ở ngân hàng MHB Bắc Ninh
Bởi ngân hàng ngàycàng cung cấp nhiều dịch vụ, tiện ích cho nên việc kiểm soát thông tin, nguy cơ mất an toàn thông tin ngàycàng cao, thông tin trao đổi trong lĩnh vực tài chính ngân hàng là “luồng tiền” đâylà đích ngắm của tội phạm công nghệ cao.
Từ thực trạng đó, việc thực hiện tốt công tác an ninh, bảo mật cho các dịch vụ ngân hàng chính là bảo vệ lợi ích của ngân hàng và trên hết là bảo vệ quyền lợi của khách hàng. Đảm bảo an toàn thông tin là sự kết hợp giữa con người, công nghệ, chính sách và quan trọng là việc đảm bảo an toàn thông tin là một quá trình không kết thúc
Bằng những gì đã thu thập được, sau quá trình phân tích và nghiên cứu, em xin đưa ra một số đánh giá về tình hình bảo mật, an toan dữ liệu ở ngân hàng MHB Bắc Ninh như sau:
Điểm mạnh
- Qua phiếu điều tra cho thấy đội ngũ quản trị mảng CNTT của chi nhánh cũng đang có mối quan tâm, có hướng đi đúng đắn trong việc đưa ra chiến lược để nâng cấp hệ thống bảo mật để đảm bảo cho công tác bảo mật và an toàn thông tin. Đồng thời, cũng cũng có dự định đầu tư thêm vào cho hoạt động an toàn bảo mật thông tin. Xác định tầm quan trọng của những thông tin của công ty cần được bảo vệ. Các hình thức đảm bảo an toàn thông tin đã được áp dụng trong ngân hàng như:
+ Chương trình phòng chống bảo vệ cho mạng: Antivirut( BKAV Pro), Microsoft Security Essentials, Web antivirut (PC tools doctor ASD.Net), mail antivirut (security Plus for Mdea, Symante dùng cho các máy cá nhân).
+ Sử dụng phần mềm diệt virus bản quyền dành cho doanh nghiệp: BKAV
+ Lựa chọn giải pháp bảo mật email và web cho phép lọc thư rác, loại bỏ các mối đe dọa trên email
+ Mã hóa thông tin trước những truy nhập trái phép, giúp mang tới khả năng bảo mật mạnh đối với các tài sản trí tuệ, thông tin/dữ liệu về khách hàng và đối tác..
+ Đầu tư phần cứng hệ thống sao lưu dự phòng và các giải pháp khôi phục dữ liệu khi có sự cố.
- Ngân hàng đã có sự đầu tư nhân lực CNTT tương đối tốt khi đội ngũ nhân viên trong Ban CNTT của công ty đều được đào tạo chuyên nghiệp tại các trường đại học lớn như Đại học Công nghệ, Đại học FPT, Đại học Bách Khoa, Bách khoa Aptech… cho nên đây là bước đệm hỗ trợ việc bảo mật , an toàn dữ liệu, thông tin.
- Bằng các kỹ thuật chuyên môn, các kỹ thuật viên đã làm ẩn giấu các thông tin về server của trang web, đây là việc đáng khuyến khích làm vì như vậy các hacker sẽ khó khăn hơn trong việc tìm kiếm thông tin về hệ thống của ngân hàng.
- Công ty cũng đã sử dụng các công cụ, phần mềm để đánh giá tình hình bảo mật, phát hiện các lỗ hổng bảo mật trên các website, thường xuyên sử dụng dịch vụ bảo trì website do công ty thiết kế web cung cấp. Thường xuyên cập nhật thông tin về những bản vá lỗi của các hãng phần mềm, theo dõi chặt chẽ về quyền truy cập/mật khẩu… Thiết lập chế độ nhật ký mạng (ghi tập tin log) nhằm có cơ sở giải quyết sự cố mạng và điều tra các cuộc tấn công.
Điểm yếu
- Khi thiết lập website để quảng bá thương hiệu,kinh doanh dịch vụ, ngân hàng vẫn chưa quan tâm sâu sắc đến yếu tố bảo mật. Chủ yếu, ban lãnh đạo
- quan tâm nhiều đến hình thức bên ngoài, giao diện dễ sử dụng, website vận hành tốt… Nếu có yêu cầu về bảo mật thì vẫn không có sự đồng bộ giữa đơn vị thiết kế website, dịch vụ đặt máy chủ, đội ngũ an ninh mạng…
- Chi phi đầu tư về bảo mật chưa cao, chưa lưu ý đến mức độ chuyên nghiệp của đơn vị cung cấp dịch vụ hosting (nơi đặt máy chủ) và hệ điều hành máy chủ quản lý website. Do sử dụng dịch vụ máy chủ dùng chung (Share Hosting) mà nhà cung cấp dịch vụ không cấu hình bảo mật có thể xảy ra rủi ro. Các hacker có thể tấn công vào một website dùng chung dịch vụ hosting và sau đó từ đây tấn công vào website của DN khác. Việc sử dụng máy chủ được thuê riêng với hệ thống bảo mật sẽ đảm bảo an toàn cho website cũng như dữ liệu được lưu trữ tại máy chủ của ngân hàng.
- Ngân hàng cung cấp cho các nhân viên dùng chung một mật khẩu chung, do đó mà đã từng xảy ra tình trạng bị đánh cắp thông tin.Việc các nhân viên trong ngân hàng dùng chung một mật khẩu để đăng nhập vào các chương trình, hệ thống của ngân
hàng dẫn đến tình trạng mất tính an toàn và riêng tư, có thể do yếu tố con người trong nội bộ của công ty, không thể tránh khỏi sự tò mò hay vì lí do nào khác mà có thể có ai đó tham dự vào các công việc khác không phải của mình.
- Trong hệ thống của ngân hàng, các mật khẩu email, mật khẩu đăng nhập của một số website nội bộ sử dụng các thông tin đăng nhập không được mã hóa, điều này tạo điều kiện cho hacker dễ dàng ăn cắp được mật khẩu. Vì vậy bộ phận kỹ thuật nên mã hóa các mật khẩu đăng nhập cho an toàn.
- Máy chủ và máy trạm trong ngân hàng được kết nối bằng mạng nội bộ LAN, giúp cho việc truyền nhận thông tin và chia sẻ tài nguyên tốt, không bị chia sẻ ra bên ngoài.Tuy nhiên,việc đánh cắp thông tin nội bộ lại dễ dàng xảy ra do đó mà dễ bị tấn công sniffer, arp poisonin