Bài Tập Lớn: An Toàn Thông Tin Trong Lĩnh Vực Ngân Hàng Môn Năng Lực Số Ứng Dụng

HỌC VIỆN NGÂN HÀNG HỆ CHÍNH QUY BÀI TẬP LỚN
MÔN NĂNG LỰC SỐ ỨNG DỤNG
ĐỀ TÀI: AN TOÀN THÔNG TIN TRONG LĨNH VỰC NGÂN HÀNG
Giáo viên hướng dẫn: Nguyễn Thị Yến Danh sách nhóm:
1. Mã sinh viên 25A4011763 Họ và tên: Vũ Thành Công
2. Mã sinh viên 25A4012391 Họ và tên: Đỗ Thị Thùy Hiên
3. Mã sinh viên 25A4012413 Họ và tên: Nguyễn Thị Thanh Hợp
4. Mã sinh viên 25A4012393 Họ và tên: Đỗ Thị Ngọc Hiền
5. Mã sinh viên 25A4013369 Họ và tên: Đào Xuân Thắng Hà Nội – 11/2022 MỤC LỤC LỜI NÓI ĐẦU
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1. Khái niệm
1.2. Sự cần thiết của an toàn thông tin
1.3. Mục tiêu của an toàn thông tin
CHƯƠNG 2: CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN
2.1. Nguy cơ mất an toàn thông tin về khía cạnh vật lý
2.2. Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin
2.3. Nguy cơ bị tấn công bởi các phần mềm độc hại
2.4. Nguy cơ xâm nhập từ lỗ hổng bảo mật
2.5. Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu
2.6. Nguy cơ mất an toàn thông tin do sử dụng Email
2.7. Nguy cơ mất an toàn thông tin trong quá trình truyền tin
CHƯƠNG 3: THỰC TRẠNG VỀ AN TOÀN THÔNG TIN TRONG LĨNH VỰC NGÂN HÀNG 3.1. Trên thế giới 3.2. Tại Việt Nam
CHƯƠNG 4: CÁC GIẢI PHÁP BẢO VỆ AN TOÀN THÔNG TIN
4.1. Bảo vệ thông tin về mặt vật lý
4.2. Bảo vệ trước nguy cơ mất thông tin
4.3. Bảo vệ trước nguy cơ bị tấn công bởi phần mềm độc hại
4.4. Bảo vệ trong trường hợp tấn công lỗ hổng bảo mật
4.5. Bảo vệ thông tin trước nguy cơ tấn công bằng cách phá mật khẩu
4.6. Bảo vệ thông tin trước nguy cơ tấn công qua Email
4.7. Bảo vệ hệ thống bằng tường lửa
CHƯƠNG 5: MỘT SỐ CHÍNH SÁCH CỦA VIỆT NAM VỀ AN TOÀN THÔNG TIN
TRONG LĨNH VỰC NGÂN HÀNG
5.1.Nghiên cứu và ban hành khung pháp lí về an toàn thông tin
5.2.Tổ chức thanh tra, kiểm tra tuân thủ về an toàn thông tin
5.3. Xây dựng và tổ chức hiệu quả hoạt động của Mạng lưới ứng cứu sự cố an toàn thông tin ngành Ngân hàng:
5.4. Phối hợp với các cơ quan chức năng trong công tác an toàn thông tin:
5.5. Triển khai các chương trình truyền thông, giáo dục tài chính: LỜI KẾT TÀI LIỆU THAM KHẢO LỜI MỞ ĐẦU
Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của
các tổ chức, cá nhân đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát triển của tổ
chức là những đòi hỏi ngày càng cao của môi trường hoạt động cần phải chia sẻ thông tin
của mình cho nhiều đối tượng khác nhau qua mạng. Việc mất mát, rò rỉ thông tin có thể ảnh
hưởng nghiêm trọng đến tài nguyên thông tin, tài chính, danh tiếng của tổ chức, cá nhân.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến
mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của tổ chức. Vì
vậy an toàn thông tin là nhiệm vụ quan trọng, nặng nề và khó đoán trước đối với các hệ thống thông tin.
Là một học phần đại cương, bắt buộc với tất cả các sinh viên của Học viện Ngân Hàng,
môn năng lực số ứng dụng giúp cho sinh viên có đủ kiến thức và kĩ năng cơ bản để có thể
học nâng cao kiến thức, kỹ năng về năng lực số, nhìn nhận vấn đề đa chiều và đề xuất những
ý tưởng, cách tiếp cận mới ở mức độ cao hơn. Tuy nhiên, môn học cũng gây khó khăn cho
sinh viên năm nhất nhưu chúng em vì có nhiều khái niệm mới, thuật ngữ mới và khối kiến
thức lớn. Khi học môn học này, với sự giảng dạy của cô Nguyễn Thị Yến, em đã hiểu được
phần nào về môn học. Với đề bài tập lớn được giao, nhóm chúng em xin được trình bày về
đề tài :”An toàn thông tin trong lĩnh vực ngân hàng”. Do hạn chế về kiến thức cũng như thời
gian nên phần bài làm của nhóm còn nhiều thiếu sót, kính mong cô sẽ quan tâm, giúp đỡ để
bài làm của nhóm hoàn chỉnh hơn. Chúng em xin chân thành cảm ơn cô.
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1. Khái niệm
An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn.
Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin,...
An toàn thông tin liên quan đến hai khía cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật.
