CMC: Sự cố lộ thông tin người dùng ngân hàng cần được phân tích kỹ để đưa ra phương án khắc phục tận gốc rễ

ictnews Theo Phó TGĐ CMC Cyber Security Hà Thế Phương, các tổ chức, doanh nghiệp, trong đó có các ngân hàng khi xảy ra sự cố mất an toàn thông tin thì cần phân tích kĩ lưỡng sự cố, đưa ra các phương án khắc phục tận gốc rễ vấn đề để không xảy ra sự cố tương tự.

Những năm gần đây, hàng loạt các vụ tấn công mạng nhằm vào các ngân hàng, tổ chức tài chính tại Việt Nam đã xảy ra và có xu hướng gia tăng mạnh mẽ hơn. Gần đây nhất, ngày 21/11, thông tin của khoảng 2 triệu khách hàng của một ngân hàng tại Việt Nam đã bị chia sẻ miễn phí trên diễn đàn quốc tế dành cho hacker chuyên về chia sẻ dữ liệu.

Trong chia sẻ tại Diễn đàn an toàn, an ninh thông tin trên không gian mạng 2019 vừa được tổ chức hôm qua, ngày 27/11 tại TP.HCM, các chuyên gia đều nhận định rằng, hoạt động tấn công mạng nhằm vào các cơ sở hạ tầng thông tin trọng yếu của các tổ chức, tập đoàn kinh tế, tài chính tiếp tục diễn biến phức tạp với tính chất, mức độ ngày càng phức tạp, nguy hiểm. Theo Phó Cục trưởng Cục An toàn thông tin (Bộ TT&TT) Nguyễn Trọng Đường, ngân hàng đang là một trong những đích ngắm thường xuyên của tội phạm mạng.

Để làm rõ hơn về thực trạng công tác đảm bảo an toàn thông tin (ATTT) của đơn vị, doanh nghiệp hoạt động trong lĩnh vực ngân hàng, tài chính, ICTnews vừa có cuộc trao đổi với ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security.

Ông Hà Thế Phương, Phó Tổng giám đốc CMC Cyber Security.

Từ thực tế hỗ trợ các cơ quan, đơn vị, doanh nghiệp thời gian qua, ông đánh giá thế nào về đầu tư cũng như nhận thức, năng lực đảm bảo ATTT của các ngân hàng, tổ chức tài chính?

Trong bối cảnh thị trường ATTT trong nước còn mới và Việt Nam vẫn còn ít các chính sách, tiêu chuẩn đảm bảo ATTT ngành, các ngân hàng và tổ chức tài chính lớn nhờ có cơ hội hòa nhập thị trường quốc tế sớm hơn nên đã đầu tư để bảo đảm an toàn hệ thống của mình theo các tiêu chuẩn của quốc tế.

Tuy nhiên, việc đầu tư sẽ rất khác nhau đối với từng ngân hàng: có ngân hàng đầu tư dài hạn và xây dựng đội ngũ chuyên gia bảo đảm ATTT riêng của mình, cũng có ngân hàng chọn hướng thuê ngoài các dịch vụ đảm bảo ATTT, có ngân hàng chỉ dùng các giải pháp ngoại, được đánh giá top thế giới... Song nhìn chung, các ngân hàng, đơn vị tài chính lớn đều có những sự nhìn nhận và đầu tư mạnh mẽ, thực tế hơn về việc đảm bảo ATTT.

Tuy nhiên, thực tế cho thấy, đầu tư các công nghệ tốt chỉ là một phần việc trong nhiệm vụ bảo đảm ATTT của tổ chức, ngoài ra vẫn còn rất nhiều công việc nội bộ mà các ngân hàng phải thực hiện như: giám sát, có các phương án xử lý sự cố phù hợp, các phương án quản trị rủi ro nội bộ, có quy trình phối hợp giữa nhiều phòng ban, các cuộc diễn tập thường xuyên để rèn luyện đội ngũ cũng như thử quy trình...

