Ngân hàng điện tử: Nhiều lỗ hổng an ninh mạng
Vân Oanh
 |
| Một số ngân hàng đang có kế hoạch triển khai ứng dụng chữ ký số để bảo đảm an toàn cho các giao dịch ngân hàng điện tử. |
(TBVTSG) – Ngân hàng điện tử là một trong những dịch vụ ngân hàng hiện đại đang được các ngân hàng đẩy mạnh đầu tư và phát triển. Theo thống kê, hiện có khoảng 80% các ngân hàng trên toàn quốc đã có hoặc đang trong giai đoạn xây dựng giải pháp ngân hàng điện tử. Tuy nhiên, đi cùng với sự phát triển này là sự gia tăng nguy cơ bị tội phạm mạng tấn công vào hệ thống.
Ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng của Bkis (Bkis Security), cho biết: “Bkis vừa làm một cuộc khảo sát về lỗ hổng an ninh mạng với 20 trong tổng số 52 ngân hàng tại Việt Nam. Kết quả cho thấy, tất cả các ngân hàng được khảo sát đều có lỗ hổng về an ninh mạng, trong đó có cả những ngân hàng lớn về quy mô và uy tín”.
Các loại lỗ hổng
Ông Nguyễn Ngọc Minh, chuyên gia an ninh thương mại điện tử của Bkis, cho biết các yếu tố cấu thành hệ thống ngân hàng điện tử gồm: con người và quy trình vận hành, cơ sở hạ tầng và đường truyền, hệ điều hành và môi trường, ứng dụng ngân hàng điện tử. Ông Minh khẳng định, tất cả các yếu tố này đều có thể là điểm yếu và tạo ra nguy cơ dẫn đến các lỗ hổng về an ninh.
Tại cuộc hội thảo “Các lỗ hổng an ninh mạng trong ngân hàng điện tử (Internet Banking) tại Việt Nam và giải pháp” tổ chức vừa qua, Bkis đã xây dựng một hệ thống ngân hàng điện tử hoàn chỉnh mô phỏng với môi trường thực tế của các ngân hàng để tiến hành các cuộc thử nghiệm về bảo mật, phát hiện các lỗ hổng và những khả năng khai thác các lỗ hổng đó của những kẻ tấn công trên mạng (hacker).
Đại diện của khoảng 50 ngân hàng trên toàn quốc đã cùng chứng kiến chuyên gia an ninh mạng tiến hành thử nghiệm thực tế, chỉ ra các lỗ hổng an ninh của các hệ thống ngân hàng điện tử tại Việt Nam hiện nay.
Qua mô phỏng thực tế, các chuyên gia đã chỉ ra rất nhiều tình huống nguy hiểm mà các ngân hàng điện tử thường mắc phải như: lỗ hổng trong chức năng chuyển tiền có thể khiến người sử dụng bị lừa chuyển tiền cho kẻ xấu; chức năng “khôi phục mật khẩu” của các ngân hàng bị lợi dụng để đổi mật khẩu của chủ tài khoản; sử dụng tính năng “thắc mắc khiếu nại” để cài mã độc (backdoor) vào máy chủ, kiểm soát toàn bộ hệ thống… Nói chung, các lỗ hổng bảo mật xuất hiện trong tất cả các khâu, từ quá trình xử lý dữ liệu đầu vào, môi trường hệ thống lỏng lẻo cho đến chính sách bảo mật chưa đúng quy chuẩn.
