Kinh tế

Kẽ hở bảo mật ngân hàng

Anh Vũ - Anh Vũ

29/08/2016 10:08 GMT+7

Nhiều vụ tiền trong tài khoản của khách hàng bỗng dưng biến mất thời gian gần đây đang cho thấy thực trạng rất đáng báo động về quy trình kiểm tra, giám sát và quản trị hệ thống của các nhà băng hiện nay.

Một trong những nạn nhân là anh Nguyễn Sỹ Thanh (ngụ Bình Dương). Anh Thanh cho biết tháng 7 vừa qua, khi vợ anh ra rút tiền lương từ tài khoản thẻ ATM của Ngân hàng (NH) TMCP Đông Á (DongA Bank) mới tá hỏa vì đã bị rút mất 120 triệu đồng, còn thẻ của anh mất 74 triệu đồng. Quá choáng váng vì số tiền tích cóp lương hằng tháng mất sạch, trong khi mình chưa thực hiện bất cứ giao dịch nào suốt một thời gian dài, vợ chồng anh lập tức khiếu nại. Tuy nhiên, sau nhiều ngày mòn mỏi chờ đợi, đến ngày 27.8, phía NH mới hoàn trả được số tiền 120 triệu đồng vào tài khoản của vợ anh, còn 74 triệu đồng thư thông báo gửi tới anh Thanh vẫn lặp lại phải chờ cơ quan điều tra làm rõ mới tiếp tục giải quyết.


	Nếu còn tiếp tục kinh doanh theo thói ăn xổi ở thì, chạy theo số lượng chắc chắn sẽ còn không ít rủi ro ập đến với khách hàng

Luật sư Trương Thanh Đức, Chủ nhiệm Câu lạc bộ Pháp chế Ngân hàng (Hiệp hội Ngân hàng)

Tại Vietcombank, chị H.T.N.Hương (Hà Nội) bỗng dưng mất 500 triệu đồng trong tài khoản thẻ chỉ trong một đêm. Số tiền 300 triệu chưa bị kẻ gian rút ra khỏi hệ thống kịp thời được ngăn chặn, còn 200 triệu đã một đi không trở lại. Hiện phía công an vẫn đang làm rõ nguyên nhân và truy tìm thủ phạm.

Những vụ việc trên chưa lắng xuống thì theo phản ánh của ông Phan Diệu Chương (Hà Nội), thẻ tín dụng của ông tại NH TMCP Quốc tế (VIB) cũng bị kẻ gian thực hiện 3 giao dịch mua hàng với số tiền hơn 1.500 USD. Khi NH đưa ra chứng cứ người mua hàng đã ký xác nhận giao dịch, ông Chương khẳng định đó là chữ ký giả. Vẫn theo khách hàng này, bằng mắt thường có thể dễ dàng nhận ra chữ ký mẫu in trên thẻ và chữ ký của người mua hàng khác nhau hoàn toàn.

Đang xôn xao dư luận hiện nay là vụ bà Trần Thị Thanh Xuân, Giám đốc Công ty Quang Huân tại TP.HCM, tố cáo tài khoản 26 tỉ đồng ở NH TMCP Việt Nam Thịnh Vượng (VPBank) bị “bốc hơi”. Bà Xuân khẳng định, nhân viên của VPBank đã cấu kết với kế toán của công ty mình, giả mạo chữ ký, làm hồ sơ giả liên tiếp rút tiền nhiều đợt. Phía VPBank cuối tuần qua đã gửi đơn đến một loạt cơ quan phản bác lại thông tin tố cáo; đồng thời cho rằng hồ sơ, giấy tờ, séc phát hành đều đúng theo quy định của pháp luật và đưa ra nghi vấn có nhiều dấu hiệu bất thường trong giao dịch của bà Xuân với chính các nhân viên của mình. Vụ việc đang chờ kết luận cuối cùng của cơ quan điều tra.

