Cảnh báo 5 lỗi bảo mật thường gặp của các ngân hàng, tổ chức tài chính tại Việt Nam

ictnews Theo chuyên gia Đào Minh Tuấn, Trưởng phòng Công nghệ bảo mật, Công ty cổ phần An ninh mạng Việt Nam (VSEC), có 5 lỗi bảo mật khá phổ biến trong lĩnh vực tài chính, ngân hàng có thể bị tin tặc lợi dụng để đánh cắp tài sản, dữ liệu của các cá nhân, tổ chức.

Mã hóa dữ liệu là phần rất cơ bản nhưng cực kỳ quan trọng trong các biện pháp an ninh mạng hiệu quả, nếu dữ liệu không được mã hóa, tin tặc có thể dễ dàng đánh cắp và sử dụng dữ liệu. (Ảnh minh họa: Internet)

Từ cuối năm ngoái, khi dự báo về những xu hướng của an toàn, an ninh mạng Việt Nam trong năm 2019, các chuyên gia đã chỉ ra rằng một trong năm xu hướng chính là tấn công mạng vào các hệ thống thương mại điện tử, tài chính - ngân hàng... với mục tiêu chiếm đoạt tài sản, đánh cắp thông tin, dữ liệu của các cá nhân, tổ chức.

Trên thực tế, gần đây, hàng loạt các vụ tấn công mạng nhằm vào các ngân hàng, tổ chức tài chính tại Việt Nam đã xảy ra và có xu hướng gia tăng mạnh mẽ.

Hồi tháng 5, tại sự kiện Security World 2019, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT, nay là Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam thuộc Cục An toàn thông tin) đã công bố kết quả cuộc khảo sát, đánh giá mức độ quan tâm về an toàn, an ninh mạng và hiện trạng bảo mật của các doanh nghiệp cung cấp dịch vụ tài chính – ngân hàng tại Việt Nam. Khảo sát được thực hiện với 30 ngân hàng cùng 16 đơn vị cung cấp dịch vụ tài chính, bảo hiểm tại Việt Nam.

Theo khảo sát này, cùng với việc chỉ ra rằng ngay với các tổ chức, doanh nghiệp hoạt động trong lĩnh vực tài chính, ngân hàng, mức đầu tư cho an toàn, bảo mật vẫn chiếm một tỷ trọng nhỏ, thường là 5 - 15% trong tổng chi phí cho đầu tư CNTT của các doanh nghiệp, tổ chức; VNCERT cũng nêu ra những trở ngại lớn trong đảm bảo an toàn, bảo mật thông tin của các các tổ chức, doanh nghiệp như: nhân viên vi phạm các chính sách an toàn, bảo mật; hạn chế về nhân lực CNTT, an toàn thông tin; hạn chế về nghiệp vụ, kỹ năng chuyên môn...

Từ thực tế hỗ trợ những khách hàng là các doanh nghiệp, tổ chức hoạt động trong lĩnh vực tài chính, ngân hàng tại Việt Nam, ông Đào Minh Tuấn - Trưởng phòng công nghệ bảo mật Công ty cổ phần An ninh mạng Việt Nam (VSEC) đã “điểm mặt” 5 mối nguy hại bảo mật thường gặp nhất tại các ngân hàng, tổ chức tài chính, đó là: dữ liệu không được mã hóa; phần mềm độc hại; dịch vụ của bên thứ ba không an toàn; dữ liệu bị thay đổi trái phép; kỹ thuật giả mạo.

Dữ liệu không được mã hóa

Theo phân tích của chuyên gia VSEC, mã hóa dữ liệu là phần rất cơ bản nhưng cực kỳ quan trọng trong các biện pháp an ninh mạng hiệu quả. Tất cả dữ liệu được lưu trữ trực tuyến hay trên máy tính của tổ chức đều phải được mã hóa. Bởi nếu dữ liệu không được mã hóa, tin tặc có thể dễ dàng đánh cắp và sử dụng ngay lập tức.

