Hệ thống bảo vệ bí mật thông tin ngân hàng

13:42 | 26/02/2016

Dưới đây giới thiệu bài phỏng vấn của Tạp chí An toàn thông tin - Nga với bà Maria Varonova - chuyên gia an toàn thông tin, về hệ thống bảo vệ bí mật thông tin ngân hàng của Liên bang Nga.

PV: Những thành phần chính của hệ thống bảo vệ thông tin ngân hàng để chống truy cập trái phép?

M.V: Hệ thống bảo vệ thông tin ngân hàng chống truy cập trái phép là một tổ hợp nhiều mức bao gồm quy trình, tổ chức, các giải pháp công nghệ và các thủ tục an toàn thông tin (ATTT) kèm theo. Bảo vệ thông tin ngân hàng phải bắt đầu từ việc trả lời cho các câu hỏi: Những thông tin nào cần bảo vệ? Giá trị của thông tin cần bảo vệ? Thông tin được lưu ở đâu? Những ai có quyền truy cập tới các thông tin đó và thông tin được luân chuyển như thế nào?

Trên cơ sở câu trả lời cho những vấn đề trên, người ta lập hồ sơ tài sản thông tin cần bảo vệ, sơ đồ luân chuyển các luồng thông tin và mô hình các mối đe doạ. Trong các tổ chức tài chính, để bảo vệ tối đa tài sản thông tin cần áp dụng đồng bộ nhiều giải pháp, loại trừ các mối đe dọa cả từ bên ngoài và trong nội bộ, sử dụng các biện pháp để đảm bảo thông tin không bị lộ ra ngoài phạm vi được kiểm soát.

PV: Những cách đánh cắp thông tin bí mật phổ biến nhất?

M.V: Cách thức đánh cắp thông tin mật phổ biến nhất là làm rò rỉ thông tin do chính các nhân viên của tổ chức liên kết với nhau thực hiện. Trong lĩnh vực ngân hàng, tài sản dễ bị lấy cắp nhất là các loại thông tin như dữ liệu cá nhân của khách hàng, bí mật thương mại, thông tin tài chính (bí mật ngân hàng), các văn bản quy định về quy trình và thủ tục nội bộ. Trong đó, bí mật ngân hàng gồm thông tin hoạt động, tài khoản, tiền gửi của khách hàng và các giao dịch.

Thông thường, nhân viên ngân hàng lấy cắp thông tin để “dự phòng” cho bản thân (ví dụ, dự phòng cho một công việc mới khi cần đến dữ liệu khách hàng) hoặc theo đặt hàng. Các phương pháp lấy thông tin ra khỏi tổ chức nói chung rất đa dạng và phụ thuộc vào các phương tiện bảo vệ thông tin đã được triển khai. Nếu trong tổ chức đã triển khai hệ thống ngăn ngừa rò rỉ dữ liệu (DataLeak/LossPrevent - DLP) kiểm soát các kênh trao đổi dữ liệu tiêu chuẩn như email, Internet, thiết bị lưu trữ di động, máy in... thì khả năng rò rỉ thông tin sẽ giảm đáng kể, bởi khi đó không thể gửi thông tin qua email hoặc tải qua USB. Nếu ngoài hệ thống DLP còn sử dụng các biện pháp như cấm sử dụng thiết bị di động, thực thi giải pháp bảo vệ đặc biệt và kiểm soát thiết bị di động MDM thì nguy cơ rò rỉ sẽ thấp hơn. Việc cấm truy cập từ xa vào cơ sở hạ tầng hoặc kiểm soát hạ tầng bằng cách sử dụng hệ thống kiểm soát truy cập mạng (Network Access Control - NAC) thì mức độ rủi ro giảm. Ở thời điểm hiện tại, tấn công lên hệ thống từ bên ngoài, gồm rất nhiều bước và phải tính toán công phu. Kiểu tấn công này về nguyên tắc được tiến hành trên cơ sở khai thác các lỗ hổng của hệ thống hoặc gửi thông điệp chứa phần mềm độc hại, sau đó tiến hành thu thập và đánh cắp thông tin. Trong trường hợp này, hướng phát triển tấn công và phương pháp được sử dụng rất đặc thù cho từng trường hợp. Theo ý kiến các chuyên gia trong lĩnh vực tội phạm mạng, dạng tấn công lặp lại với phương thức hoàn toàn giống nhau chỉ diễn ra trong quá khứ. Ngày nay, kỹ thuật tấn công đã phát triển mạnh và mang tính công nghệ cao. Dữ liệu của thẻ ngân hàng thường bị đánh cắp bằng công nghệ tinh vi.