- Mục tiêu cơ bản của an toàn thông tin
+ Đảm bảo tính bảo mật
+ Đảm bảo tính toàn vẹn
+ Đảm bảo tính xác thực
+ Đảm bỏa tính sẵn sàng
1.2. Sự cần thiết của an toàn thông tin
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức và đem lại khả
năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng chứa rất nhiều
điểm yếu và rủi ro. Do máy tính được phát triển với tốc độ rất nhanh để đáp ứng nhiều yêu
cầu của người dung, các phiên bản được phát hành liên tục với các tính năng mới được them
vào ngày càng nhiều, điều này làm cho các phần mềm không được kiêm tra kỹ trước khi
phát hành và bên trong chứa rất nhiều những lỗ hổng có thể dễ dàng lợi dụng. Thêm vào đó
là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho
người dung truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn.
1.3. Mục tiêu của an toàn thông tin
Như chúng ta đều biết, đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin và dữ
liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vong
của họ. Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là
trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp
dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được.
Mặt khác, tính chất, mức độ, và phạm vi của các cuộc tấn công vào hệ thống máy tính
và mạng ngày càng gia tăng bởi chưa bao giờ việc tiếp cận với các kỹ thuật và sử dụng các
công cụ tấn công lại trở nên dễ dàng và đơn giản hơn thế. Và cuối cùng, xuất phát từ động cơ
kiếm lợi hoặc chính trị mà các tổ chức tài chính và cơ quan chính phủ đang đang trở thành
mục tiêu chính của các hacker.
Tất cả những điều này cho thấy vai trò cốt yếu của các chuyên gia an toàn thông tin
trong cuộc chiến bảo mật đầy khốc liệt và không có hồi kết này. Nhưng các bạn khoan vội
nghĩ ngay tới các công nghệ hay cách thức để đảm bảo an toàn cho hệ thống thông tin. Trước
hết, bạn phải hiểu được những mục tiêu nào cần đạt được khi làm công tác bảo mật và đó là 3 mục tiêu sau: Confidentiality:
Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi
những đối tượng (người, chương trình máy tính…) được cấp phép.
Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý,
ví dụ như tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập
thông tin đó từ xa qua môi trường mạng. Sau đây là một số cách thức như vậy:
 Khóa kín và niêm phong thiết bị.
 Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm
về sinh trắc để xác thực.
 Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
 Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES, v.v.. Integrity
Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi
những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu
trữ hay truyền đi. Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là
đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ.
Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc
của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn
đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.
Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:
 Thay đổi giao diện trang chủ của một website.
 Chặn đứng và thay đổi gói tin được gửi qua mạng.
 Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
 Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch. Availability
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những
người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động
hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.
Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: Máy
của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưu
trữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt động
bình thường được nữa. Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS).
Để tăng khả năng chống trọi với các cuộc tấn công cũng như duy trì độ sẵn sàng của hệ
thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering, Redudancy, Failover…
Như vậy, vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấn
công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy hoặc bị tiết lộ ra
ngoài… Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong quá trình xây
dựng một hệ thống thông tin an toàn nhất có thể. Ba mục tiêu này còn được gọi là tam giác bảo mật C-I-A.
CHƯƠNG 2: CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN
2.1. Nguy cơ mất an toàn thông tin về khía cạnh vật lý
Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt độ, độ
ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại
như nhân viên xấu bên trong và kẻ trộm bên ngoài.
2.2. Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin
Người dung có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trình tạo cơ
hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin.
Kẻ xấu có thể sử dụng công cụ hoặc kỹ thuật của mình để thay đổi nội dung thông tin
(các file) nhằm sai lệch thông tin của chủ sở hữu hợp pháp.
2.3. Nguy cơ bị tấn công bởi các phần mềm độc hại
Nguy cơ đến từ các phần mềm độc hại (Malware). Các phần mềm độc hại lây lan, phát
tán mã độc trên hệ thống máy tính, hệ thống mạng. Khi hệ thống thiết bị, Internet bị tấn công
tiềm ẩn nhiều nguy cơ khó lường.
Có một số phần mềm độc hại phổ biến mà tổ chức cần quan tâm theo dõi dưới đây:
+ Virus: Có thể thực hiện các hành vi phá hoại, lấy cắp thông tin.
+ Sâu máy tính: Thực hiện các hành vi : xóa File, ngăn chặn người dùng kết nối
Internet, làm đổ vỡ các chương trình thông thường,…
+ Phần mềm gián điệp Spyware: Nhằm thu thập thông tin một cách bí mật, không được sự cho phép.
2.4. Nguy cơ xâm nhập từ lỗ hổng bảo mật
Nguy cơ đến từ lỗ hổng bảo mật trong hệ điều hành, các chương trình phần mềm.
Chúng trở thành điểm yếu để tin tặc khai thác tấn công, gây mất an ninh thông tin.
Hơn nữa, thực tế đã cho thấy, nguy cơ bị tấn công từ lỗ hổng bảo mật ngày càng lớn.
Theo trung tâm An toàn thông tin mạng của Ban Cơ yếu Chính phủ. Con số vụ tấn công
bằng phương thức khai thác lỗ hổng chiếm hơn 87%.
2.5. Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu
Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục
người dùng và một mật khẩu. Đôi khi người dùng khoản mục lại làm mất đi mục đích bảo vệ
của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra và để nó công
khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của mình.
Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập.
Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng quản trị chính.
Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể. Phần mềm
này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số. Ta có
thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu trên mạng Internet
như: Xavior, Authforce và Hypnopaedia. Các chương trình dạng này làm việc tương đối
nhanh và luôn có trong tay những kẻ tấn công.