Phần mềm độc hại

Các thiết bị người dùng cuối (máy tính, điện thoại di động…) nếu chứa phần mềm độc hại sẽ là mối nguy hiểm lớn bởi chúng kết nối trực tiếp với mạng của tổ chức, doanh nghiệp; thông qua kết nối này kẻ tấn công có thể điều khiển phần mềm độc hại và tấn công hệ thống mạng. Vì vậy, cần nâng cao nhận thức người dùng và bảo vệ các thiết bị người dùng cuối một cách tốt nhất.

Dịch vụ của bên thứ ba không an toàn

Nhiều ngân hàng và tổ chức tài chính thường sử dụng thêm sản phẩm, dịch vụ từ các nhà cung cấp bên ngoài. Tuy nhiên, nếu các đối tác đó không áp dụng các biện pháp an ninh mạng tốt, tổ chức, doanh nghiệp cũng có thể chịu ảnh hưởng. Việc quan trọng cần làm, theo khuyến nghị của chuyên gia VSEC, là kiểm tra sản phẩm, dịch vụ của bên thứ ba có áp dụng các tiêu chuẩn bảo mật hay không trước khi quyết định triển khai.

Dữ liệu bị thay đổi trái phép

Theo nhận định của chuyên gia VSEC, đôi khi tin tặc không xâm nhập để đánh cắp dữ liệu, chúng chỉ đơn giản là muốn thay đổi dữ liệu. Kiểu tấn công này rất khó phát hiện và có thể khiến các tổ chức tài chính phải chịu thiệt hại nặng nề, bởi định dạng dữ liệu ban đầu và sau khi tấn công không khác nhau nên việc xác định những gì đã bị thay đổi nếu tổ chức bị tấn công theo cách này là một thách thức không hề nhỏ.

Kỹ thuật giả mạo

Tin tặc tìm cách mạo danh URL của tổ chức với một trang web có giao diện và cách thức hoạt động giống hệt nhau, khi người dùng đăng nhập ngay lập tức thông tin sẽ bị đánh cắp. Hơn thế nữa, các kỹ thuật giả mạo mới nhất chỉ sử dụng một URL tương tự - không cần giống hệt cũng có có thể nhắm mục tiêu người dùng đã truy cập URL chính xác.

Là một ngân hàng hoặc tổ chức tài chính, điều bắt buộc là phải tìm cách giảm thiểu các mối đe dọa về an toàn bảo mật thông tin trong khi vẫn có thể cung cấp cho khách hàng các tùy chọn công nghệ tiên tiến, thuận tiện nhất.

“Các ngân hàng, tổ chức tài chính phải đầu tư mạnh về đào tạo, vừa để nâng cao kỹ năng chuyên môn cho đội kỹ sư bảo mật nội bộ, vừa để cập nhật kịp thời và liên tục các mối đe dọa, vấn đề bảo vệ dữ liệu. Một mô hình quản lý bảo mật được khuyên dùng khác hiện nay là CsaaS (Cyber Security as a Service), cho phép tổ chức sử dụng một đội ngũ chuyên gia giàu kinh nghiệm và kỹ năng để đưa ra từng chiến lược an ninh mạng phù hợp. Đó cũng là mô hình của Dịch vụ chuyên gia bảo mật đang được VSEC cung cấp cho nhiều doanh nghiệp, tổ chức trong và ngoài nước”, chuyên gia VSEC Đào Minh Tuấn khuyến nghị.

Vị Trưởng phòng công nghệ bảo mật của Công ty VSEC cho biết thêm, trong quá trình áp dụng mô hình CSaaS, các chuyên gia sẽ nghiên cứu phân tích lỗ hổng, đánh giá an toàn thông tin hệ thống, từ đó có thể sớm đưa ra chiến lược phòng thủ nhiều lớp, đảm bảo hệ thống của tổ chức được bảo vệ toàn diện nhất.

