Dịch vụ eBanking của hệ thống NH Việt Nam vẫn an toàn

Sau thông tin 15 website ebanking của các ngân hàng thương mại Việt Nam bị tấn công, Ngân hàng Nhà nước (NHNN) đã kiểm tra và khẳng định: Cho đến thời điểm hiện nay việc cung cấp dịch vụ ngân hàng trên nền tảng công nghệ thông tin của hệ thống Ngân hàng Việt Nam vẫn an toàn, hoạt động bình thường.

Ảnh minh họa.Ảnh minh họa.

Công nghệ thông tin (CNTT) có vai trò quan trọng trong hoạt động ngân hàng (NH). Hầu như toàn bộ các nghiệp vụ NH đã được tin học hóa ở mức cao, đáp ứng yêu cầu quản lý, điều hành nội bộ, cung cấp các dịch vụ NH tiên tiến cho khách hàng (như dịch vụ Internet banking, Mobile Banking, SMS Banking, các dịch vụ thẻ,...). Với đặc điểm trên, ngành ngân hàng thực sự phải đối mặt với các thách thức về an ninh CNTT, nhất là đối với các dịch vụ cung cấp trên Internet. Tuy nhiên, những nguy cơ nhằm vào ngành NH là rất lớn. Theo thông tin từ Bộ Công an, tháng 04/2013, trên toàn thế giới số lượng các phần mềm độc hại nhằm vào các giao dịch tài chính, ngân hàng lên đến 125.000 lượt/ngày. Như vậy, có thể thấy việc bảo đảm an ninh CNTT cho ngân hàng và khách hàng là nhiệm vụ thường xuyên của ngành NH.

Với vai trò quản lý nhà nước về CNTT trong toàn ngành NH, NHNN đã chủ động triển khai tổng thể các giải pháp về an ninh CNTT trong toàn Ngành từ rất sớm. Cụ thể, ban hành và tổ chức triển khai nhiều văn bản quy phạm về an ninh CNTT như: Quyết định số 35/2006/QĐ-NHNN ngày 31/7/2006 của Thống đốc NHNN quy định về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử; Thông tư số 01/2011/TT-NHNN ngày 21/02/2011 của Thống đốc NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng; Thông tư số 29/2011/TT-NHNN ngày 21/09/2011 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet; Thông tư số 12/2011/TT-NHNN ngày 17/5/2011 của Thống đốc NHNN quy định về việc quản lý, sử dụng chữ ký số, chứng thư số và dịch vụ chứng thực chữ ký số của Ngân hàng Nhà nước; Thông tư số 36/2012/TT-NHNN quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động ATM,…

Bên cạnh đó, thẩm định các yêu cầu về kỹ thuật, đặc biệt là an ninh thông tin của các hệ thống thông tin dịch vụ của các TCTD trước khi cấp phép và hàng năm thực hiện tổ chức kiểm tra, đánh giá việc tuân thủ các quy định về an ninh CNTT của các đơn vị trong ngành NH thông qua hệ thống báo cáo và kiểm tra tại chỗ. Ngoài ra, dựa trên các nguồn thông tin thu thập được từ: Bộ Công An, Bộ Thông tin và Truyền thông, các hãng CNTT,… NHNN đã ban hành nhiều văn bản hướng dẫn cho các TCTD  triển khai kịp thời các giải pháp đảm bảo an toàn thông tin trong toàn ngành NH.

Mới đây nhất, sau khi có thông tin về việc 15 website ebanking của các ngân hàng thương mại bị tấn công. NHNN đã kiểm tra và yêu cầu các NHTM báo cáo về thông tin nói trên. Theo  báo cáo nhanh nhận được từ tất cả các TCTD trên toàn quốc, cho đến thời điểm hiện nay các hệ thống thông tin của ngành NH vẫn an toàn, hoạt động bình thường.

Giải pháp bảo mật trong giao dịch của ngành NH là một nhóm các giải pháp tích hợp như ngoài việc sử dụng giao thức mã hóa SSL, NH còn sử dụng hạ tầng khóa công khai (PKI), thiết bị sinh khóa theo từng lần giao dịch (OTP),...v.v. Do đó, hacker có thể lợi dụng được lỗ hổng bảo mật OpenSSL Heartbleed, nhưng cũng không thể chọc thủng được hệ thống an ninh của hệ thống thông tin ngân hàng.

Về lỗ hổng của OpenSSL được phát hiện bởi các nhà nghiên cứu thuộc tập đoàn Google và hãng bảo mật Codenomicon là một lỗ hổng được đặt tên là Heartbleed, thường được website của các ngân hàng, các cổng thanh toán trên thế giới sử dụng và tin tặc có thể khai thác lỗi bảo mật này để đánh cắp thông tin, thực hiện giao dịch chuyển tiền, truy cập trái phép vào mạng nội bộ... Ngay sau khi nhận được thông tin trên, các đơn vị trong toàn ngành NH đã triển khai ngay việc rà soát và cập nhật phiên bản OpenSSL mới.

Ngay khi thông tin này được công bố, VietinBank đã tiến hành kiểm tra đánh giá và mời chuyên gia của BKAV, công ty hàng đầu Việt Nam về an ninh bảo mật để độc lập kiểm tra, đánh giá hệ thống các website của VietinBank đối với lỗi bảo mật trên. Trên cơ sở các kết quả kiểm tra, VietinBank khẳng định hệ thống VietinBank hoàn toàn không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL Heartbleed. VietinBank đã đầu tư hệ thống công nghệ bảo mật tiên tiến theo chuẩn quốc tế dành cho dịch vụ Internet Banking của khách hàng. Khách hàng hoàn toàn có thể yên tâm khi thực hiện các giao dịch trực tuyến tại website www.vietinbank.vnhttps://ebanking.vietinbank.vn.

Đến thời điểm hiện nay, việc rà soát và khắc phục lỗ hổng OpenSSL của các ngân hàng đã hoàn tất, và các hệ thống thông tin của ngành NH vẫn hoạt động bình thường. Do đó, khách hàng có thể yên tâm sử dụng các dịch vụ ngân hàng.

Ngoài ra, để đảm bảo an toàn cho các giao dịch trên Internet, đề nghị khách hàng thực hiện đúng quy định của ngân hàng về việc quản lý, thay đổi mã khóa giao dịch và sử dụng các dịch vụ kiểm soát giao dịch, số dư tài khoản  để giám sát tài khoản của mình và phản hồi ngay cho ngân hàng đối với các thông báo về các giao dịch không phải do mình thực hiện.

(T.Hương)