2.6. Nguy cơ mất an toàn thông tin do sử dụng Email
Tài khoản Email cá nhân, doanh nghiệp cũng tiềm ẩn nguy cơ mất an toàn thông tin.
Bởi tin tặc thường tấn công bằng cách sử dụng Email giả mạo chứa Virus, liên kết độc hại,…
Người dùng bị tấn công bằng Email có thể bị đánh cắp mật khẩu hoặc lây nhiễm Virus. Lúc
này, dù chỉ một nhân viên mở thư cũng có thể gây thiệt hại cho cả tổ chức.
2.7. Nguy cơ mất an toàn thông tin trong quá trình truyền tin
Quá trình truyền tin trên mạng Internet cũng tiềm ẩn nguy cơ mất an toàn thông tin đến
từ việc kẻ xấu chặn đường truyền, thay đổi hoặc phá hỏng nội dung thông tin rồi tiếp tục gửi đến người nhận
CHƯƠNG 3: THỰC TRẠNG VỀ AN TOÀN THÔNG TIN TRONG LĨNH VỰC NGÂN HÀNG 3.1. Trên thế giới
Ước tính, trên thế giới có hơn 900 cuộc tấn công mạng, 5 mã độc mới sinh ra trong mỗi
giây, phát hiện 40 điểm yếu, lỗ hổng mỗi ngày. Năm 2021, nhiều vụ tấn công mạng trên thế
giới, gây hậu quả nghiêm trọng đã xảy ra. Ví dụ như vụ tấn công mã độc tống tiền
ransomware nhằm vào Công ty công nghệ thông tin Kaseya (Mỹ), dùng mã độc tống tiền để
tấn công hàng loạt doanh nghiệp sử dụng dịch vụ của công ty này dẫn đến hậu quả là khoảng
800 - 1.500 doanh nghiệp khắp thế giới bị ảnh hưởng. Đây được xem là một trong những đợt
tấn công mã độc tống tiền có quy mô lớn kỷ lục trong lịch sử. Hay vụ tấn công vào Sàn giao
dịch chứng khoán Công ty Dịch vụ tài chính Robinhood Markets Inc (Mỹ), nhằm lấy cắp các
dữ liệu cá nhân, gây ảnh hưởng đến hơn 22 triệu người dùng giao dịch cổ phiếu, hối đoái và tiền điện tử.
Đầu năm 2010, truyền thông quốc tế đưa tin khoảng 5.000 máy ly tâm của Iran tại nhà
máy hạt nhân ở Natanz đã "hóa điên" trong cuộc tấn công mạng khiến Tehran trở tay không
kịp. Thủ phạm được xác định là virus Stuxnet đã lợi dụng lỗ hổng an ninh chưa có bản vá -
được gọi là lỗ hổng Zero-day - trong Windows để kiểm soát các máy tính điều khiển máy ly
tâm phục vụ việc làm giàu Uranium.
Đây cũng là một trong những vụ tấn công Zero-day lớn nhất và gây thiệt hại nặng nề nhất thế giới.
Thuật ngữ Zero-day được sử dụng để mô tả các lỗ hổng bảo mật chưa được biết đến hoặc
chưa được khắc phục trong phần mềm hoặc ứng dụng. Lỗ hổng bảo mật hay điểm yếu là các
khiếm khuyết mà tin tặc có thể sử dụng để khai thác tấn công vào các hệ thống, phần mềm
nhằm thực hiện các hành động phi pháp, ảnh hưởng xấu đến cá nhân, doanh nghiệp.
Các lỗ hổng bảo mật này không chỉ ảnh hưởng đến hàng tỉ người dùng cá nhân trong các
vụ lừa đảo tài chính, phát tán thông tin nhạy cảm, mà tin tặc còn có thể lợi dụng để nhắm đến
các cơ quan, tổ chức lớn. Đặc biệt, các hacker sẽ lợi dụng lỗ hổng để tấn công và nhúng mã độc
vào trong các phần mềm để từ đó kiểm soát mọi hệ thống của toàn bộ các khách hàng. Điển
hình như vụ tấn công vào hãng phần mềm Solarwinds để từ đó kiểm soát 18.000 khách hàng
của công ty này, trong đó có ít nhất 100 công ty và 9 cơ quan liên bang của Mỹ là nạn nhân.
Một thống kê mới đây cho biết, chỉ riêng trong tháng 8/2022, trên thế giới đã ghi nhận
112 vụ việc mất an toàn thông tin mới được tiết lộ công khai với hơn 97,4 triệu hồ sơ bị vi
phạm, trong đó có không ít các vụ việc xảy ra trong lĩnh vực tài chính – ngân hàng. Đó là vụ
Công ty tiền điện tử Nomad (Mỹ) bị tấn công khai thác điểm yếu đánh cắp tiền mã hóa dẫn
đến thiệt hại hơn 190 triệu USD. Tin tặc đã đánh cắp mật khẩu để truy cập hơn 140.000 thiết
bị đầu cuối thanh toán trên toàn cầu do Wiseasy - một công ty công nghệ có trụ sở tại
Singapore, chuyên cung cấp các giải pháp ngân hàng số và thiết bị thanh toán, với hơn 350
đối tác và đại lý tại 114 quốc gia và khu vực trên toàn thế giới. Hiện nay vẫn chưa có đánh
giá về tổn thất do sự có này gây ra. 3.2. Tại Việt Nam
Việt Nam đang trở thành một “mảnh đất màu mỡ” để tội phạm tài chính khai thác
nhằm tấn công chiếm đoạt tài sản người dùng.