Ông nghĩ sao khi có ý kiến cho rằng những vụ tấn công mạng lớn như các vụ tấn công gây lộ lọt thông tin người dùng ngân hàng, tổ chức cung cấp dịch vụ chính là “hồi chuông cảnh tỉnh” đểdoanh nghiệp quan tâm hơn đến ATTT?

Sự cố mất ATTT nào cũng mang lại thiệt hại cho tổ chức, nhỏ thì sẽ làm gián đoạn hoạt động của một thành phần nào đó, lớn hơn là ảnh hưởng tới khách hàng của tổ chức đó hay danh tiếng của tổ chức. Các sự cố này luôn là các ví dụ điển hình để tư vấn cho những người đứng đầu tổ chức quan tâm hơn về việc đảm bảo ATTT tin cho hệ thống của mình.

Tôi cho rằng, các đơn vị, doanh nghiệp không nên xấu hổ và giấu đi các sự cố mất ATTT. Các sự cố này cần được phân tích kĩ lưỡng và đưa ra phương án khắc phục tận gốc rễ vấn đề để không xảy ra các sự cố tương tự lần sau.

 

Lãnh đạo CMC từng phản ánh sự cố mất ATTT nóng mấy cũng chỉ sau 2 tuần là bị quên lãngnhiều đơn vị lại lơ là việc đảm bảo an toàn các hệ thống. Hiện tình trạng này đã được cải thiện chưa, thưa ông?

Đến nay, tình trạng nêu trên mặc dù đã có cải thiện nhưng vẫn còn tồn tại ở rất nhiều doanh nghiệp. Như tôi đã chia sẻ ở trên, đây là vấn đề tư duy và trách nhiệm của người đứng đầu. Nếu người đứng đầu tổ chức, doanh nghiệp không quan tâm tới ATTT, không đầu tư đủ cho ATTT thì những nhân sự kỹ thuật ở dưới cũng sẽ không có khả năng phòng thủ, chống lại các cuộc tấn công của tin tặc.

Thực tế là, khi sự cố mất ATTT xảy ra, nhiều chủ doanh nghiệp thường quy trách nhiệm ngay cho bộ phận CNTT hoặc bộ phận phụ trách ATTT chứ không đánh giá lại một cách rộng hơn là tổ chức mình đã quan tâm tới việc bảo đảm ATTT hay chưa? có đầu tư đủ cho việc đảm bảo ATTT không?

Phó Tổng giám đốc CMC Cyber Security cho biết, hạn chế về nguồn lực CNTT, an toàn thông tin luôn có thể giải quyết bằng các dịch vụ thuê ngoài (Ảnh Trung tâm điều hành an ninh mạng CMC SOC)

Vậy để phòng tránh cũng như kịp thời xử lý các sự cố tấn công mạng có thể xảy ra, các ngân hàng, tổ chức tài chính cần lưu ý, quan tâm đến vấn đề gì?

Theo tôi bây giờ vấn đề không còn là dùng giải pháp gì hoặc dùng kĩ thuật gì để phòng thủ nữa, đã có rất nhiều giải pháp, tư vấn, công nghệ rất mới và tốt của cả Việt Nam và thế giới. Việc quan trọng hiện nay là thay đổi nhận thức của lớp lãnh đạo, những người phải coi việc đảm bảo an toàn thông tin là trách nhiệm của họ, để có những quan tâm và đầu tư đúng mức hơn cho an toàn thông tin.

Một trong những giải pháp mà tôi nghĩ nên làm, đó là việc quy trách nhiệm khi xảy ra sự cố an toàn thông tin cho những người đứng đầu cơ quan, tổ chức, tổ chức; hơn là đẩy phần trách nhiệm quá lớn này cho bộ phận phụ trách an toàn thông tin hoặc CNTT.

Theo kết quả khảo sát của Cục ATTT, 2 nhân tố gây trở ngại lớn nhấtcho việc đảm bảo ATTT của ngân hàng là: nhân viên thường xuyên vi phạm các chính sách an toàn, bảo mật thông tinhạn chế về nguồn nhân lực CNTT, ATTT. Xin ông cho biết các ngân hàng cần làm gì để vượt qua những trở ngại này?

