Ông Jason Yuen, Phó tổng giám đốc phụ trách an ninh mạng, dịch vụ tư vấn, EY Malaysia chia sẻ về vấn đề an toàn thông tin đang rất thời sự với các ngân hàng Việt Nam.
Nhiều ngân hàng Việt Nam cho biết đã đầu tư rất lớn cho an toàn thông tin. Là người làm việc tại nhiều quốc gia, nếu so sánh Việt Nam với các nước trong khu vực về vấn đề này, ông thấy sao?
Tại mỗi thị trường đều có những ngân hàng ở nhóm đầu và nhóm thứ hai, thứ ba…, nên việc đầu tư là rất khác nhau. Quan niệm rằng, đã “đầu tư rất nhiều” cho vấn đề an toàn thông tin thường xuất phát từ các thị trường đang phát triển hay mới nổi. Tại đây, các ngân hàng so sánh với ngân sách đã từng đầu tư và thấy họ đã rất chú trọng, đã bỏ ra nhiều tiền hơn hẳn. Nhưng có một thực tế là đầu tư cho an toàn thông tin trong thời gian qua chưa đủ.
Đơn cử trong các thị trường phát triển, EY đã làm nhiều cuộc khảo sát cho thấy, qua mỗi năm, hoạt động đầu tư dành cho công nghệ thông tin ngày càng gia tăng, cho dù trước đó họ đã đầu tư rất bài bản. Các ngân hàng lớn trên toàn cầu đều phải chạy đua về mặt công nghệ, sử dụng công nghệ ngày càng mới và nhiều hơn, nên hoạt động đầu tư cho khía cạnh quản lý rủi ro, an toàn cũng được đẩy lên nhiều tương ứng.
Một vài ngân hàng Việt Nam cho biết, đầu tư cho bảo mật, bên cạnh việc tăng thêm chi phí còn là giảm lợi nhuận và những e ngại khác. Ông có bình luận gì về việc này?
Thực tế, số tiền đầu tư cho an ninh mạng của các ngân hàng còn rất xa mới có thể gây ảnh hưởng đến bảng cân đối kế toán. Theo tôi biết, ngân hàng có những khoản đầu tư, chi phí khác cho vận hành cực kỳ lớn, lớn hơn nhiều so với những khoản đầu tư cho an toàn thông tin.
Xin chia sẻ một câu chuyện, có ngân hàng vừa đầu tư nhiều triệu đô-la cho an toàn thông tin, nhưng sau khi EY vào đánh giá thì đưa ra nhiều điểm yếu kém mà họ cần phải cải tiến. Ban lãnh đạo ngân hàng thắc mắc, sao đã đầu tư nhiều tiền vậy mà kết quả lại kém tích cực đến thế!? EY phân tích rằng, đúng là ngân hàng đã đầu tư rất nhiều vào những khía cạnh an toàn thông tin a,b,c… và đã có những cải thiện rõ rệt, nhưng an toàn thông tin còn có những khía cạnh khác vẫn đang ở mức độ cần cải tiến nhiều hơn. Cuối cùng, ban lãnh đạo ngân hàng này cũng đồng tình với EY, bởi thực sự, khái niệm an toàn thông tin có nội hàm rất rộng.
Có một câu chúng tôi vẫn hay thường nói: “Bạn cảm thấy đầu tư đủ cho an toàn thông tin chỉ cho đến khi bạn bị một sự cố an toàn thông tin xảy ra, bạn mới thực sự nhận ra là chưa đủ”. Vậy nên, tôi muốn nhấn mạnh lại là, khái niệm đầu tư nhiều chỉ là tương đối khi các ngân hàng Việt Nam thời gian qua chưa đầu tư nhiều lắm, nên khi thấy một con số đầu tư lớn hơn rất nhiều lần thì cảm thấy lo lắng, băn khoăn và điều này cũng là dễ hiểu.
Liệu có thể nói là do đầu tư chưa đủ nên thời gian gần đây, một loạt khách hàng tại Việt Nam thông tin về việc mất tiền trong tài khoản ngân hàng?
Phân tích từng sự cố xảy ra, nguyên nhân gốc đến từ đâu sẽ cho thấy rõ sự việc. Mỗi sự cố đều có những nguyên nhân khác nhau và theo như tôi quan sát, một số sự cố thời gian vừa qua đến từ quy trình nghiệp vụ cho online banking, cấp lại mật khẩu một lần OTP, đã có những lỗ hổng nhất định, bên cạnh những yếu tố khác ngoài công nghệ như con người…
Điểm tôi muốn nhấn mạnh đó là việc khi chúng ta thiết kế một quy trình, công nghệ thì thường nghĩ đến việc làm thế nào thật tốt, nhưng tội phạm mạng hoặc tổ chức có những lợi ích đối lập có rất nhiều thời gian tìm kiếm điểm yếu trên quy trình và công nghệ đó, thậm chí chính con người trong tổ chức của chúng ta. Do đó, nhiều khi không phải vì chúng ta yếu kém, mà chỉ đơn giản là không nhìn nhận trước được rằng, họ sẽ tìm ra được những điểm yếu đó để khai thác.
Tình huống thực tế là tội phạm mạng dường như luôn đi trước ngân hàng 1 - 2 bước, nên đòi hỏi ngân hàng cần học hỏi nhanh, hoàn thiện nhanh. Trong an toàn công nghệ thông tin có cụm từ: “Cần một năng lực liên tục học hỏi, cập nhật, tìm hiểu để biết lỗ hổng hiện hữu, để biết cách thức tấn công hiện hữu, rủi ro hiện hữu”.
Nhiều lỗ hổng xảy ra ở Việt Nam đã xuất hiện trên thế giới và các ngân hàng quốc tế đã có hướng xử lý, nên các ngân hàng Việt cần liên tục cập nhật những công nghệ, kỹ năng phòng thủ mới đó.
Cuối cùng, ngân hàng phải có khả năng tự đánh giá, tự nhận ra điểm yếu để cải tiến, trước khi bị các đối tượng xấu tìm ra. Lời giải là phải định kỳ kiểm soát, đánh giá, kiểm tra, tìm kiếm lỗ hổng không chỉ trên công nghệ, mà còn ở quy trình và con người để tự bổ sung, sửa đổi… Cần phải nhớ rằng, dù đã là tốt nhất, vẫn có thể tìm ra điểm yếu.