Đó là ý kiến của chuyên gia Thanut Pimhataivoot của Tập đoàn NTT Data Thailand khi được hỏi về vấn đề tiêu chuẩn an toàn thông tin trong lĩnh vực ngân hàng ở Việt Nam tại Hội thảo “Tiêu chuẩn về an toàn thông tin trong lĩnh vực ngân hàng” diễn ra tại Hà Nội ngày 16/8.

Hệ thống thông tin của ngành Ngân hàng là những hệ thống thông tin trọng yếu của quốc gia, đòi hỏi phải có những biện pháp bảo vệ hết sức nghiêm ngặt. Vì vậy, các tiêu chuẩn An toàn thông tin (ATTT) gồm tiêu chuẩn quốc tế, tiêu chuẩn khu vực, tiêu chuẩn quốc gia đã được ban hành nhằm đảm bảo các ngân hàng có thể áp dụng các yêu cầu cơ bản.

Cục Công nghệ thông tin (Ngân hàng nhà nước Việt Nam) và Cục An toàn thông tin (Bộ TT&TT) phối hợp cùng tập đoàn CMC InfoSec tổ chức Hội thảo “Tiêu chuẩn về an toàn thông tin trong lĩnh vực ngân hàng”. Đây là dịp để các chuyên gia ATTT, các chuyên gia trong lĩnh vực ngân hàng cùng các bên liên quan trao đổi, thảo luận, định hướng về công tác bảo đảm an toàn thông tin trong lĩnh vực ngân hàng và chia sẻ thông tin về tiêu chuẩn, giải pháp, từng bước hình thành các nhóm chia sẻ thông tin và phối hợp hành động.

Hội thảo có sự hiện diện của Lãnh đạo các sở, ban ngành thuộc Bộ TT&TT, Bộ Quốc phòng, Bộ Công an, Ngân hàng Nhà nước và hơn 200 đại biểu tham dự thuộc 40 ngân hàng, các đơn vị cổng thanh toán và Doanh nghiệp ICT.

Tại sự kiện, Thứ trưởng Bộ TT&TT Nguyễn Thành Hưng cho biết thời gian qua CNTT đã và đang đi vào mọi mặt của đời sống kinh tế - xã hội. Đặc biệt, xu hướng thanh toán điện tử đang ngày càng phổ biến trong giao dịch. Tuy nhiên, đi kèm với nó là việc các ngân hàng, tổ chức tài chính phải đối mặt với các cuộc tấn công mạng ngày càng gia tăng.

“Vài năm trước đây, các cuộc tấn công mạng nhằm vào thẻ thanh toán chỉ mới gây thiệt hại nhỏ thì nay đã lên tới hàng trăm triệu, thậm chí hàng tỉ đồng”, ông Hưng cho hay.


Trên thế giới và thực tiễn tại Việt Nam, các tổ chức trong ngành tài chính, ngân hàng luôn là các đơn vị đi đầu trong công tác bảo đảm an toàn thông tin cũng như có đầu tư cho các giải pháp, công cụ để ngăn chặn phát hiện sớm các rủi ro, mất mát trong thanh toán điện tử. Tuy nhiên, vẫn còn có hiện tượng các khách hàng khiếu nại về các vấn đề liên quan đến các các giao dịch bất thường mà khách hàng không trực tiếp thực hiện, dẫn đến việc mất tiền trong tài khoản.

“Đây thực sự là nguy cơ đe dọa đối với sự phát triển lành mạnh và ổn định của thị trường thanh toán điện tử nói riêng và với cả lĩnh vực ngân hàng nói chung”, Thứ trưởng nhấn mạnh.

Thứ trưởng Bộ TT&TT cho biết, Bộ TT&TT và Ngân hàng Nhà nước Việt Nam hiện đang nghiên cứu, thảo luận để cùng đưa ra các phương án tổng thể cũng như các tiêu chuẩn cụ thể để đảm bảo ATTT trong lĩnh vực ngân hàng.

Ông Nguyễn Huy Dũng, Cục trưởng Cục An toàn thông tin phát biểu tại sự kiện

Trong bối cảnh đó, ngày 10/5/2017, Thủ tướng Chính phủ đã ra Quyết định 632 ban hành các lĩnh vực quan trọng cần ưu tiên bảo đảm ATTT mạng và danh mục hệ thống thông tin quan trọng quốc gia, trong đó lĩnh vực ngân hàng thuộc 11 lĩnh vực quan trọng cần ưu tiên bảo đảm ATTT mạng.

