công tác an ninh – bảo mật cho hoạt động tài Trang bị hệ thống hỗ trợ giám sát giao dịch điện tử; điều tra-chứng thực thông tin-dữ liệu giao dịch kịp thời Triển khai bước tổng hợp - phân tích liệu khách hàng từ xây dựng quy tắc chứng thực khách hàng, để mau chóng phát ngăn chặn sớm tin tặc gian lận Bên cạnh đó, xây dựng tiêu chí phần mềm để xác định giao dịch bất 32 thường dựa vào thời gian thực, vị trí truy cập liệu, tần suất giao dịch bất trường, số tiền giao dịch, số lần đăng nhập sai quy định dấu hiệu bất thường khác Ngồi ra, khối tài cần phải xây dựng trung tâm điều hành an ninh mạng để theo dõi, giám sát ngăn chặn kịp thời hành vi xâm nhập, công mạng giao dịch; thường xuyên thực công tác đánh giá điểm yếu, lỗ hổng hệ thống Công nghệ thông tin Đồng thời, cần phải xây dựng - triển khai diễn tập quy trình, kịch ứng phó với cố an tồn thơng tin mạng ➢ Đối với người dùng Để phịng tránh rủi ro khơng đáng có, người dùng cần phải thực biện pháp sau: Người dùng tuyệt đối không cung cấp thông tin mang tính bảo mật dịch vụ ngân hàng điện tử (như: mật truy cập, OTP, mật truy cập địa e-mail cá nhân) cho hình thức (nhắn tin, trả lời điện thoại, tiết lộ trực tiếp ) Chỉ báo thông tin cá nhân trừ chủ động gọi điện đến hotline để trợ giúp từ phía doanh nhiệp tài Tránh truy cập website khơng đáng tin cậy, vào đường dẫn yêu cầu cung cấp, cập nhật thông tin cá nhân thơng tin giao dịch tài Sau kết thúc sử dụng dịch vụ hoàn thành giao dịch tài trực tuyến, phải tiến hành đăng xuất tài khoản Ngồi ra, người dùng tuyệt đối khơng chọn chế độ lưu mật đăng nhập (như Internet Banking) thiết bị sử dụng chung, máy tính cơng cộng… Người dùng cần bảo vệ thay đổi thường xuyên mật truy cập giao dịch tài như: ngân hàng điện tử, thẻ tài chính, e-mail,… việc cài đặt mật phải đảm bảo nguyên tắc an toàn Ngồi ra, cần sử dụng máy tính cá nhân có cài đặt cập nhật phần mềm diệt virus để truy cập dịch vụ tài trực tuyến cách an toàn Người dùng phải sử dụng phần mềm có quyền; thường xuyên cập nhật hệ điều hành, phần mềm từ nhà cung cấp, tránh cập nhật từ nguồn giả mạo Người dùng phải bảo vệ thẻ tài chính, tuyệt đối khơng cho người khác mượn thẻ Để tránh rủi ro, không nên để số tiền lớn đặt hạn mức thấp cho thẻ tín dụng Bên cạnh đó, người dùng nên chủ động ngừng kích hoạt dịch vụ Internet Banking 33 khơng có nhu cầu sử dụng kích hoạt trở lại cần dùng; đăng ký dịch vụ SMS Banking để nắm bắt kịp thời giao dịch phát sinh TỔNG KẾT Hiện nay, công nghệ tài đóng vai trị quan trọng chiến lược dài hạn doanh nghiệp tài chính, nhằm nâng cao hiệu hoạt động, quản lý rủi ro từ có nhiều hội cho phát triển ngồi khu vực Vì thế, đầu tư vào cơng nghệ tài việc cần thiết; bên cạnh cần phải trọng vấn đề bảo mật giao dịch, tăng cường an ninh mạng Khi giải pháp giảm thiểu rủi ro doanh nghiệp tài quan tâm đầu tư, giúp người dùng an tâm sử dụng sản phẩm, dịch vụ tài số, giảm thiểu dùng tiền mặt Kết lợi nhuận hiệu tài nâng cao, có nhiều hội tốt phát triển cách mạnh mẽ bền vững; góp phần phát triển chung kinh tế, xã hội đất nước Việt Nam TÀI LIỆU THAM KHẢO [1] KPMG Report (02/2021), “Pulse of Fintech, H2’20” [2] Nguyễn Thị Hiền, Nguyễn thị Minh Ngọc, “Xu hướng phát triển FINTECH giới, hội, thách thức đặt với ngành ngân hàng thực tiễn Việt Nam”, ISBN: 978-604-922-684-7 [3] https://home.kpmg/ [4] https://vi.wikipedia.org [5] https://www.researchgate.net [6] https://vietnetco.vn/ [7] https:// antoanthongtin.gov.vn 34 ... hiệu NHỮNG THÁCH THỨC ĐỐI VỚI GIAO DỊCH TÀI CHÍNH 2.1 Sự phát triển liên tục công an ninh mạng Một thách thức lớn an ninh mạng chất liên tục phát triển rủi ro an ninh Trong bối cảnh công nghệ. .. phẩm -dịch vụ tài Tuy nhiên doanh nghiệp tài phải đối mặt với thách thức đến từ dịch vụ cung ứng cho hoạt động tài chính: + Đối với việc quản lý thông tin – liệu, phần lớn tổ chức tài sử dụng dịch. .. trình giao dịch tài chính; thơng qua thiết bị công nghệ nối kết mạng Internet1, có tải-cài đặt tiện ích-ứng dụng (App - Application); thơng qua dịch vụ tài di động (Mobile Financial Services-MFS),