Ngoài ra, mô hình này cũng cung cấp các khóa đào tạo chuyên sâu về con người và quy trình. Những kẻ tấn công thường nhắm vào điểm yếu nhất của một tổ chức - là nhân viên của họ. Do đó, một cách tiếp cận pha trộn giữa công nghệ, quy trình và hành vi chia sẻ là cần thiết để thúc đẩy nhận thức và giáo dục rủi ro bảo mật cho nhân viên, góp phần chống lại mối đe dọa an ninh một cách hiệu quả.

10 việc làm công nghệ được ‘săn lùng’ nhiều nhất năm 2023

Từ kỹ sư đám mây đến chuyên gia an toàn thông tin, trận chiến “săn đầu người” công nghệ năm 2023 sẽ tiếp tục khốc liệt, đi kèm với mức thu nhập hấp dẫn.

Rộ chiêu đánh cắp thông tin, chiếm đoạt tiền trong tài khoản ngày đầu năm mới

Đầu năm mới là thời điểm các đối tượng lừa đảo thường xuyên hoạt động. Các hình thức phổ biến trong dịp này là đánh cắp thông tin và chiếm đoạt tiền trong tài khoản.

Mỹ và châu Âu lần đầu tiên đạt thoả thuận sâu rộng về trí tuệ nhân tạo

Mỹ và châu Âu đạt thoả thuận nhằm tăng tốc và tăng cường sử dụng trí tuệ nhân tạo (AI) trong nông nghiệp, y tế, ứng phó khẩn cấp, dự báo khí hậu và lưới điện.

Máy ảnh Sony sản xuất tại Trung Quốc sẽ không bán ở nước ngoài

Máy ảnh Sony bán tại Nhật Bản, Mỹ và các thị trường châu Âu sẽ được sản xuất tại Thái Lan thay vì Trung Quốc.

Mỹ giành thắng lợi ngoại giao quan trọng trong cuộc chiến công nghệ

Thuyết phục thành công chính phủ Hà Lan và Nhật Bản áp đặt các lệnh cấm xuất khẩu một số loại máy móc sản xuất chip tiên tiến sang Trung Quốc được coi là một thắng lợi về ngoại giao đối với Washington trong cuộc chiến công nghệ với Bắc Kinh.

Không xảy ra sự cố an toàn thông tin nghiêm trọng trong 7 ngày Tết Quý Mão

Trong đợt nghỉ tết Nguyên đán Quý Mão 2023 vừa qua, Cục An toàn thông tin, Bộ TT&TT đã hỗ trợ ứng cứu 41 sự cố an toàn thông tin. Các sự cố này đều ở mức trung bình và thấp, không gây hậu quả.

Cách bảo vệ tài khoản Facebook doanh nghiệp khỏi tấn công mạng

Facebook và các mạng xã hội khác đang là công cụ giao tiếp, quảng bá hữu hiệu cho doanh nghiệp, do đó nếu chúng rơi vào tay kẻ xấu thì hậu quả khó lường.

Kỷ nguyên thống trị tìm kiếm và quảng cáo của Google sắp kết thúc?

Chính quyền liên bang cùng 8 tiểu bang tại Mỹ đệ đơn kiện chống độc quyền nhằm vào Google với cáo buộc công ty này đã sử dụng các phương tiện “phi pháp” để duy trì lợi thế cạnh tranh trong lĩnh vực quảng cáo và tìm kiếm.

Lợi nhuận LG giảm kỷ lục 91%

Do nhu cầu thiết bị gia dụng giảm, kết hợp với bất ổn kinh tế toàn cầu, lợi nhuận hoạt động quý IV/2022 của LG Electronics giảm hơn 90%.

Tết 2023: Người dùng di động gọi Zalo, Facebook nhiều hơn gọi thoại

Trong dịp tết Nguyên đán 2023, nhu cầu sử dụng các dịch vụ viễn thông truyền thống của người dùng di động tiếp tục giảm, ở chiều ngược lại, lưu lượng data tăng vọt.

Đang cập nhật dữ liệu !