An toàn thông tin và quản lý hệ thống thông tin ngân hàng là một trong những vấn đề không còn mới mẻ nhưng chưa được nhiều NHTM Việt Nam chú trọng đúng mức. Thống kê của các hãng bảo mật cho thấy hầu hết các cuộc rò rỉ thông tin thường từ nội bộ của các tổ chức, doanh nghiệp. Việc quản trị thông tin tốt có ảnh hưởng rất lớn đến sự phát triển của một ngân hàng, ảnh hưởng trực tiếp đến quản trị rủi ro và hiệu quả kinh doanh. Trong một ngân hàng, các quy trình nghiệp vụ liên quan chặt chẽ đến nhiều bộ phận, do đó cần phải có một giải pháp cung cấp và bảo mật thông tin hợp lý để duy trì sự hoạt động thông suốt của hệ thống. Tại hầu hết các NHTM hiện nay, khi nói đến an toàn bảo mật thông tin thường nghĩ đến các tài liệu đã được lưu trữ trên máy tính mà chưa để ý nhiều đến công tác bảo mật các tài liệu bằng giấy tờ. Do ngân hàng là lĩnh vực nhạy cảm nên có những văn bản giấy tờ
chỉ một số người được phép mới có thể tiếp cận. Tuy nhiên, phương pháp lưu trữ hiện nay chưa có các giải pháp để phân loại, phân quyền cũng như lưu lại các dấu vết truy lục nên nguy cơ rò rỉ thông tin nhạy cảm còn khá cao.
Thực tế hiện nay, 80% ngân hàng tại Việt Nam đã và đang triển khai hệ thống ngân hàng điện tử (eBank), tuy nhiên, theo đánh giá của Trung tâm an ninh mạng Việt Nam Bkis, 100% các hệ thống mà Bkis đã khảo sát, đánh giá tồn tại lỗ hổng an ninh mạng. Dịch vụ eBank là một trong những ứng dụng công nghệ ngân hàng hiện đại đang được các ngân hàng trên toàn quốc đẩy mạnh đầu tư và phát triển. Với khả năng xử lý thông tin trực tuyến, eBank mang lại nhiều tiện lợi cho khách hàng thông qua các phương thức chuyển khoản, vấn tin tài khoản online…Tuy nhiên, cùng với sự phát triển mạnh mẽ của eBank, mối nguy bị tội phạm mạng tấn công hệ thống này cũng ngày càng lớn. Mặc dù những cảnh báo về nguy cơ mất an toàn, an ninh mạng của các ngân hàng đã được đề cập không ít lần, song tính đến giờ, dường như sự quan tâm của các ngân hàng tới vấn đề này vẫn chưa đúng mức.
Cả 4 yếu tố cấu thành eBank (gồm con người và quá trình vận hành, cơ sở hạ tầng và đường truyền, hệ điều hành và môi trường, ứng dụng ngân hàng trực tuyến) đều có nguy cơ mất an toàn, an ninh.
Lý do căn bản nhất khiến các ngân hàng tại Việt Nam mắc phải lỗ hổng an ninh mạng là thiếu quy trình đánh giá độc lập về an ninh khi triển khai các hệ thống Internet Banking, cũng như thiếu việc áp dụng các tiêu chuẩn về an ninh, an toàn thông tin. Theo phân tích và thống kê của các chuyên gia của Bkis Security, có 7 tình huống nguy hiểm mà các NHTM sử dụng hệ thống ngân hàng điện tử tại Việt Nam thường mắc phải là: 3 nguy cơ từ quá trình xử lý dữ liệu đầu vào, 2 lỗ hổng do quá trình xử lý logic, và 2 lỗi do sai sót của người quản trị mạng, quản trị hệ thống:
- SQL Injection: Lỗ hổng SQL Injection là lỗi được liệt vào dạng “cổ điển” song đáng tiếc là vẫn có những ngân hàng Việt Nam đang là nạn nhân (theo thống kê của Bkis, đang có khoảng 10% ngân hàng điện tử mắc phải lỗi này). Lợi dụng lỗ hổng, hacker có thể dễ dàng lấy được tên, mật khẩu của khách hàng chỉ bằng một số chuỗi thao tác đơn giản, sau đó dễ dàng sử dụng hoặc thay đổi thông tin trên tài khoản của
nạn nhân. Lỗi này thường xảy ra ở những module tự phát triển của ngân hàng.
- Cross site scripting (XSS): Bằng cách thực hiện một đoạn mã độc trong chức năng chuyển khoản của hệ thống eBank, hacker sẽ chiếm quyền sử dụng của nạn nhân sau khi ăn trộm được giá trị cookie của nạn nhân. Có tới 93% hệ thống eBank tại Việt Nam đang ở tình huống nguy hiểm này. Và kiểm soát dữ liệu đầu vào cũng là một trong những giải pháp hữu hiệu nhất để đối phó.