Đào tạo, truyền thông nhận thức về ATTT, diễn tập xử lý sự cố ATTT và giám sát liên tục 24/7 là những biện pháp mà tổ chức có thể áp dụng để cải thiện tình hình vi phạm chính sách ATTT của người dùng. Việc đào tạo và diễn tập cần phải được thực hiện thường xuyên, hãy coi đây là nhiệm vụ truyền thông nội bộ mà các tổ chức cần làm, phải làm hơn là những việc chỉ làm cho có và cho đủ một quy định nào đó.

Hạn chế về nguồn lực CNTT, ATTT luôn có thể giải quyết bằng các dịch vụ thuê ngoài. Các doanh nghiệp trong nước hãy tin tưởng và trao cơ hội cho các dịch vụ thuê ngoài đảm bảo ATTT do các các công ty Việt Nam cung cấp. Cộng đồng ATTT Việt Nam luôn muốn tăng cường chất lượng dịch vụ, chung tay hỗ trợ các doanh nghiệp trong nước đối đầu với các nguy cơ ngày càng nguy hiểm và phức tạp về bảo mật hiện nay.

Xin cảm ơn ông!

 
List comment
 
Microsoft đóng cửa toàn bộ cửa hàng bán lẻ, tập trung bán qua mạng
icon

Microsoft hôm 26/6 thông báo sẽ đóng cửa vĩnh viễn tất cả các điểm bán lẻ Microsoft Store và tập trung vào cửa hàng trực tuyến Microsoft.com.  

 
Lazada toàn cầu có Tổng Giám đốc mới
icon

Ông Li Chun sẽ kế nhiệm ông Pierre Poignant trở thành Tổng Giám đốc (CEO) Lazada với nhiệm vụ đẩy nhanh tăng trưởng thông qua địa phương hóa mạnh hơn.  

 
Sử dụng sơ yếu lý lịch điện tử thay sơ yếu lý lịch giấy từ năm 2023
icon

Một mục tiêu cụ thể của Đề án xây dựng cơ sở dữ liệu quốc gia về cán bộ, công chức, viên chức trong các cơ quan nhà nước là đến năm 2023 sử dụng sơ yếu lý lịch điện tử thay thế sơ yếu lý lịch giấy.

 
Facebook cảnh báo khi người dùng chia sẻ tin cũ
icon

Facebook ra mắt tính năng cảnh báo khi người dùng chuẩn bị chia sẻ một bài báo cũ, có thể khiến người khác nhầm lẫn về sự kiện đang diễn ra.  

 
Bộ trưởng TT&TT 'mời' Hậu Giang đẩy việc khó lên Bộ
icon

Có những vấn đề nếu tỉnh thấy khó thì cứ 'đẩy' lên Bộ, Bộ sinh ra để phục vụ tỉnh - Bộ trưởng Nguyễn Mạnh Hùng cho biết như vậy trong buổi làm việc chiều 25/6.

 
 
Nhà mạng lớn thứ hai Mỹ tẩy chay Facebook
icon

Nhà mạng Verizon tuyên bố rút quảng cáo khỏi Facebook và Instagram trong tháng 7/2020, trong khi đại lý quảng cáo Goodby Silverstein cũng thông báo tương tự.

Google trả tiền 'nội dung chất lượng cao' cho các hãng tin địa phương
icon

Trước áp lực từ nhà quản lý, Google từ nay sẽ trả tiền cho một số hãng tin địa phương tại Đức và Australia để sử dụng nội dung của họ.  

Thế giới đầu tư 30 tỷ USD cho công tơ thông minh trong 5 năm tới
icon

Theo hãng nghiên cứu Wood Mackenzie Power and Renewables, 5 năm tới, thế giới sẽ có gần 1,3 tỷ công tơ điện thông minh đi vào hoạt động.  

Google mặc định xóa lịch sử vị trí sau 18 tháng
icon

Google thông báo từ nay sẽ tự động xóa lịch sử người dùng và hoạt động web sau 18 tháng.  

Olympus rút khỏi thị trường máy ảnh
icon

Olympus chính thức từ bỏ bộ phận máy ảnh 84 tuổi đời của mình.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123