Điều này là do phần lớn các hoạt động giao dịch tài chính đều được diễn ra trên nền tảng công nghệ và thông qua internet. Do đó nếu không có các phương án bảo vệ hiệu quả thì tài sản, trong đó có dữ liệu người dùng, hoàn toàn có thể bị đánh cắp.
Dưới đây là 5 lỗi bảo mật phổ biến nhất tại các ngân hàng và tổ chức tài chính do ông Đào Minh Tuấn - Trưởng phòng công nghệ bảo mật Công ty cổ phần An ninh mạng Việt Nam - VSEC chia sẻ.
1. Dữ liệu không được mã hóa
Đây là phần rất cơ bản nhưng cực kỳ quan trọng trong các biện pháp an ninh mạng hiệu quả. Tất cả dữ liệu được lưu trữ trực tuyến hay trên máy tính của tổ chức đều phải được mã hóa. Vì nếu không, tin tặc có thể dễ dàng đánh cắp và sử dụng dữ liệu ngay lập tức.
2. Phần mềm độc hại
Các thiết bị người dùng cuối (máy tính, điện thoại di động…) nếu chứa phần mềm độc hại sẽ là mối nguy hiểm lớn bởi chúng kết nối trực tiếp với mạng của tổ chức, thông qua kết nối này kẻ tấn công có thể điều khiển phần mềm độc hại và tấn công hệ thống mạng. Vì vậy cần nâng cao nhận thức người dùng và bảo vệ các thiết bị người dùng cuối một cách tốt nhất.
3. Dịch vụ của bên thứ ba không an toàn
Nhiều ngân hàng và tổ chức tài chính thường sử dụng thêm sản phẩm, dịch vụ từ các nhà cung cấp bên ngoài. Tuy nhiên, nếu các đối tác đó không áp dụng các biện pháp an ninh mạng tốt, tổ chức cũng có thể chịu ảnh hưởng. Việc quan trọng cần làm là kiểm tra sản phẩm, dịch vụ của bên thứ ba có áp dụng các tiêu chuẩn bảo mật hay không trước khi quyết định triển khai.
4. Dữ liệu bị thay đổi trái phép
Đôi khi tin tặc không xâm nhập để đánh cắp dữ liệu, chúng chỉ đơn giản là muốn thay đổi dữ liệu. Kiểu tấn công này rất khó phát hiện và có thể khiến các tổ chức tài chính phải chịu thiệt hại nặng nề, bởi định dạng dữ liệu ban đầu và sau khi tấn công không khác nhau nên việc xác định những gì đã bị thay đổi nếu tổ chức bị tấn công theo cách này là một thách thức.
5. Giả mạo
Tin tặc tìm cách mạo danh URL của tổ chức với một trang web có giao diện và cách thức hoạt động giống hệt nhau, khi người dùng đăng nhập ngay lập tức thông tin sẽ bị đánh cắp. Hơn thế nữa, các kỹ thuật giả mạo mới nhất chỉ sử dụng một URL tương tự - không cần giống hệt cũng có thể nhắm mục tiêu người dùng đã truy cập URL chính xác.
Là một ngân hàng hoặc tổ chức tài chính, điều bắt buộc là phải tìm cách giảm thiểu các mối đe dọa về an toàn bảo mật thông tin trong khi vẫn có thể cung cấp cho khách hàng các tùy chọn công nghệ tiên tiến, thuận tiện nhất.
“Các ngân hàng, tổ chức tài chính cần phải đầu tư mạnh về đào tạo, vừa để nâng cao kỹ năng chuyên môn cho đội kỹ sư bảo mật nội bộ, vừa để cập nhật kịp thời và liên tục các mối đe dọa, vấn đề bảo vệ dữ liệu. Một mô hình quản lý bảo mật được khuyên dùng khác hiện nay là CsaaS (Cyber Security as a Service), cho phép tổ chức sử dụng một đội ngũ chuyên gia giàu kinh nghiệm và kỹ năng để đưa ra từng chiến lược an ninh mạng phù hợp", ông Đào Minh Tuấn cho hay.
Cũng theo ông Tuấn, trong quá trình áp dụng mô hình CSaaS các chuyên gia sẽ nghiên cứu phân tích lỗ hổng, đánh giá an toàn thông tin hệ thống, từ đó có thể sớm đưa ra chiến lược phòng thủ nhiều lớp, đảm bảo hệ thống của tổ chức được bảo vệ toàn diện nhất. Ngoài ra, mô hình này cũng cung cấp các khóa đào tạo chuyên sâu về con người và quy trình.
Bình luận