Theo báo cáo về các mối đe dọa điểm cuối, năm 2021, Việt Nam đứng thứ 2 ở châu Á
về số lượng mã độc tống tiền - ransomware, tăng 200% so với năm 2020. Còn theo nghiên
cứu của Viettel Cyber Security, trong năm ngoái, có tới 90% cuộc tấn công mạng liên quan
hệ thống tài chính ngân hàng, tăng 42,4% so với năm 2020.
Nghiên cứu “Fraud Report 2020” của Veriff cho thấy, Việt Nam đứng đầu về các nghi
ngờ tội phạm sử dụng Chứng minh nhân dân, Căn cước công dân giả để xác thực, chiếm tới 12,9% trên toàn cầu.
Đặc biệt, trong những tháng đầu năm 2022, Group-IP đã phát hiện 240 tên miền liên
kết giả mạo nhằm mạo danh 27 tổ chức tài chính, ngân hàng quen thuộc của Việt Nam để thu
thập chi tiết thông tin cá nhân của khách hàng, đánh cắp tài khoản ngân hàng và sử dụng kỹ
thuật cho phép chúng vượt qua bước xác minh OTP.
Gần đây nhất là câu chuyện đối tượng lừa đảo chiếm đoạt số tiền hơn 2,1 tỷ đồng trong
tài khoản tiết kiệm online tại một ngân hàng thương mại của một khách hàng được hé lộ.
Với thủ đoạn gọi điện cho khách hàng giả danh nhân viên nhà mạng đề nghị hỗ trợ nâng cấp
sim điện thoại rồi kích hoạt esim (sim điện tử) trên điện thoại, đối tượng lừa đảo đã chiếm
được quyền kiểm soát sim điện thoại của khách hàng. Từ số sim đã đăng ký dưới tên khách
hàng, kẻ gian đã gọi đến tổng đài tự động của ngân hàng, yêu cầu cấp lại tên đăng nhập
Internet Banking, gửi về email mà khách hàng đã đăng ký trước đó với ngân hàng.
Tiếp đó, đối tượng đăng ký báo quên mật khẩu và yêu cầu cung cấp lại mật khẩu đăng
nhập mới, sau đó chiếm đoạt thông tin tài khoản của khách hàng để tất toán sổ tiết kiệm
online của khách hàng mở tại ngân hàng này. Hiện tại, phía ngân hàng cho biết đang tích cực
phối hợp cùng cơ quan công an tiến hành điều tra, xác minh làm rõ.
Lừa đảo nâng cấp sim rồi chiếm đoạt quyền kiểm soát sim điện thoại, từ đó chiếm đoạt
tiền trong tài khoản ngân hàng là một hình thức lừa đảo mới khiến nhiều người bị sập bẫy thời gian gần đây.
Theo các chuyên gia trong lĩnh vực tài chính ngân hàng, mỗi ngân hàng thương mại
đều có những phương thức bảo mật, xác thực các giao dịch khác nhau, từ xác thực qua tin
nhắn SMS, qua Smart OTP, xác thực bằng giọng nói hay ghi âm cuộc gọi của khách hàng tới
tổng đài tự động của ngân hàng… Việc đầu tư công nghệ và hệ thống cảnh báo các giao dịch
đáng ngờ cũng giúp ngân hàng phát hiện những nghi ngờ, từ đó có những biện pháp ngăn
chặn, phòng ngừa rủi ro.
Tuy nhiên, dù các ngân hàng có đầu tư mạnh mẽ vào công nghệ bảo mật đến đâu, thì sự
an toàn cho tài sản của khách hàng trong tài khoản ngân hàng khó có thể đảm bảo nếu thiếu
sự phối hợp bảo mật các thông tin cá nhân từ phía khách hàng.
Liên quan tới vụ lừa đảo nói trên, ngân hàng nơi khách hàng mở tài khoản tiết kiệm
online cho biết, qua quá trình kiểm tra, ngân hàng nhận thấy một số thông tin cá nhân của
khách hàng được đăng tải công khai trên mạng internet như số điện thoại, email, họ tên.
Cùng với đó là việc sở hữu esim có thể đã giúp kẻ gian tiếp cận được các thông tin cá nhân
khác như ngày tháng năm sinh, số căn cước công dân thông qua việc dùng sim nhắn tin tới
đầu số của nhà mạng. Như vậy, các thông tin này đều có thể đã bị kẻ gian lợi dụng để thực
hiện việc lừa đảo, chiếm đoạt tài sản của khách hàng.
Đại dịch Covid-19 làm thay đổi thói quen mua sắm khi người tiêu dùng thay đổi từ
phương thức mua bán trực tiếp qua mua bán trực tuyến. Tuy nhiên, thực tế cho thấy người
dùng khi mua sắm trực tuyến dễ gặp phải những rủi ro đặc biệt là việc để lộ thông tin cá
nhân. Đối với các loại thẻ thanh toán quốc tế, mã số CVV/CVC đóng vai trò vô cùng quan
trọng, có tác dụng bảo mật khi giao dịch và chứng thực quyền sở hữu thẻ trong quá trình
thanh toán. Khách hàng có thể sử dụng mã số này để thanh toán online mà không cần nhập
mã PIN. Chính vì vậy, vấn đề bảo mật thông tin thẻ và mã số trong quá trình sử dụng cực kỳ
quan trọng. Nếu bất cẩn, kẻ gian có thể khai thác thông tin và thực hiện các giao dịch tài
chính thông qua tài khoản của bạn mà không cần giữ thẻ cứng trong tay.
Khách hàng có nguy cơ bị mất toàn bộ tiền trong thẻ nếu để lộ thông tin tài khoản/thẻ.
