Đi cùng xu hướng chuyển đổi số cũng là những thách thức về an ninh mạng, an toàn bảo mật thông tin, khi các tổ chức tài chính - ngân hàng luôn là một “đích nhắm” của tội phạm mạng. Trong bối cảnh đó, Bảo hiểm tiền gửi Việt Nam (DIV) luôn chú trọng đảm bảo an ninh, an toàn thông tin nội bộ cũng như trên môi trường mạng trong quá trình triển khai các hoạt động nghiệp vụ; qua đó góp phần bảo vệ tốt hơn quyền và lợi hợp pháp của người gửi tiền, đóng góp tích cực vào việc duy trì an toàn hệ thống các tổ chức tín dụng.
Tội phạm mạng có xu hướng ngày càng phức tạp
Quá trình chuyển đổi số có những bước tiến đặc biệt mạnh mẽ đối với ngành Ngân hàng, nhiều dịch vụ tài chính - ngân hàng đã có thể thực hiện hoàn toàn trên kênh số (thanh toán, tiền gửi, tiết kiệm,...) nhằm đáp ứng nhu cầu giao dịch trực tuyến mọi lúc, mọi nơi của người dân, doanh nghiệp. Tuy nhiên, thực tế ghi nhận tấn công lừa đảo nhằm đánh cắp, chiếm đoạt tiền trong tài khoản ngân hàng là một trong những điển hình của xu hướng tội phạm mạng thời gian qua.
Thủ đoạn của các đối tượng là rà quét lỗ hổng bảo mật, tấn công leo thang đặc quyền, truy cập trái phép vào hệ thống quản trị của máy chủ tại các ngân hàng để rút tiền trong tài khoản của khách hàng. Các thủ đoạn tinh vi trên không gian ảo cho phép tội phạm mạng đánh cắp tiền từ tài khoản của nạn nhân và thu thập một lượng lớn dữ liệu cá nhân (tên, địa chỉ, số chứng minh nhân dân hoặc căn cước công dân, số điện thoại, ngày sinh và nghề nghiệp). Những thông tin này có thể được mua bán trong cộng đồng tội phạm mạng, hoặc được bán cho những kẻ xấu, phục vụ các cuộc tấn công tiếp theo nhắm vào nạn nhân. Thực trạng này đặt ra cho ngành Ngân hàng khá nhiều thách thức trong vấn đề hoàn thiện các quy định pháp lý, đồng bộ và chuẩn hóa cơ sở hạ tầng để kết nối, tích hợp, tạo lập hệ sinh thái số, thay đổi về nhu cầu, hành vi khách hàng, đảm bảo an ninh, an toàn và bảo mật dữ liệu khách hàng...
Theo báo cáo về an ninh mạng của Insights (2021), hơn 25% các cuộc tấn công bằng phần mềm độc hại là nhằm vào các ngân hàng và tổ chức tài chính với số lượng này nhiều hơn bất kỳ ngành nào khác. Nguyên nhân xuất phát từ tính đặc thù của ngành tài chính - ngân hàng khi mô hình hoạt động kinh doanh cũng như việc cung ứng sản phẩm dịch vụ của ngành dựa trên nền tảng công nghệ kỹ thuật số.
Vấn đề đặt ra đối với hoạt động BHTG
Là thành viên trong mạng an toàn tài chính quốc gia, trong thời gian qua, DIV đã chủ động nghiên cứu, nắm vững và chấp hành nghiêm túc các chủ trương, chính sách của Đảng, pháp luật của Nhà nước như: Chiến lược an ninh mạng quốc gia; Chỉ thị số 28-CT/TW ngày 16/9/2013 của Ban Bí thư Trung ương Đảng (khóa XI) về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng; Chỉ thị số 46-CT/TW ngày 22/6/2015 của Bộ Chính trị về tăng cường sự lãnh đạo của Đảng đối với công tác đảm bảo an ninh, trật tự trong tình hình mới; Luật An ninh mạng, Luật An toàn thông tin mạng; Luật bảo vệ bí mật nhà nước; Nghị định số 26/2020/NĐ-CP ngày 28/2/2020 của Chính phủ quy định chi tiết một số điều của Luật Bảo vệ bí mật nhà nước; Chỉ thị 02/CT-TTg ngày 04/7/2018 của Thủ tướng Chính phủ về công tác bảo vệ bí mật nhà nước trên không gian mạng; Quyết định số 1820/QĐ-NHNN ngày 26/10/2020 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) về Quy chế an toàn bảo mật hệ thống thông tin của NHNN; Thông tư 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng.