- Malicious file uploading: Trong tình huống này, hacker lợi dụng module góp ý, khiếu nại trên giao diện của eBank để tấn công trực tiếp vào hosting. Dù tình huống này ít xảy ra (chỉ khoảng 16%) song sẽ đặc biệt nguy hiểm nếu thư mục được tải lên có quyền thực thi. Theo khuyến cáo của Bkis thì để đối phó, một trong những giải pháp là phải phân quyền chặt chẽ trên hosting. Và cách quan trọng nhất là kiểm tra phần tên file mở rộng (extensive) và định dạng của file (header).
- Authentication: 64% ngân hàng điện tử tại Việt Nam có lỗ hổng này. Hacker có thể mạo danh để chiếm quyền sử dụng tài khoản của nạn nhân. Đối tượng tấn công của hacker là những người sử dụng khác trên cùng hệ thống. Bkis khuyến cáo rằng các ngân hàng và người sử dụng nên truyền những thông tin nhạy cảm quan session thay vì parameters, đồng thời kiểm tra sessions và tài khoản tương ứng để tránh “làm mồi” cho hacker.
- Crosssite request forgery (CSRF): Với lỗ hổng này, người sử dụng chỉ cần xem sao kê thì tiền trong tài khoản của người sử dụng sẽ tự động “chảy”vào tài khoản của hacker. Điểm đặc biệt nguy hiểm là có tới 93% ngân hàng hiện chưa có cảnh giác, dễ dẫn đến việc tin tặc khai thác lỗi CSRF. Giải pháp khắc phục theo Bkis là sử dụng hard token, hạ tầng khoá công khai (PKI)…
- Nguy cơ từ môi trường: Nguy cơ này xuất hiện khi các hệ thống eBank không cập nhật kịp thời những phiên bản vá phần mềm mới nhất và cấu hình hệ thống chưa tốt.
Không cập nhật được bản vá mới, hệ thống sẽ dễ dàng bị hacker chiếm quyền thao tác. 80% hệ thống eBank tại Việt Nam đang tồn tại lỗi này, và một trong những nguyên nhân là do quản trị mạng chủ quan cho rằng phần mềm có thể tự cập nhật bản
vá. Giải pháp để khắc phục chỉ đơn giản một câu ngắn gọn “thường xuyên cập nhật bản vá”, song cũng không dễ dàng được thực hiện bởi các ngân hàng ở nước ta.
Còn về cấu hình hệ thống, tỷ lệ ngân hàng điện tử tại Việt Nam mắc lỗi này đang là 50%. Nguyên nhân do hệ thống không đồng bộ, không nhất quán giữa các phần mềm, vẫn tồn tại nhiều chức năng thừa. Giải pháp xử lý lỗi này là loại bỏ những chức năng không cần thiết để không còn “miếng mồi” cho hacker lợi dụng khai thác.
- Nguy cơ từ quy trình vận hành và chính sách an ninh thông tin: Một điều đáng lo ngại là không ít NHTM vẫn chưa có chế tài chặt chẽ về quy trình vận hành và chính sách an ninh thông tin. Các ngân hàng điện tử hiện nay đang có đặc điểm “chỗ thì chặt quá, chỗ thì lỏng quá”. Đơn cử cho sự “lỏng” là số tài khoản của khách hàng có thể được cung cấp một cách dễ dàng từ người phụ trách hỗ trợ khách hàng (chỉ cần gọi điện thoại để hỏi). Còn minh chứng cho sự “chặt” là quy định vô hiệu hoá toàn khoản nếu có 5 cho đến 7 lần truy nhập sai mật khẩu (tuy nhiên hacker có thể lợi dụng quy định này, cố tình nhập sai nhiều lần để vô hiệu hoá tài khoản của khách hàng).
Bên cạnh đó, việc rò rỉ thông tin đã tiếp tay cho các đối tượng tội phảm cả trong và ngoài ngân hàng để thực hiện các hành vi của mình. Một ví dụ đáng chú ý là từ tháng 8-2006 đến tháng 1-2009, Nguyễn Anh Tuấn (30 tuổi, ở Đống Đa, Hà Nội), đã lợi dụng là nhân viên giao dịch của Vietcombank chi nhánh Hà Nội để sử dụng mã truy cập được Vietcombank cấp cho nhân viên, để xâm nhập vào tài khoản của Công ty TNHH Tiger Gold Co.Ltd và Công ty TNHH AB Mauri Việt Nam. Sau đó, Tuấn đã làm giả các giấy tờ, chữ ký để chiếm đoạt của Vietcombank tổng số tiền hơn 1,9 tỷ đồng tại các chi nhánh Vietcombank Hải Dương, Vietcombank TP Hồ Chí Minh và Vietcombank Đà Nẵng. Một ví dụ điển hình khác là 05 sinh viên do Nguyễn Anh Tuấn cầm đầu đã làm giả trang web bán hàng trực tuyến, gửi thư điện tử lừa các chủ thẻ cung cấp các dữ liệu về thẻ tín dụng của họ, sau đó thực hiện đầy đủ các bước từ truy cập Internet lấy trộm thông tin thẻ tín dụng, làm thẻ giả và rút tiền từ máy ATM. Tổng cộng, đường dây này đã rút hơn 1,6 tỷ đồng qua hệ thống ATM tại các ngân hàng ở Việt Nam và ở nước ngoài.