Khi sở hữu bất kỳ thẻ liên kết với tài khoản ngân hàng nào, người dùng đều có nguy cơ mất
tiền trong tài khoản ngân hàng khi mất thẻ hoặc để lộ thông tin tài khoản/thẻ. Một khi thẻ
vào tay kẻ xấu hoặc để lộ thông tin in trên thẻ (số thẻ, tên chủ thẻ, ngày hết hạn, mã CVC),
đồng nghĩa với việc có nguy cơ bị mất toàn bộ tiền trong thẻ.
CHƯƠNG 4: CÁC GIẢI PHÁP BẢO VỆ AN TOÀN THÔNG TIN
4.1. Bảo vệ thông tin về mặt vật lý
Để bảo vệ thông tin về mặt vật lý, tổ chức có thể triển khai một số giải pháp sau:
 Lắp đặt hệ thống báo cháy, luôn có sẵn các thiết bị chữa cháy và đảm bảo chúng hoạt
động bình thường. Các vật liệu dễ cháy, nổ phải để ở phòng riêng.
 Lắp đặt hệ thống điều hòa nhiệt độ, độ ẩm.
 Đảm bảo nguồn điện 24/24: có máy phát điện và UPS – bộ lưu trữ điện dự phòng.
Đồng thời tránh tăng giảm điện áp đột ngột.
 Bảo trì thiết bị và Backup dữ liệu thường xuyên.
 Về yếu tố con người: áp dụng chính sách quản lý truy cập vật lý: đảm bảo chỉ những
người được trao quyền, có phận sự mới được vào các khu vực như Server CSDL, hệ thống
mạng, điện,… Nên lắp đặt các thiết bị theo dõi, phát hiện xâm nhập,…
4.2. Bảo vệ trước nguy cơ mất thông tin
Trước nguy cơ mất dữ liệu, tổ chức có thể đưa ra những hướng dẫn, bộ quy tắc và quy
trình để thiết lập môi trường thông tin an toàn. Phải nói thêm là những chính sách này chỉ
phát huy hiệu quả khi mọi cá nhân trong tổ chức nắm rõ và thực hiện theo. Do vậy, doanh
nghiệp cần có những buổi đào tạo để nâng cao kiến thức của nhân viên.
Dưới đây là một số gợi ý về hướng dẫn, chính sách tổ chức có thể triển khai như:
 Đào tạo cho người dùng các kỹ thuật an toàn.
 Đào tạo cho người dùng về các phần mềm độc hại.
 Yêu cầu người dùng phải quét các thiết bị lưu trữ bằng phần mềm quét Virus trước khi sử dụng.
 Xây dựng chính sách quy định những thiết bị bên ngoài có thể mang vào hệ thống và
cách sử dụng chúng trong tổ chức.
 Xây dựng chính sách để ngăn chặn người dùng tự cài đặt các phần mềm riêng.
 Xây dựng chính sách để giảm hoặc ngăn chặn người dùng tải về các tệp. Đồng thời
yêu cầu người dùng quét Virus với các tệp này.
 Tạo một vùng riêng để người dùng biệt lập các có nguồn gốc không rõ ràng và quét
chúng trước khi sử dụng.
 Xây dựng chính sách giới hạn quyền để kiểm soát truy cập vào hệ thống.
 Thường xuyên sao lưu dữ liệu.
4.3. Bảo vệ trước nguy cơ bị tấn công bởi phần mềm độc hại
Các chương trình phần mềm độc hại với nhiều biến thể tinh vi là một trong những
thách thức lớn trong vấn đề đảm bảo an toàn thông tin của tổ chức, doanh nghiệp. Để chủ
động ngăn chặn nguy cơ này, doanh nghiệp có thể triển khai các biện pháp như:
Cài đặt phần mềm quét mã độc: Cài đặt các chương trình quét mã độc uy tín, đảm bảo
cập nhật và chạy quét thường xuyên. Giải pháp này rất cần thiết để sớm phát hiện phần mềm
độc hại và ngăn chặn chúng phát tán.
Thường xuyên cập nhật phần mềm: Để đảm bảo an toàn thông tin, người dùng cần
thường xuyên cập nhật hệ điều hành và các chương trình phần mềm khác. Khi các lỗ hổng
trong phần mềm được phát hiện, để khắc phục nhà sản xuất sẽ tạo ra các bản vá lỗi. Nếu
không cập nhật các bản vá này, tổ chức, doanh nghiệp phải đối mặt với nguy cơ tấn công dựa
trên việc khai thác những lỗ hổng phần mềm đó.
Cảnh giác với thư điện tử Email: Những kẻ tấn công thường xuyên sử dụng Email lây
nhiễm mã độc phổ biến bằng cách đính kèm các tập tin độc hại. Do vậy, người dùng phải cẩn
trọng khi mở các tệp đính kèm trong Email hay các liên kết,…
Cân nhắc và đánh giá kỹ trước khi thực hiện hành vi như nhấp chuột vào các liên kết
hoặc tải xuống các tệp tin trên mạng không rõ nguồn gốc.
Thận trọng trong việc sử dụng thiết bị lưu trữ vật lý: Các thiết bị lưu trữ vật lý như CD,
DVD, USB… có thể chứa các tệp tin độc hại, ngay cả khi bạn nó từ người quen. Tốt nhất,
hãy rà quét mã độc trên tất cả các thiết bị trước khi truy cập.
