Hacker tấn công Trung tâm Thông tin tín dụng quốc gia: Nguy cơ nào với ngân hàng thương mại?

Trao đổi với PV Tiền Phong, ông Nguyễn Trí Hiếu cho biết: “Việc bảo mật ngân hàng là điều tôi lo lắng nhất. Bản thân tôi đã từng mất tiền trong tài khoản ngân hàng lên tới 500 triệu đồng. Không chỉ riêng tôi mà nhiều người đã bị mất”.

Ông Hiếu phân tích, trong hai năm trở lại đây, vấn đề an ninh mạng và bảo mật hệ thống công nghệ thông tin của ngành ngân hàng Việt Nam liên tục được giới chuyên gia cảnh báo. Khi hoạt động thanh toán số bùng nổ, hệ thống ngân hàng trở thành “mục tiêu vàng” của tội phạm công nghệ cao. Tuy nhiên, mức độ đầu tư, cách thức quản trị rủi ro và phương pháp kiểm thử an toàn hệ thống ở nhiều ngân hàng trong nước vẫn chưa bắt kịp với thông lệ quốc tế.

Ở nhiều quốc gia phát triển, việc thuê các công ty công nghệ tiến hành các cuộc tấn công giả lập (penetration test, stress test) là quy trình bắt buộc để xác định lỗ hổng trong hệ thống. Những cuộc “tấn công thử” này giúp ngân hàng phát hiện điểm yếu, từ đó kịp thời gia cố trước khi tội phạm mạng thực sự xâm nhập.

Chuyên gia tài chính - ngân hàng Nguyễn Trí Hiếu.

Tuy nhiên, ông Hiếu cho rằng, tại Việt Nam, phần lớn ngân hàng lại khá dè dặt với cách làm này. Nhiều đơn vị cho rằng chi phí thuê các công ty công nghệ cao quá tốn kém, khó cân đối với nguồn lực tài chính hiện tại. Hệ quả là hệ thống công nghệ thông tin ngân hàng vẫn vận hành trong tình trạng “chưa được kiểm định sức chịu đựng” một cách toàn diện.

Một thực tế đáng lo ngại là nhiều vụ tấn công mạng vào ngân hàng lại được thực hiện bởi những người từng làm việc trong ngành. Với kiến thức nội bộ, họ nắm rõ cấu trúc hệ thống, hiểu điểm yếu và dễ dàng khai thác khi tham gia các nhóm tội phạm công nghệ cao.

“Trong lĩnh vực này, tội phạm luôn đi trước ngân hàng. Chính sự am hiểu hệ thống từ bên trong khiến nhiều vụ tấn công có mức độ nguy hiểm lớn, khó lường trước", ông Hiếu nói.

Ngoài yếu tố con người, ông Hiếu cho rằng, hệ thống công nghệ thông tin của nhiều ngân hàng thương mại tại Việt Nam vẫn chưa được nâng cấp tương xứng với tốc độ phát triển dịch vụ số. Ở Mỹ và châu Âu, các ngân hàng nhỏ hoàn toàn có thể thuê giải pháp phần cứng, phần mềm trực tiếp từ những tập đoàn công nghệ hàng đầu, đảm bảo tính cập nhật và bảo mật.

Trong khi đó, tại Việt Nam, đặc biệt là ngân hàng nhỏ - vẫn sử dụng hệ thống đã lạc hậu so với chuẩn mực quốc tế. Một số ngân hàng chỉ chú trọng đến phát triển dịch vụ số ở lớp bên ngoài, trong khi “xương sống” bảo mật bên trong chưa được đầu tư đúng mức.

"Hệ quả là những lỗ hổng bảo mật lớn vẫn tồn tại. Ngay cả CIC thuộc Ngân hàng Nhà nước cũng từng bị tấn công mạng, cho thấy nguy cơ hiện hữu và nghiêm trọng. Với các ngân hàng thương mại, đặc biệt là ngân hàng quy mô nhỏ, rủi ro càng cao hơn", ông Hiếu nói.

Ông Hiếu cho hay, ngành ngân hàng Việt Nam nhiều năm nay đẩy mạnh khẩu hiệu chuyển đổi số, hướng tới “ngân hàng số toàn diện”. Các dịch vụ như mở tài khoản trực tuyến, thanh toán QR, ví điện tử liên kết ngân hàng, cho vay online… được triển khai rộng rãi. Người dùng cảm nhận sự tiện lợi và tốc độ gia tăng đáng kể.

Thế nhưng, đằng sau bức tranh hiện đại đó, hệ thống bảo mật lại chưa thực sự tương xứng. Các phương thức tấn công mạng mới dựa trên trí tuệ nhân tạo, tin giả mạo (deepfake), hay tấn công chuỗi cung ứng có thể len lỏi vào mọi ngóc ngách của hệ thống. Nếu ngân hàng không kịp thời gia cố, nguy cơ mất an toàn dữ liệu khách hàng và rủi ro tài chính là rất lớn.

Ông Hiếu kiến nghị, trước hết, các ngân hàng Việt Nam cần coi bảo mật là ưu tiên số một khi đầu tư vào công nghệ. Việc “chạy theo dịch vụ” mà bỏ quên nền tảng an ninh sẽ khiến toàn bộ hệ thống dễ dàng sụp đổ khi bị tấn công.

Thứ hai, cần có cơ chế bắt buộc thực hiện kiểm tra định kỳ. Nếu không tiến hành thường xuyên, thì ít nhất cũng phải làm vài năm một lần, để kiểm tra “sức chịu đựng” của hệ thống, xác định lỗ hổng và khắc phục kịp thời.

Thứ ba, Nhà nước và cơ quan quản lý cần có chính sách khuyến khích, thậm chí hỗ trợ tài chính cho các ngân hàng nhỏ đầu tư vào an ninh mạng. Đây là biện pháp cần thiết để nâng chuẩn chung của toàn hệ thống, tránh tình trạng “ngân hàng lớn an toàn, ngân hàng nhỏ dễ bị tấn công” gây mất ổn định toàn thị trường.

Ngọc Mai