Bảo đảm an ninh, an toàn trong hệ thống ngân hàng
Ngân hàng là một trong những ngành tiên phong đi tắt, đón đầu trong việc ứng dụng công nghệ thông tin (CNTT) để quản trị và phát triển các sản phẩm, dịch vụ phục vụ khách hàng, đồng thời luôn chú trọng đầu tư đổi mới, cập nhật các giải pháp công nghệ để bảo đảm an ninh, an toàn, bảo mật. Cùng với các chính sách, tiêu chuẩn về an toàn thông tin của Chính phủ, trong thời gian qua, với vai trò quản lý nhà nước về ngân hàng, Ngân hàng Nhà nước (NHNN) luôn quan tâm và chỉ đạo sát sao công tác bảo đảm an ninh, an toàn hệ thống thông tin trong toàn ngành - Cục trưởng Cục Công nghệ thông tin NHNN Lê Mạnh Hùng chia sẻ.
Những bước tiến rõ nét
Theo Cục trưởng Lê Mạnh Hùng, trong những năm qua, NHNN đã ban hành nhiều văn bản quy phạm pháp luật về bảo đảm an toàn hoạt động CNTT trong ngành tiệm cận với các chuẩn mực quốc tế.
Bên cạnh đó, NHNN còn là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảo mật, nguy cơ mất an toàn của hệ thống CNTT từ các bộ, ngành chức năng và các tập đoàn, công ty CNTT đối tác, để cảnh báo, chỉ đạo các đơn vị trong toàn ngành kiểm tra, rà soát và có giải pháp kịp thời phòng, tránh, không để xảy ra các hiện tượng mất an toàn.
Hàng năm, ngoài việc tổng hợp giám sát qua hệ thống báo cáo, NHNN đều tổ chức các đoàn kiểm tra tại chỗ để phát hiện, khuyến nghị và chấn chỉnh kịp thời những tồn tại, hạn chế về an ninh, bảo mật của các tổ chức tín dụng (TCTD), các tổ chức trung gian thanh toán. Từ 2010 đến nay, NHNN đã tiến hành 75 đợt kiểm tra tuân thủ các văn bản quy phạm pháp luật về CNTT tại 61 TCTD.
Đặc biệt, từ tháng 5/2016 Thống đốc NHNN đã ban hành Quy chế về điều phối mạng lưới ứng cứu sự cố an ninh CNTT trong ngành ngân hàng nhằm nâng cao khả năng ứng phó, sẵn sàng xử lý các sự cố an ninh mạng cho các đơn vị trong ngành.
Từ sự quan tâm, chỉ đạo sát sao của NHNN cùng với sự quan tâm đầu tư, đổi mới công nghệ, từng bước hoàn chỉnh hạ tầng CNTT, có thể thấy công tác bảo đảm an ninh, an toàn trong hệ thống ngân hàng đã có những bước tiến rõ nét.
Tại Trung tâm dữ liệu chính và Trung tâm dữ liệu dự phòng và các hệ thống quan trọng, các TCTD đã đầu tư, trang bị các giải pháp an ninh bảo mật cơ bản như tường lửa (Firewall), hệ thống phát hiện xâm nhập (IPS/IDS), hệ thống phòng chống vi rút, xác thực đa thành tố đối với các giao dịch điện tử và mã hóa dữ liệu đối với các hệ thống quan trọng.
Hệ thống ứng dụng, máy chủ, máy trạm được quản lý, thường xuyên rà soát, cập nhật kịp thời các bản vá lỗ hổng để ngăn ngừa tội phạm xâm nhập tấn công vào hệ thống.
Bên cạnh đó, các TCTD đã trang bị các giải pháp tăng cường an toàn, an ninh mạng như hệ thống quản lý sự kiện an ninh, hệ thống phòng chống thư rác, hệ thống lọc nội dung web, hệ thống quản lý file nhật ký, hệ thống đánh giá điểm yếu ứng dụng và mạng, công nghệ chữ ký số PKI. Không chỉ vậy, nhiều TCTD cũng đã triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001, PCI DSS.
Đến nay đã có trên 60% các TCTD đã và đang triển khai áp dụng tiêu chuẩn an ninh dữ liệu thẻ PCI DSS, trong đó có 10 TCTD đạt chứng chỉ PCI DSS; trên 64% các TCTD đã và đang triển khai áp dụng chuẩn ISO 27001, trong đó có 10 TCTD đạt chứng chỉ đạt tiêu chuẩn ISO 27001.
Trong năm 2017, các TCTD cũng đã tích cực triển khai chương trình CSP SWIFT để tăng cường bảo đảm an toàn cho hoạt động chuyển tiền quốc tế qua hệ thống SWIFT.
Ngoài ra, để nâng cao nhận thức cho khách hàng trong việc bảo đảm an toàn bảo mật các giao dịch trực tuyến, các TCTD đã tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ.
Nhờ đó, theo thống kê của các tổ chức thanh toán quốc tế như Visa-Mastercard, Việt Nam là quốc gia có tỷ lệ mất an toàn qua thanh toán thuộc loại thấp so với thế giới.
Giải pháp cho thời gian tới
Trong bối cảnh tội phạm công nghệ cao ngày càng có những thủ đoạn, tinh vi, phức tạp, để nâng cao an ninh, an toàn và bảo mật trong hệ thống ngân hàng, Cục trưởng Lê Mạnh Hùng cho biết, thời gian tới NHNN sẽ tiếp tục nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế trong các văn bản quy phạm pháp luật điều chỉnh hoạt động ứng dụng CNTT của các TCTD bảo đảm an toàn, bảo mật.
Cùng với đó, NHNN sẽ đưa vào áp dụng khung đánh giá rủi ro CNTT theo thông lệ quốc tế để nâng cao chất lượng công tác kiểm tra tuân thủ các quy định về an toàn bảo mật tại các TCTD, tổ chức trung gian thanh toán.
Tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh CNTT ngành ngân hàng với trọng tâm: từng bước kiện toàn nguồn nhân lực cùng với cơ sở vật chất phục vụ diễn tập, giám sát sự kiện an ninh mạng; bổ sung kinh phí, trang thiết bị, giải pháp công nghệ hỗ trợ cho hoạt động của mạng lưới nhằm nâng cao năng lực xử lý và ứng cứu sự cố; tổ chức các khoá đào tạo về an ninh mạng kết hợp với diễn tập ứng cứu sự cố; xây dựng diễn đàn trao đổi thông tin riêng cho các thành viên mạng lưới...
Ngoài ra, NHNN còn phối hợp với các bộ, ngành chức năng và các tổ chức cung cấp dịch vụ hạ tầng CNTT... để chia sẻ thông tin và hỗ trợ hoạt động bảo đảm an toàn, an ninh mạng của ngành ngân hàng; triển khai các chương trình nâng cao nhận thức của cán bộ, nhân viên trong ngành và người dân trong việc nhận diện các rủi ro và các các biện pháp phòng ngừa của hoạt động ngân hàng trên môi trường mạng.