PV: Cách thức nhân viên ngân hàng làm việc với thông tin mật thực hiện như thế nào?

M.V: Cần thực hiện tất cả các biện pháp cần thiết, nhưng quan trọng và cơ bản nhất là hạn chế truy cập tới thông tin mật. Ở đây cần thực hiện nguyên tắc “chỉ biết ở mức cần thiết” (need to know). Theo đó, nhân viên chỉ có quyền truy cập tới các thông tin cần cho công việc của mình và không có các quyền truy cập khác. Khi tiếp nhận họ mới vào làm việc, cần hướng dẫn để nhân viên biết về các loại thông tin mật, các nguyên tắc tiếp cận và trách nhiệm khi vi phạm. Ngoài ra, đối với nhân viên làm việc theo từng khu vực, với từng loại thông tin cần tiến hành các khoá huấn luyện theo chuyên đề. 

PV: Hệ thống ngân hàng Nga trong điều chỉnh hoạt động thường lấy tiêu chuẩn thế giới làm cơ sở. Điều này ảnh hưởng như thế nào đến điều chỉnh hoạt động ngân hàng và các tiêu chuẩn chất lượng về an toàn?

M.V: Tiêu chuẩn chất lượng quốc tế trong lĩnh vực CNTT và ATTT đã ra đời từ lâu, quy tụ được những thực hành và kinh nghiệm tốt nhất của các chuyên gia quốc tế. Rất đúng khi đặt ra câu hỏi: "Có gì không ổn khi dựa trên thực hành tốt nhất của thế giới?". Ta hãy xem như tiêu chuẩn ngân hàng của Liên bang Nga về ATTT là bắt buộc thực hiện với hơn một nửa các tổ chức tín dụng ở Nga. Tiêu chuẩn này được xây dựng trên cơ sở các tiêu chuẩn quốc tế trong lĩnh vực ATTT và kinh nghiệm thực hành tốt nhất, tính đến đặc thù của hệ thống ngân hàng và pháp luật của Nga. Kết quả đã xây dựng được hệ thống tiêu chuẩn cho ngân hàng khá hoàn hảo, nhưng vẫn cần phải hoàn thiện thêm. Nói chung, chừng nào các tiêu chuẩn quốc tế mà các tổ chức tài chính của Nga buộc phải tuân thủ chưa mâu thuẫn với các tiêu chuẩn của Nga thì việc dựa trên kinh nghiệm quốc tế là một xu hướng tích cực.

PV: Các tổ chức tài chính cần chú trọng điều gì khi lựa chọn các phương tiện bảo vệ thông tin?

M.V: Nếu mục đích của tổ chức tài chính là tiếp nhận sản phẩm chất lượng, đáp ứng tối đa các mục tiêu đặt ra, dễ dàng tích hợp vào cơ sở hạ tầng hiện có thì phải quan tâm tất cả các yêu cầu về an toàn. Phải bắt đầu với giai đoạn tiền dự án, tức là giai đoạn nghiên cứu, kết quả là xác định được các yêu cầu đối với sản phẩm. Bước tiếp theo là cần xem xét chức năng được công bố của các thiết bị bảo vệ thông tin theo các đặc tả kỹ thuật sản phẩm, chứ không chỉ căn cứ trên ý kiến giới thiệu của nhà cung cấp, đồng thời cần xem xét chức năng thương mại cụ thể. Tiếp theo, phải quyết định phương án sử dụng và thực thi dự án thử nghiệm. Bước này nhiều doanh nghiệp thường bỏ qua do hạn chế thời gian (vì thời gian dành cho lựa chọn chỉ khoảng 2 đến 3 tháng). Trong khi đó, chỉ qua kết quả của thử nghiệm mới có thể biết được phương án nào là phù hợp.

Trở lại các yêu cầu cụ thể và tiêu chuẩn, những yếu tố cơ bản, quan trọng trong việc lựa chọn thiết bị ATTT trên thực tế bao gồm: các yêu cầu hệ thống, năng suất, khả năng tự thiết lập, khả năng tiếp tục mở rộng quy mô, khả năng tiếp cận hệ thống dựa trên vai trò, tính tương thích với hệ thống và các dịch vụ, khả năng bổ sung dữ liệu từ các trung tâm dữ liệu bên ngoài. Ngoài ra, kinh nghiệm của nhà cung cấp trong việc triển khai thiết bị ATTT cũng cần được tham khảo trong quá trình quyết định.

PV: Các yếu tố đặc thù nào về an toàn thông tin mà ngân hàng cần tính đến?