Bảo mật quá lạc hậu

Theo báo cáo của NH Nhà nước, tính đến hết tháng 6.2016 tổng phương tiện thanh toán và tiền gửi tại các tổ chức tín dụng đạt hơn 6,5 triệu tỉ đồng (tương đương khoảng gần 300 tỉ USD), trong đó riêng tiền gửi của dân cư lên tới 3,35 triệu tỉ đồng, còn lại của các tổ chức kinh tế. Chỉ riêng trong quý 2/2016, giao dịch thanh toán nội địa theo các phương thức thanh toán bằng thẻ tại các NH lên tới gần 78.000 tỉ đồng. Các phương tiện thanh toán khác bao gồm SMS banking, mobile banking, phone banking, internet banking đạt gần 60 triệu giao dịch với hơn 4,2 triệu tỉ đồng. Tất cả các “mạch máu” của người dân, nền kinh tế đều chảy qua NH nên việc quản trị hệ thống mà lỏng lẻo, thiếu chặt chẽ theo sẽ để lại hậu quả khôn lường.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, đánh giá hệ thống bảo mật trong giao dịch trực tuyến của nhiều NH hiện nay quá lạc hậu, chủ yếu sử dụng lớp bảo mật tĩnh, gồm tài khoản và mật khẩu đăng nhập kèm theo phương thức xác thực OTP bằng phầm mềm trên điện thoại hoặc gửi tin nhắn qua điện thoại. Trong khi đó, ở Mỹ hay các nước châu Âu tất cả các NH đều sử dụng thẻ mật khẩu ma trận (Matrix Card), đây là chiếc thẻ có chứa các mã OTP được đánh dấu theo kiểu ma trận. Thẻ mật khẩu được gắn duy nhất cho mỗi tài khoản đăng nhập, được sử dụng ở bất cứ đâu và vô cùng an toàn. Khi mật khẩu sử dụng hết, khách hàng được mua một thẻ khác. Hay các NH cũng dùng giải pháp bảo mật sử dụng chữ ký điện tử, thiết bị phần cứng khác nhau tạo ra nhiều vòng bảo mật…

“Sau sự cố vừa qua, Vietcombank yêu cầu khách hàng phải đến tận quầy giao dịch để đăng ký mật khẩu OTP. Điều đó chứng tỏ trước khi vụ việc xảy ra lỗ hổng bảo mật là có. Vì vậy, theo tôi cần phải tăng cường thêm các loại Matrix Card và nhiều công cụ bảo mật khác để bảo đảm an toàn tối đa cho người dùng”, ông Thắng nói và cho rằng việc khách hàng có thể truy cập hệ thống NH ở các loại phương tiện khác nhau mà không được cảnh báo cũng vô cùng rủi ro. Theo chuyên gia này, khi truy cập từ một máy tính hay hệ thống khác khách hàng cần nhận được cảnh báo. Ví dụ: hòm thư, Facebook của bạn đang được đăng nhập từ máy Macbook, iPhone hay Sam Sung. “Nếu có cảnh báo này, khách hàng sẽ cẩn thận và hacker khó lòng xóa bỏ dấu vết khi tấn công ăn cắp thông tin”, ông Võ Đỗ Thắng đề xuất.

Còn theo Phó chủ tịch phụ trách an ninh mạng của BKAV Ngô Tuấn Anh, hiện nay không có hệ thống bảo mật nào có thể tuyệt đối an toàn được 100%, và có một thực tế là rất nhiều website trực tuyến của VN tồn tại các lỗ hổng. “Nếu không được bảo dưỡng, vá kịp thời sẽ bị hacker tấn công, chiếm quyền điều khiển, cài phần mềm gián điệp để ăn cắp thông tin, tài khoản của khách hàng”, ông Tuấn Anh nói.

Chạy đua giành giật thị phần

Những kẽ hở nói trên, theo luật sư Trương Thanh Đức, Chủ nhiệm Câu lạc bộ Pháp chế NH (Hiệp hội NH), không phải bỗng dưng mới xuất hiện. Các NH vì áp lực cạnh tranh, giành giật thị phần, chạy theo lợi nhuận nên phát triển các dịch vụ không tương xứng với chất lượng. Hệ thống bảo mật giao dịch trực tuyến thiếu an toàn, không được vá lỗ hổng thường xuyên; ATM thường xuyên trục trặc, nuốt thẻ, mất tiền; mở tài khoản thanh toán bỏ qua quy trình chặt chẽ. “Nếu còn tiếp tục kinh doanh theo thói ăn xổi ở thì, chạy theo số lượng chắc chắn sẽ còn không ít rủi ro ập đến với khách hàng”, ông Đức nói và cho rằng trước đây khách hàng ít, tiền ít, giao dịch ít nhưng nay mỗi NH có cả triệu khách hàng là cá nhân và doanh nghiệp. Vì vậy các lỗ hổng về quản trị, nghiệp vụ dù là bé như cái kim sợi chỉ cũng cần phải siết ngay lại. Đặc biệt, quy trình kiểm soát, tuân thủ trong hoạt động nghiệp vụ NH phải được quan tâm hàng đầu.

Trong khi đó, TS Cao Sĩ Kiêm, nguyên Thống đốc NH Nhà nước, khuyến cáo với vai trò nắm giữ tiền và cung ứng vốn chủ yếu trong nền kinh tế, các NH phải đặt trách nhiệm của mình lên cao nhất chứ không nên vội vàng đổ lỗi cho ai khi chưa có kết luận cuối cùng. “Trong các vụ việc vừa qua, rõ ràng có kẽ hở gây thiệt hại cho khách hàng và điều cần làm là trấn an, bảo vệ quyền lợi cho họ. Đặc biệt phải khắc phục ngay những kẽ hở tránh gây ra lỗ hổng dẫn tới rủi ro khôn lường cho cả xã hội”, TS Kiêm nói.