Trên cơ sở đó, DIV đã ban hành Hướng dẫn xử lý khủng hoảng khi xảy ra sự cố an toàn thông tin mạng (năm 2021); và dự kiến ban hành trong năm 2022 Quy chế an toàn hệ thống thông tin của DIV… Việc bảo đảm an toàn thông tin thực hiện theo nguyên tắc xác định rõ quyền hạn, trách nhiệm từng bộ phận và cá nhân tại DIV và theo quy định pháp luật. Hệ thống thông tin của DIV được phân loại theo cấp độ quy định và được áp dụng chính sách an toàn thông tin phù hợp. Những văn bản này đề cập rõ dấu hiệu nhận biết, cách phân loại, đánh giá kịp thời cũng như những phương án xử lý đem lại hiệu quả đôi với từng loại rủi ro công nghệ thông tin có thể xảy ra với DIV.
Đồng thời, DIV chú trọng đẩy mạnh trang bị kỹ năng ứng phó tấn công mạng cho cán bộ và người lao động trong toàn hệ thống; chú trọng nâng cao nhận thức, kiến thức về bảo vệ bí mật nhà nước trên không gian mạng thông qua các khóa đào tạo, tập huấn bảo mật được cá nhân hóa cho nhân viên ở từng mảng nghiệp vụ.
DIV tiếp tục xây dựng, hoàn thiện hệ thống các văn bản quản trị điều hành, quy định về bảo đảm an ninh mạng, an toàn thông tin, bảo vệ bí mật nhà nước trên không gian mạng; nhất là quy định về sử dụng mạng máy tính nội bộ, mạng máy tính có kết nối internet; gắn trách nhiệm của lãnh đạo đơn vị, bộ phận chuyên trách và có chế tài cụ thể xử lý vi phạm.
Ngoài ra, DIV cũng chú trọng đầu tư cơ sở vật chất, trang thiết bị kỹ thuật nhằm bảo đảm an ninh mạng, an toàn thông tin như: Định kỳ rà soát, đánh giá lại toàn bộ hệ thống thông tin trong toàn hệ thống; thay thế các mô hình mạng đã lỗi thời bằng các hệ thống quản trị tập trung; hệ thống tự động quản lý, cập nhật bản vá lỗi bảo mật ngoại tuyến; hệ thống giám sát, phát hiện, cảnh báo hoạt động tấn công mạng (SIEM/SOC); lưu ý không mua sắm mới thiết bị có nguồn gốc, xuất xứ từ một số quốc gia/hãng công nghệ đã bị cảnh báo tồn tại lỗ hổng bảo mật, có nguy cơ mất an ninh, an toàn thông tin.
DIV cho biết, trong thời gian tới sẽ đẩy mạnh hơn nữa hoạt động thanh tra, kiểm tra an ninh mạng, an toàn thông tin và công tác bảo vệ bí mật nhà nước trên mạng máy tính, trên không gian mạng tại các đơn vị trong toàn hệ thống; đảm bảo cán bộ làm công tác quản trị mạng, quản trị hệ thống thông tin có đủ tiêu chuẩn về chính trị, trình độ chuyên môn và năng lực công tác; đảm bảo kịp thời phát hiện các sơ hở, thiếu sót trong công tác bảo đảm an ninh mạng; ngăn chặn và xử lý kịp thời các hoạt động gián điệp mạng nhằm vào tổ chức.
Theo DIV