Tại buổi tọa đàm Hội thẻ Ngân hàng Việt Nam tổ chức ngày 21/12/2011, theo ông Ngô Minh Loan – Trưởng phòng phòng chống tội phạm công nghệ cao, Cục phòng chống tội phạm công nghệ cao (C50) Bộ công an cho rằng, trong những năm gần đây, tình hình tội phạm sử dụng công nghệ cao trong lĩnh vực thẻ trên thế giới cũng như tại Việt Nam ngày càng nhiều về số lượng vụ việc và tính chất ngày càng tinh vi, phức tạp. C50 đã và đang thực hiện nhiều biện pháp phòng chống tội phạm trong lĩnh vực này. Theo thạc sĩ Lê Thanh Hà – Phó Giám đốc trung tâm thẻ Vietinbank, có rất nhiều loại rủi ro đối với nghiệp vụ thẻ như: thẻ thất lạc, mất cắp; chủ thẻ không nhận được thẻ do ngân hàng do ngân hàng phát hành gửi; đơn xin phát hành với các thông tin gian lận, giả mạo; thẻ giả; sử dụng tài khoản gian lận. Thống kê sơ bộ cho thấy tổn thất do gian lận thẻ gây ra đối với tổ chức thẻ Visa và MasterCard ước tính khoảng 4,2 tỷ USD (số liệu của Visa đến hết quý 3/2011 và MasterCard đến hết quý 2/2011). Điều đáng nói là tổn thất của hai tổ chức này tại thị trường Việt Nam cũng lên tới con số 3,1 triệu USD. Trong đó, gian lận giao dịch không xuất trình thẻ có số lượng và giá chị chiếm tỷ lệ lớn nhất. Tại Việt Nam, trong năm 2011 đã có 5 vụ ATM Skimming được phát hiện diễn ra ở các ngân hàng khác nhau. Số lượng thẻ ATM nghi ngờ bị đánh cắp dữ liệu ước tính khoảng 470 thẻ với giả trị tổn thất khoảng 300 triệu đồng.
Các rủi ro do thiết kế lắp đặt và bảo trì hệ thống cũng là những yếu tố ảnh hưởng trực tiếp đến hoạt động, dịch vụ của ngân hàng đối với khách hàng. Hiện nay, các NHTM đang nỗ lực phát triển rất nhanh về dịch vụ thanh toán không dùng tiền mặt. Theo thống kê của NHNN, chỉ riêng trong 5 tháng đầu năm 2010, số lượng thẻ và máy ATM được các NHTM lắp đặt thêm tăng tới 22% cùng với một lượng thẻ thanh toán kỷ lục. Đến tháng 5/2011, trên địa bàn Hà nội có 38 hệ thống ngân hàng đã triển khai lắp đặt 2.085 máy rút tiền tự động (ATM). Và một thực tế là hệ thống càng mở rộng thì tính an ninh mạng lại càng là vấn đề cần được quan tâm và giải quyết. Đặc biệt là những nguy cơ mất an toàn trong việc bảo đảm an ninh bảo mật của các NHTM. Thực tế trong thời gian qua không ít người sử dụng thẻ ATM bức xúc, than phiền về những trục trặc như máy nuốt thẻ, hết tiền... và
hoang mang khi có sự cố dò điện ra vỏ máy trên một số ATM, thậm chí gây chết người. Thêm vào đó, gần đây, một số ngân hàng cho biết, hiện đã xuất hiện tình trạng kẻ gian sử dụng thẻ tín dụng đã hết hạn của nước ngoài để vào Việt Nam rút tiền; ăn cắp thông tin cá nhân của các chủ tài khoản, sau đó in thẻ giả để rút tiền của người nước ngoài và người Việt Nam. Nguy hiểm hơn, các ngân hàng và cơ quan an ninh đang phải đối mặt với nỗi lo mất tiền, phá cột ATM chỉ bằng những dụng cụ như đèn khò, mỏ hàn, kìm bấm... Đã có ngân hàng phát hiện cột ATM của mình bị gắn thiết bị quay trộm nhằm lấy mã số PIN của khách hàng...
Thị trường thẻ tại Việt Nam rất tiềm năng nhưng đây là lĩnh vực ẩn chứa rất nhiều rủi ro, bởi lẽ hệ thống thẻ ngân hàng chưa được chuẩn hóa theo đúng quy định của NHNN. Mặt khác, dịch vụ thẻ của nhiều NHTM chỉ tăng chủ yếu về lượng, chưa có sự chuyển biến về chất, dẫn đến nhiều rủi ro cho khách hàng và hoạt động của ngân hàng.