4.4. Bảo vệ trong trường hợp tấn công lỗ hổng bảo mật
Một số hệ điều hành, các phần mềm có thể tồn tại những lỗ hổng bảo mật hoặc các lỗi
làm cho hệ thống xảy ra xung đột không mong muốn. Điều này làm cho các lệnh không hoạt
động bình thường, kéo theo nhiều nhiều vấn đề phát sinh khác.
Trong trường hợp này điều cần làm là thường xuyên cập nhật các bản vá. Các bản vá
được hiểu là những bản cập nhật, nhằm khắc phục lỗ hổng đã được phát hiện trong chương trình phần mềm.
4.5. Bảo vệ thông tin trước nguy cơ tấn công bằng cách phá mật khẩu
Để bảo vệ thông tin trước nguy cơ tấn công bằng cách phá mật khẩu, tổ chức, doanh
nghiệp có thể thực hiện một số biện pháp sau:
 Đặt mật khẩu mạnh: Giải pháp đơn giản nhưng hiệu quả này là cách giúp người dùng
tránh được các cuộc tấn công dò tìm mật khẩu thông thường. Một mật khẩu được đánh giá là
mạnh phải đảm bảo các tiêu chí: độ dài từ 8 ký tự trở lên, sử dụng các ký tự chữ in, chữ
thường, ký tự số và ký tự đặc biệt,…
 Thay đổi mật khẩu định kỳ để tránh trường hợp vô tình làm lộ mật khẩu.
 Bật xác thực 2 bước: Bên cạnh việc sử dụng tên người dùng và mật khẩu để đăng
nhập, khi bật xác thực 2 bước, hệ thống sẽ gửi một mã số đến điện thoại. Chỉ khi người dùng
nhập đúng mã số nhận được mới có thể đăng nhập tài khoản.
 Thận trọng khi duyệt Web, mở Email hay tải File
4.6. Bảo vệ thông tin trước nguy cơ tấn công qua Email
Không mở các Email lạ, khả nghi
Để phòng ngừa và ngăn chặn nguy cơ tấn công qua Email, gây mất an toàn thông tin,
doanh nghiệp có thể nhanh chóng triển khai các giải pháp dưới đây:
Không mở bất kỳ Email nào có dấu hiệu khả nghi, ngay cả khi Email đó được gửi từ
bạn bè hoặc đối tác. Bởi hầu hết Virus được lan truyền qua đường Email và chúng sử dụng
các địa chỉ trong sổ địa chỉ (Address Book) ở máy nạn nhân để tự phát tán.
Không mở bất kỳ tập tin đính kèm nào được gửi từ địa chỉ Email mà không biết rõ
hoặc không tin tưởng. Cảnh giác và luôn kiểm tra các đường dẫn trước khi Click vào địa chỉ lạ.
Nên xóa các Email không rõ nguồn gốc hoặc không tin tưởng. Không chuyển tiếp
chúng cho bất kỳ ai hoặc trả lời lại cho người gửi.
Cẩn trọng khi tải các tập tin từ Internet về đĩa cứng của máy tính. Không sao chép vào
đĩa cứng bất kỳ tập tin nào khi không biết rõ nguồn gốc.
Sử dụng các chương trình diệt Virus: Với giải pháp này, khi lựa chọn các chương trình
diệt Virus, có 2 điều tổ chức cần xem xét. Đó là phải có biện pháp bảo vệ Email dò được cả
Virus và Spam, đồng thời giải pháp đó phải được cập nhật thường xuyên. Là sản phẩm đáp
ứng cả hai yêu cầu này, phần mềm diệt Virus McAfee là lựa chọn hàng đầu.
4.7. Bảo vệ hệ thống bằng tường lửa
Việc sử dụng các thiết bị tường lửa đang phát huy hiệu quả trong việc bảo vệ an ninh
thông tin. Tường lửa thực hiện việc giám sát và lọc lưu lượng mạng ra vào dựa trên chính
sách bảo mật đã được thiết lập từ trước. Với chức năng này, tường lửa được ví như phòng
tuyến đầu tiên của mạng. Về cụ thể, tường lửa sẽ bảo vệ hệ thống dựa trên các hoạt động:
 Cho phép hoặc cấm các truy cập từ môi trường nội bộ ra bên ngoài (mạng Internet) và
từ mạng Internet vào bên trong.
 Theo dõi luồng dữ liệu mạng giữa mạng nội bộ và Internet.
 Kiểm soát nội dung thông tin lưu chuyển trên mạng.
 Phát hiện và ngăn chặn các mối đe dọa xâm nhập mạng nội bộ.