M.V: Yếu tố “thời sự” nhất liên quan đến số lượng các gian lận đang ngày càng tăng là sự xuất hiện của kênh cung cấp dịch vụ ngân hàng từ xa. Đây là khu vực có mức độ rủi ro cao: hiện nay xuất hiện nhiều mối đe dọa tác động qua các kênh cung cấp dịch vụ từ xa, do đó đòi hỏi sự quan tâm đặc biệt của các ngân hàng đối với ATTT.

Ngoài ra, trong lĩnh vực ngân hàng, các dữ liệu khách hàng và thông tin nhạy cảm khác, ví dụ như bí mật thương mại, cần được đảm bảo bí mật, toàn vẹn và sẵn sàng tiếp cận được. Các thông tin được xử lý tại các hệ thống CNTT lớn ở đây, việc quan trọng là bảo đảm tính tin cậy và sự duy trì khả năng hoạt động liên tục. Các yêu cầu này là rất cấp thiết, các quá trình đảm bảo cho hoạt động ngân hàng cần lượng thông tin lớn và hoạt động như một cơ chế thống nhất, không bị gián đoạn và sai sót.

Ngoài ra, cần đặc biệt chú trọng yếu tố con người. Đối với lĩnh vực ngân hàng, yếu tố này là đặc thù, vì nhân viên được tiếp cận đến hệ thống, dữ liệu, trực tiếp vận hành, xử lý và duy trì các dịch vụ cần thiết. Nhân viên chính là khâu yếu trong hệ thống, bởi tội phạm mạng có thể sử dụng kỹ nghệ xã hội để khai thác nhân viên ngân hàng, ví dụ về mật khẩu truy cập và tiến hành các giao dịch bất hợp pháp, thông qua các thư gửi không rõ nguồn gốc chứa các phần mềm độc hại. Bởi vậy, nâng cao ý thức bảo vệ thông tin cho cán bộ, nhân viên ngân hàng là đặc biệt quan trọng.

PV: Mối đe dọa (bên ngoài hoặc nội bộ) nào gây nguy cơ lớn nhất đối với các ngân hàng, tại sao?

M.V: Không thể có câu trả lời nhất quán cho câu hỏi này, bởi đối với mỗi ngân hàng đều có đặc thù riêng và rủi ro ATTT được xác định tại từng thời điểm nhất định.

Trong thời gian gần đây, dịch vụ ngân hàng từ xa phát triển rất mạnh. Có thể nói, đây là khả năng chuyển khoản và thanh toán với mọi phương tiện và với sự phát triển của công nghệ này, các nguy cơ lấy cắp tiền trong ngân hàng cũng tăng dần. Đây là mối đe doạ cả đối với ngân hàng và khách hàng. Bởi vì, sự an toàn tuyệt đối chỉ đạt được khi phía ngân hàng có các phương tiện bảo vệ cần và đủ; phía khách hàng tuân thủ đầy đủ các quy tắc sử dụng các dịch vụ an toàn ngân hàng từ xa. Hiện nay, xu hướng mới nhất là lấy cắp tiền thông qua các kênh từ xa bằng cách làm giả thẻ ngân hàng của khách hàng.

PV: Có nhất thiết phải yêu cầu chứng thư số trong bảo đảm an toàn thông tin ngân hàng?

M.V: Quy định của Liên bang Nga về bảo vệ dữ liệu cá nhân yêu cầu phải sử dụng các phương tiện bảo vệ thông tin đã qua kiểm định và được cấp chứng nhận của cơ quan có thẩm quyền. Tuy nhiên, chi phí trên thực tế cho các phương tiện được cấp chứng nhận lại khá cao và khả năng lựa chọn chúng rất hạn chế.

Vậy những rủi ro nào có thể xảy ra khi sử dụng các phương tiện bảo vệ thông tin không qua chứng nhận. Đó chính là sự tồn tại tiềm ẩn trong hệ thống những chức năng không được công bố, sự không phù hợp giữa chức năng được công bố với thực tế. Mặt khác, chức năng, hiệu suất, tính tiện dụng của thiết bị và các thuộc tính bảo vệ tốt nhất được kiểm tra trong các điều kiện khai thác và trong một hạ tầng cụ thể. Còn những tính chất được liệt kê thì có thể được đảm bảo bởi các phương tiện qua chứng nhận, hoặc chưa qua chứng nhận. Việc sử dụng các phương tiện bảo vệ đã được chứng nhận hay không, là do mỗi tổ chức tự quyết định. Quyết định này cần xuất phát từ yêu cầu của luật pháp, của mô hình các mối đe doạ hiện có, khả năng tiếp nhận các phương tiện được chứng nhận và phụ thuộc vào các loại thiết bị bảo vệ thông tin theo các mục tiêu bảo vệ cụ thể hiện có trên thị trường.