Góc nhìn chuyên gia
14/12/2017 01:34 AM +07:00
17/08/2017 08:23 AM +07:00

Quy trình bảo mật an toàn thanh toán

Một số tổ chức đã không tuân thủ đầy đủ các quy trình bảo mật an toàn thông tin (ATTT), dẫn đến sự cố khách hàng bỗng dưng bị mất tiền trong tài khoản dù thẻ ATM vẫn trong ví, hay trường hợp sổ tiết kiệm vẫn trong két nhưng tiền vẫn bị rút gần hết vừa xảy ra tại ngân hàng Vietinbank.

 

Trong bối cảnh cách mạng công nghiệp 4.0, với sự bùng nổ của công nghệ như Big Data, Cloud Services, Trí tuệ nhân tạo, Kết nối vạn vật… các tổ chức và doanh nghiệp phải đối mặt với rất nhiều rủi ro và hiểm họa về mất ATTT.

Dù các tổ chức trong ngành tài chính, ngân hàng luôn là các đơn vị đi đầu trong công tác bảo đảm ATTT cũng như có đầu tư cho các giải pháp, công cụ để ngăn chặn, phát hiện sớm các rủi ro, mất mát trong thanh toán điện tử nhưng hệ thống vẫn xuất hiện nhiều lỗ hổng dễ khai thác, gián điệp kinh tế, rủi ro từ thiết bị di động và thiếu hiểu biết về thao tác bảo mật cơ bản trong nội bộ gây thất thoát dữ liệu…

Bằng chứng là thời gian qua, liên tục xảy ra hiện tượng nhiều chủ thẻ tại Việt Nam bị đánh cắp tiền trong tài khoản.

Phóng viên Thời báo Kinh doanh đã có cuộc trao đổi với chuyên gia Thanut Pimhataivoot của tập đoàn NTT Data, Thái Lan xung quanh vấn đề này.

Ông đánh giá như thế nào về bảo mật ATTT của ngành ngân hàng Việt Nam?

Tôi đã có kinh nghiệm làm việc với Ngân hàng Nhà nước và một số đối tác ở Việt Nam nên nhận thấy ngành ngân hàng ở Việt Nam đang phát triển rất nhanh, cùng với đó là hệ thống bảo mật ATTT trong lĩnh vực này rất phát triển.

Hiện nay, Việt Nam đã ban hành nhiều quy định về bảo mật ATTT theo các thông lệ tốt nhất trên thế giới như: ISO 27001, NIST 800-53, TCVN 11894:2007 – tiêu chuẩn quốc gia được ban hành gần đây và chuẩn ATTT cho ngành ngân hàng như PCI DSS, CSP (SWIFT)…

Có thể nói, hệ thống bảo mật ATTT trong ngành ngân hàng ở Việt Nam rất tốt cả về khía cạnh quản trị cũng như an ninh, an toàn. Bên cạnh đó, tôi rất ấn tượng trước số lượng lớn cơ quan, tổ chức quan tâm và tham gia chủ đề ATTT.

Chuyên gia Thanut Pimhataivoot của tập đoàn NTT Data, Thái Lan

Dù được đánh giá có quy trình bảo mật ATTT tốt, song thời gian vừa qua, ngành ngân hàng liên tục xảy ra hiện tượng nhiều chủ thẻ bị đánh cắp tiền trong tài khoản. Vậy theo ông, nguyên nhân do đâu, lỗ hổng nào hay bị các đối tượng khai thác?

Khi chúng ta có quy trình bảo mật ATTT rất tốt nhưng đôi khi một số tổ chức không tuân thủ đầy đủ các quy trình bảo mật đó sẽ dẫn đến sự cố như vậy có thể xảy ra.

Trước kia, khi khách hàng đến ngân hàng rút tiền phải xuất trình chứng minh thư, nhưng bây giờ với thẻ thanh toán, chúng ta thấy nó ở dạng từ nên dễ làm giả, copy. Đây chính là lỗ hổng giúp những kẻ xâm hại đánh cắp tài khoản của khách hàng. Lợi dụng khi chủ tài khoản hoặc ngân hàng không tuân thủ nghiêm ngặt quy trình bảo mật, những đối tượng này đã copy được thẻ đó và hoàn toàn chiếm quyền kiểm soát đối với tài khoản của chủ thẻ và lấy được tiền.

Suy cho cùng, vẫn là quy trình bảo mật thông tin, làm thế nào chúng ta phải có quy trình tốt, có khả năng xác thực và phải có các bằng chứng cùng các cơ chế giúp thẻ bảo mật tốt hơn. Ví dụ như thông qua hệ thống chip để khó có thể được copy, có như vậy mới an toàn hơn.

Ngoài ra, các ngân hàng phải tuân thủ nghiêm ngặt chu trình đảm bảo ATTT, từ thiết kế, xây dựng đến vận hành, nâng cấp. Thậm chí hủy bỏ cũng cần đáp ứng theo chu trình đảm bảo ATTT.

Theo ông, tiêu chuẩn bảo mật thông tin trong lĩnh vực ngân hàng ở Việt Nam có đáp ứng được điều kiện bảo mật thông tin khi mở rộng kinh doanh sang các nước khác trên thế giới?

Đối với ngành ngân hàng ở khu vực Đông Nam Á nói riêng và trên thế giới nói chung có một đặc điểm là hoạt động vượt khỏi phạm vi biên giới, hay nói cách khác là không có biên giới trong hoạt động ngân hàng.

Ở đây chúng ta thấy, khi các ngân hàng trung ương ở mỗi quốc gia ban hành tiêu chuẩn về ATTT, những tiêu chuẩn này phải hài hòa với nhau, giúp cho các ngân hàng khi đã tuân thủ được tiêu chuẩn ATTT ở quốc gia này sẽ tuân thủ được tiêu chuẩn tương tự ở những quốc gia khác. Điều này đặc biệt đúng đối với khu vực Đông Nam Á, khu vực ASEAN.

Đối với cộng đồng ASEAN, việc hài hòa hóa các tiêu chuẩn này sẽ tạo điều kiện cho các ngân hàng hội nhập. Ví dụ, thời gian qua, có nhiều ngân hàng Việt Nam dễ dàng mở rộng hoạt động kinh doanh của mình sang Lào, Campuchia, Myanmar… Như vậy có nghĩa là các tiêu chuẩn đang được áp dụng ở Việt Nam đáp ứng tốt tiêu chuẩn quốc tế.

Thực tế, việc hài hòa hóa các tiêu chuẩn ATTT như vậy rất quan trọng, không chỉ giúp các ngân hàng bảo mật thông tin cho khách hàng, mà còn mở rộng địa bàn hoạt động của mình.

Huyền Anh thực hiện

Ý kiến bạn đọc ()