CHƯƠNG 5: MỘT SỐ CHÍNH SÁCH CỦA VIỆT NAM VỀ
AN TOÀN THÔNG TIN TRONG LĨNH VỰC NGÂN HÀNG
5.1.Nghiên cứu và ban hành khung pháp lí về an toàn thông tin
Ngân hàng nhà nước đặc biệt quan tâm công tác an toàn thông tin và đã không ngừng
nghiên cứu, hoàn thiện, ban hành khung pháp lý về an toàn thông tin. Trong các Chỉ thị được
Thống đốc Ngân hàng nhà nước ban hành từ đầu năm 2022 đều có nhiệm vụ về đảm bảo an
ninh, an toàn hoạt động công nghệ thông tin.Cụ thể, tại Chỉ thị số 01/CT-NHNN ngày
13/01/2022 về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm
2022, một trong những nhiệm vụ quan trong đối với các đơn vị thuộc Ngân hàng nhà nước là
“Thúc đẩy chuyển đổi số trong hoạt động ngân hàng; đẩy mạnh thanh toán không dùng tiền
mặt; đảm bảo an ninh, an toàn hoạt động công nghệ thông tin, thanh toán điện tử, thanh toán
thẻ”. Trong đó, Thống đốc Ngân hàng nhà nước yêu cầu: Tăng cường và nâng cao công tác
giám sát các hệ thống thanh toán quan trọng, hoạt động cung ứng dịch vụ trung gian thanh
toán; công tác an ninh, an toàn, bảo mật trong các hoạt động thanh toán, ứng dụng công nghệ
thông tin, chuyển đổi số của Ngân hàng nhà nước. Thực hiện kiểm tra, đánh giá an toàn bảo
mật các hệ thống thông tin quan trọng; kịp thời cảnh báo, khuyến nghị về các vấn đề rủi ro
cũng như các giải pháp tăng cường an ninh, an toàn. Đảm bảo hoạt động liên tục, an toàn của
hệ thống thanh toán điện tử liên ngân hàng. Không những thế, Thống đốc Ngân hàng nhà
nước ban hành riêng Chỉ thị số 02/CT-NHNN ngày 13/01/2022 về việc thúc đẩy chuyển đổi
số và bảo đảm an ninh, an toàn thông tin trong hoạt động ngân hàng. Trong đó, có yêu cầu
các đơn vị thuộc Ngân hàng nhà nước một số nhiệm vụ như: Tăng cường quản lý nhà nước
về hoạt động công nghệ thông tin trong lĩnh vực ngân hàng, xây dựng chủ trương, định
hướng công nghệ, các quy định khung về phát triển công nghệ và chuyển đổi số. Tổ chức
kiểm tra, đánh giá an toàn bảo mật các hệ thống thông tin quan trọng trong ngành Ngân
hàng. Thường xuyên có cảnh báo, khuyến nghị kịp thời về các vấn đề rủi ro cũng như các
giải pháp tăng cường an ninh, an toàn trong hoạt động ngân hàng điện tử; Phối hợp với các
đơn vị liên quan của Bộ Công an trong việc triển khai, tạo điều kiện cho các tổ chức tín
dụng, tổ chức cung ứng dịch vụ trung gian thanh toán được kết nối, khai thác thông tin, dữ
liệu từ Cơ sở dữ liệu quốc gia về dân cư, Cơ sở dữ liệu căn cước công dân để phục vụ công
tác xác minh thông tin nhận biết khách hàng bằng phương thức điện tử; tiếp tục nâng cấp và
hoàn thiện hạ tầng công nghệ (hệ thống thanh toán điện tử liên ngân hàng, hệ thống chuyển
mạch tài chính và bù trừ điện tử, hệ thống thông tin tín dụng quốc gia,...) nhằm hỗ trợ các tổ
chức tín dụng (TCTD), tổ chức cung ứng dịch vụ trung gian thanh toán trong việc triển khai,
cung ứng các sản phẩm, dịch vụ an toàn, thuận tiện trên nền tảng số. Tăng cường đảm bảo an
ninh, an toàn và hoạt động liên tục của Hệ thống thanh toán điện tử liên ngân hàng và các hệ
thống thông tin quan trọng của Ngân hàng nhà nước... Không những thế, Thống đốc Ngân
hàng nhà nước ban hành riêng. Tiếp đó, ngày 04/3/2021, Thống đốc Ngân hàng nhà nước ký
Quyết định số 260/QĐ-NHNN ban hành Kế hoạch ứng dụng công nghệ thông tin, phát triển
Chính phủ số và bảo đảm an toàn thông tin mạng trong hoạt động của Ngân hàng nhà nước
giai đoạn 2021 - 2025. Theo Quyết định, mục tiêu tổng quát của Kế hoạch này là nhằm xây
dựng cơ sở pháp lý, tạo môi trường thuận lợi cho việc ứng dụng toàn diện công nghệ thông
tin, các công nghệ mới của Cách mạng công nghiệp lần thứ tư vào các hoạt động nghiệp vụ
ngân hàng và từng bước chuẩn hóa hạ tầng công nghệ thông tin của ngành Ngân hàng. Xây
dựng nền tảng an ninh mạng chuyên nghiệp, hiện đại, chủ động phát hiện và xử lý kịp thời
các sự cố an ninh mạng, đảm bảo an toàn, an ninh thông tin phục vụ tốt cho các hoạt động
nghiệp vụ của Ngân hàng nhà nước và hỗ trợ công tác giám sát, ứng cứu sự cố an toàn
thông tin ngành Ngân hàng là mục tiêu tổng quát về đảm bảo an toàn thông tin mà Ngân
hàng nhà nước hướng tới trong giai đoạn 2021 - 2025.
5.2.Tổ chức thanh tra, kiểm tra tuân thủ về an toàn thông tin
Trên cơ sở các văn bản quy phạm pháp luật đã ban hành, hằng năm, Ngân hàng nhà
nước đều tổ chức các đoàn kiểm tra các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung
gian thanh toán về tuân thủ các quy định an toàn thông tin và kiểm tra đột xuất theo các
chuyên đề về rủi ro công nghệ phát sinh trong từng giai đoạn (trung bình khoảng 10
TCTD/năm). Thông qua công tác kiểm tra, Ngân hàng nhà nước đã phát hiện và chấn chỉnh
kịp thời những tồn tại, hạn chế, rủi ro về an ninh, bảo mật công nghệ thông tin và tiếp nhận
các vướng mắc, kịp thời điều chỉnh, cập nhật các chính sách chỉ đạo, điều hành về công nghệ thông tin
5.3. Xây dựng và tổ chức hiệu quả hoạt động của Mạng lưới ứng cứu sự cố
an toàn thông tin ngành Ngân hàng:
Ban hành Hướng dẫn xử lý khủng hoảng khi xảy ra sự cố an toàn thông tin mạng để
nâng cao năng lực chung của toàn Ngành về khả năng ứng phó, sẵn sàng xử lý các sự cố an
ninh mạng, phòng ngừa, ngăn chặn rủi ro mất an toàn thông tin. Đồng thời, hằng năm, tổ
chức 1 - 2 đợt diễn tập, cuộc thi về điều tra, xử lý, ứng cứu sự cố an toàn thông tin để nâng
cao năng lực, trình độ và kinh nghiệm xử lý sự cố an toàn thông tin cho các đơn vị trong Ngành.
