Cảnh báo sớm về an ninh mạng

Nguồn thông tin từ NHNN cho biết, cơ quan này thực tế đã nắm được thông tin về nguy cơ lỗ hổng bảo mật trên OpenSSL, cho nên cách đây hơn 10 ngày (ngày 28/3/2014), NHNN đã có công văn yêu cầu các tổ chức tín dụng (TCTD) cung ứng dịch vụ thanh toán tăng cường các biện pháp đảm bảo an toàn trong thanh toán. Mới nhất sáng ngày 10/4, Cục Công nghệ tin học của NHNN cũng đã có công văn cảnh báo về lỗi bảo mật trong phần mềm OpenSSL có tên Heart Bleed (trái tim rỉ máu). Qua đó, NHNN yêu cầu các TCTD thực hiện ngay các công việc rà soát các website ứng dụng cung cấp trên mạng, thông báo tới các khách hàng và rà soát các giao dịch trực tuyến, đồng thời cập nhật các phiên bản công nghệ mới nhất để tránh bị hacke tấn công.

Được biết, tối ngày 7/4, diễn đàn lớn nhất thế giới Reddit và trang Heartbleed.com đã công bố lỗ hổng bảo mật OpenSSL Heart Bleed, được cho là có khả năng đe dọa hàng triệu tài khoản giao dịch trực tuyến qua các cổng thanh toán và website ngân hàng. Dự báo mối hiểm họa này, nhiều chuyên gia kinh tế Việt Nam cho rằng, trong ngày 8/4 có khoảng 15 website e-banking của các ngân hàng và cổng thanh toán của Việt Nam bị các hacker tấn công. Danh tính của 15 ngân hàng này tuy chưa được công bố nhưng đã khiến cho thị trường ngân hàng chao đảo trong những ngày gần đây, nhiều chủ tài khoản thanh toán trực tuyến qua các website ngân hàng đứng ngồi không yên!

Trấn an dư luận, trong thông cáo phát đi, NHNN cho hay, Ngay sau khi nhận được thông tin trên, các đơn vị trong toàn ngành Ngân hàng đã triển khai ngay việc rà soát và cập nhật phiên bản OpenSSL mới. Đến nay việc rà soát và khắc phục lỗ hổng OpenSSL của các ngân hàng đã hoàn tất, và các hệ thống thông tin của ngành Ngân hàng vẫn hoạt động bình thường. Do đó, khách hàng có thể yên tâm sử dụng các dịch vụ ngân hàng.

Hơn nữa, từ trước đó, với vai trò quản lý nhà nước về công nghệ thông tin (CNTT) trong toàn ngành Ngân hàng, NHNN đã chủ động triển khai tổng thể các giải pháp về an ninh. Cụ thể:

Ban hành và tổ chức triển khai nhiều văn bản quy phạm về an ninh CNTT như: Quyết định số 35/2006/QĐ-NHNN ngày 31/7/2006 của Thống đốc NHNN quy định về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử; Thông tư số 01/2011/TT-NHNN ngày 21/02/2011 của Thống đốc NHNN quy định việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng;

Thông tư số 29/2011/TT-NHNN ngày 21/09/2011 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet; Thông tư số 12/2011/TT-NHNN ngày 17/5/2011 của Thống đốc NHNN quy định về việc quản lý, sử dụng chữ ký số, chứng thư số và dịch vụ chứng thực chữ ký số của Ngân hàng Nhà nước; Thông tư số 36/2012/TT-NHNN quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động ATM…

Bên cạnh đó, thẩm định các yêu cầu về kỹ thuật, đặc biệt là an ninh thông tin của các hệ thống thông tin dịch vụ của các TCTD trước khi cấp phép. Hàng năm thực hiện tổ chức kiểm tra, đánh giá việc tuân thủ các quy định về an ninh CNTT của các đơn vị trong ngành Ngân hàng thông qua hệ thống báo cáo và kiểm tra tại chỗ.

Ngoài ra, dựa trên các nguồn thông tin thu thập được từ: Bộ Công An, Bộ Thông tin và Truyền thông, các hãng CNTT… NHNN cũng đã ban hành nhiều văn bản hướng dẫn cho các TCTD triển khai kịp thời các giải pháp đảm bảo an toàn thông tin trong toàn ngành Ngân hàng.

Đổi mật khẩu tài khoản để bảo mật

Chia sẻ với báo chí TPBank cũng cho biết, hệ thống Internet Banking của TPBank không sử dụng giải pháp OpenSSL, do vậy không bị ảnh hưởng bởi lỗ hổng bảo mật này. TPBank cũng đã tiến hành kiểm tra hệ thống và không hề thấy có lỗ hổng bảo mật nói trên, khách hàng có thể hoàn toàn toàn yên tâm về tính an toàn, bảo mật và tin cậy của dịch vụ Ngân hàng điện tử eBank của TPBank.

Phát ngôn của ngân hàng ACB cũng khẳng định, các giao dịch online của Ngân hàng Á Châu (ACB) bảo mật và an toàn. ACB cũng đã chủ tiến hành cập nhật OpenSSL lên phiên bản v.1.0.1g nhằm tăng cường bảo mật thông tin giao dịch.

Đối với một số ngân hàng không sử dụng bảo mật  OpenSSL như Maritimebank cũng cho hay, hiện tại ngân hàng đang sử dụng tiêu chuẩn bảo mật SSL Cert của Verisign, không phải tiêu chuẩn bảo mật OpenSSL, nên không bị ảnh hưởng bởi lỗ hổng bảo mật OpenSSL Hearbleed…

Theo NHNN, giải pháp bảo mật trong giao dịch của ngành Ngân hàng là một nhóm các giải pháp tích hợp như ngoài việc sử dụng giao thức mã hóa SSL, ngân hàng còn sử dụng hạ tầng khóa công khai (PKI), thiết bị sinh khóa theo từng lần giao dịch (OTP)... Do đó, hacker có thể lợi dụng được lỗ hổng bảo mật OpenSSL Heartbleed nhưng cũng không thể chọc thủng được hệ thống an ninh của hệ thống thông tin ngân hàng.

Tuy nhiên, song song với việc rà soát, nâng cấp phiên bản của các nhà băng, các chuyên gia an ninh mạng và NHNN cảnh báo, khách hàng nên kiểm tra lại các giao dịch trực tuyến qua intenet ngân hàng (E- banking) của mình, đổi mật khẩu tài khoản nếu thực hiện các dịch vụ E-banking từ ngày 7/4 đến nay, không truy cập vào các máy tính lạ, máy tính công cộng… sử dụng các dịch vụ kiểm soát giao dịch, số dư tài khoản để giám sát tài khoản của mình và phản hồi ngay cho ngân hàng đối với các thông báo về các giao dịch không phải do mình thực hiện.