Cụ thể, có bảy lỗ hổng xuất hiện phổ biến nhất trong các hệ thống ngân hàng điện tử ở Việt Nam hiện nay là: lỗ hổng SQL Injection cho phép hacker tấn công vào cơ sở dữ liệu và đánh cắp thông tin của người sử dụng (10% ngân hàng mắc lỗ hổng này); lỗ hổng XSS – Cross Site Scripting – khiến hacker có thể tận dụng để tấn công trực tiếp vào máy tính người sử dụng (93%); lỗ hổng CSRF lừa người sử dụng truy cập vào đường link chứa mã độc để ăn cắp thông tin hoặc chiếm quyền kiểm soát (93%); lỗ hổng trong quá trình xác thực cho phép hacker tấn công vào người sử dụng khác trong hệ thống (64%); lỗ hổng MFU (Malicious File Uploading) cho phép hacker tấn công vào hệ thống máy chủ của các ngân hàng (16%); không cập nhật bản vá và cấu hình lỏng lẻo (80%)…
Lý do căn bản nhất khiến các ngân hàng tại Việt Nam mắc phải các lỗ hổng về an ninh mạng nói trên, theo ông Đức, là thiếu quy trình đánh giá độc lập về an ninh khi triển khai các hệ thống ngân hàng điện tử. Bên cạnh đó là thiếu việc áp dụng các tiêu chuẩn về an ninh an toàn thông tin.
Ông Đức nói: “Các ngân hàng khi xây dựng hệ thống ngân hàng điện tử cần chú ý tới tính an toàn, tránh trường hợp “mất bò mới lo làm chuồng”. Bởi khi đó, không những người tham gia giao dịch bị thiệt hại mà uy tín của ngân hàng cũng bị ảnh hưởng. Vì thế, trong hoạt động của mình, các ngân hàng cần phải đặt yếu tố an ninh lên hàng đầu, không kém gì việc bảo đảm cho hệ thống công nghệ thông tin hoạt động thông suốt, liên tục bởi hậu quả của những cuộc tấn công vào lĩnh vực tài chính, ngân hàng là rất nghiêm trọng. Chi phí để bảo đảm an toàn thông tin ngay từ đầu thấp hơn rất nhiều so với chi phí để khắc phục khi hệ thống bị tấn công”.
Khắc phục bằng cách nào?
Để khắc phục các lỗ hổng kể trên, các ngân hàng cần phải kiểm soát tốt dữ liệu đầu vào, phân quyền chặt chẽ trên máy chủ (đối tượng nào được quyền truy cập phần nào…), ứng dụng chữ ký số, không cập nhật bản vá phần mềm, cấu hình hệ thống chưa tốt, đồng bộ hóa dữ liệu, tắt những chức năng không cần thiết trên máy chủ khi không sử dụng.
Bên lề cuộc hội thảo, khá nhiều vị đại diện các ngân hàng cho rằng, các lỗ hổng mà Bkis cảnh báo không mới, đều là những lỗ hổng “cổ điển” nhưng không phải ai cũng biết, và chắc chắn các ngân hàng đều có những lổ hổng nào đó. Song trên thực tế đến nay chưa có tình trạng hacker lợi dụng các lỗ hổng đó để tấn công vào ngân hàng và người sử dụng dịch vụ ngân hàng bởi các giao dịch ngân hàng điện tử hiện nay chủ yếu mới ở giai đoạn đầu là tra cứu thông tin tài khoản, chưa có nhiều cuộc giao dịch chuyển tiền trực tuyến. Do đó, trong thời gian tới, các ngân hàng nhất định phải tiến hành khắc phục các lỗ hổng khi nghĩ đến việc cung cấp dịch vụ chuyển tiền trực tuyến.
Hầu hết các ngân hàng đều cho biết sẽ khắc phục bằng cách thuê các tổ chức bảo mật độc lập để khảo sát, đánh giá lại toàn bộ hệ thống để phát hiện và khắc phục các lỗ hổng an ninh bảo mật. Bên cạnh đó, một số ngân hàng còn có kế hoạch triển khai ứng dụng chữ ký số để bảo đảm an toàn cho các giao dịch ngân hàng điện tử. Ngoài ra, không ít ngân hàng cũng có ý định áp dụng chuẩn an ninh thông tin quốc tế như ISO27001.