5.4. Phối hợp với các cơ quan chức năng trong công tác an toàn thông tin:
Ngành Ngân hàng đã làm tốt công tác phối hợp với các cơ quan chức năng của Bộ
Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng trong bảo đảm an toàn thông tin
của ngành Ngân hàng trên không gian mạng, như: Phối hợp thực hiện kiểm tra, đánh giá an
toàn thông tin tại các tổ chức tín dụng; thiết lập kênh trao đổi thông tin nhanh để xử lý các
website giả mạo các trang web Internet Banking của các ngân hàng Việt Nam; đào tạo, tập
huấn, diễn tập ứng cứu sự cố an toàn thông tin cho Mạng lưới ứng cứu sự cố an toàn thông
tin ngành Ngân hàng; triển khai kết nối với hệ thống định danh và xác thực điện tử, cơ sở dữ
liệu quốc gia về dân cư; triển khai thí điểm sử dụng giải pháp xác thực khách hàng qua thẻ
căn cước công dân gắn chíp (Match on Card -MoC) trên nền tảng công nghệ sinh trắc học để
định danh, xác thực điện tử khách hàng trong các giao dịch mở tài khoản, rút tiền tại ATM và
một số dịch vụ ngân hàng điện tử.
5.5. Triển khai các chương trình truyền thông, giáo dục tài chính:
Những năm gần đây, Ngân hàng nhà nước đã tích cực triển khai các chương trình
truyền thông, giáo dục tài chính nhằm nâng cao kiến thức, kỹ năng cho khách hàng khi sử
dụng dịch vụ tài chính ngân hàng; giảm thiểu rủi ro cho người dân khi tiếp cận dịch vụ ngân hàng điện tử.
Nhờ các giải pháp trên, năm 2020, Ngân hàng nhà nước là cơ quan cấp bộ duy nhất
(cùng 03 tỉnh/thành phố) được xếp hạng A về an toàn thông tin theo đánh giá của Bộ Thông
tin và Truyền thông và tiếp tục được xếp hạng A trong năm 2021. Về phía các tổ chức tín
dụng, các hệ thống thông tin ứng dụng nghiệp vụ được đảm bảo an toàn, hoạt động liên tục,
phục vụ nhu cầu của người dân, doanh nghiệp và được Bộ Thông tin và Truyền thông đánh
giá xếp hạng cao nhất trong các ngành về mức độ sẵn sàng ứng dụng công nghệ thông tin và
bảo đảm an toàn thông tin. LỜI KẾT
Công nghệ thông tin và truyền thông đóng vai trò ngày càng quan trọng trong cuộc
sống hàng ngày của con người, làm biến đổi sâu sắc cách thức làm việc, giải trí, các nguyên
tắc tiến hành kinh doanh…Vì vậy để đảm bảo an toàn thông tin cần phải tìm hiểu, nghiên
cứu các nguy cơ mất an toàn thông tin như: nguy cơ về vật lý, về phầm mềm độc hại,…và sử
dụng các biện pháp bảo vệ hệ thống thông tin một cách an toàn như: sử dụng các chính sách,
các kỹ thuật an toàn thông tin và các phần mềm diệt virus. TÀI LIỆU THAM KHẢO
Tổng quan về an toàn thông tin An toàn thông tin là gì? Tổng quan về ngành an toàn thông tin - MI2
Ba mục tiêu chính của an toàn thông tin https://infochief.com.vn/blog/ba-muc-tieu-chinh-cua-toan- thong-tin.html
Các nguy cơ mất an toàn thông tin https://sesanhpc.vn/d6/vi-VN/news2/AN-TOAN-THONG-TIN- LA-GI--1-844-4524
Thực trạng trên thế giới https://thitruongtaichinhtiente.vn/thach-thuc-quan-tri-rui-ro-dam-bao-an-
toan-trong-ky-nguyen-so-42696.html
Thực trạng trên thế giới https://tuoitre.vn/mat-an-toan-thong-tin-hiem-hoa-de-doa-khong-tru-mot-ai- 2021120718481341.htm
Thực trạng tại Việt Nam https://ictnews.vietnamnet.vn/viet-nam-dang-tro-thanh-manh-dat-mau-mo-
de-toi-pham-tai-chinh-khai-thac-5003128.html
Rủi ro khi giao dịch trực tuyến http://vjst.vn/vn/tin-tuc/6433/giai-phap-dam-bao-an-toan-thong-tin-
trong-giao-dich-truc-tuyen.aspx
Các biện pháp bảo vệ https://mi2.com.vn/cac-giai-phap-bao-ve-an-toan-thong-tin-cho-doanh- nghiep/ M t sốố chính sách ộ
Đả m bả o an ninh, an toàn thống tn trong ho t đ ạ ng ng ộ
ân hàng (tapchinganhang.gov.vn)