Theo ông Nguyễn Huy Dũng, Cục trưởng Cục An toàn thông tin, Bộ TT&TT đang phối hợp cùng Bộ Khoa học và Công nghệ cùng một số đơn vị để sớm ban hành bộ tiêu chuẩn quốc gia TCVN 11930:2017 về yêu cầu cơ bản về đảm bảo an toàn thông tin theo cấp độ an toàn thông tin.

“Chúng tôi đang phối hợp với Bộ Khoa học & Công nghệ, dự kiến tháng 8 này sẽ công bố Bộ tiêu chuẩn yêu cầu cơ bản về đảm bảo an toàn thông tin theo cấp độ. Đây là tập hợp những yêu cầu tối thiểu để các cơ quan tổ chức căn cứ vào đó, rà soát đảm bảo an toàn thông tin cho mình...”, ông Dũng cho biết.

Bộ tiêu chuẩn này được xem là cơ sở để chuẩn hóa công tác đảm bảo ATTT, chuẩn hóa các yếu tố liên quan đến con người; quy trình và công nghệ trong đảm bảo ATTT.

 Chuyên gia Thanut Pimhataivoot của Tập đoàn NTT Data Thailand thuyết trình tại hội nghị

Trong khi đó, chuyên gia Thanut Pimhataivoot của Tập đoàn NTT Data Thailand chia sẻ ông có làm việc với nhiều đối tác ở Việt Nam, ông nhận thấy ngành ngân hàng Việt Nam đang có bước phát triển nhanh và vấn đề bảo mật và ATTT cũng rất được chú trọng. Ông này cũng đánh giá cao việc bảo mật của các ngân hàng Việt Nam cả về quản trị lẫn khía cạnh an ninh và an toàn.

Chia sẻ về kinh nghiệm trong công tác đảm bảo ATTT trong lĩnh vực ngân hàng trên thế giới, ông Pimhataivoot cho biết: “Tôi nghĩ rằng đối với ngành ngân hàng, có một đặc điểm nổi bật là hoạt động của nó vượt khỏi biên giới mỗi quốc gia. Vì vậy, khi các ngân hàng trung ương ban hành tiêu chuẩn về an toàn thông tin thì cần hài hòa với các tiêu chuẩn khác trong khu vực cũng như trên thế giới. Điều này có thể giúp ngân hàng khi đã tuân thủ tiêu chuẩn ở quốc gia này có thể dễ dàng tuân thủ với tiêu chuẩn tương tự ở các nước khác qua đó có thể dễ dàng mở rộng hoạt động. Điều này đặc biệt đúng với khu vực Đông Nam Á” - ông Thanut Pimhataivoot cho biết.

Hà Thế Phương - Phó Tổng giám đốc CMC InfoSec - và đại diện hãng bảo mật ECQ Thái Lan thuyết trình tại hội thảo

Về phần mình, ông Hà Thế Phương - Phó Tổng giám đốc CMC InfoSec - doanh nghiệp thứ 2 được quyền đánh giá và cấp chứng chỉ bảo mật thẻ theo tiêu chuẩn thế giới PCI DSS - kết hợp cùng hãng bảo mật ECQ Thái Lan đã mang đến hội thảo bài tham luận: “Tiêu chuẩn ATTT và các nguy cơ ATTT trong ngành ngân hàng dưới góc nhìn của các chuyên gia bảo mật”.

Bài tham luận xoay quanh việc đánh giá về tình hình áp dụng và các vấn đề thực tế khi áp dụng các tiêu chuẩn ATTT tại các ngân hàng ở Việt Nam và Thái Lan.

Bên cạnh đó, chuyên gia đến từ CMC InfoSec cũng lưu ý vấn đề tấn công có chủ đích (APT) vào hệ thống thông tin của ngân hàng. Các ngân hàng Việt cần bảo đảm có chứng chỉ bảo mật thẻ theo tiêu chuẩn thế giới PCI DSS. Đây là tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý bởi 5 tổ chức thanh toán quốc tế như Visa, MasterCard, American Express, Discover và JCB.

Với việc vấn đề ATTT diễn biến ngày càng phức tạp, các chuyên gia cho rằng các ngân hàng, đơn vị cung cấp cổng thanh toán, tổ chức tài chính…cần nhận thức rõ ràng hơn về vấn đề ATTT, qua đó sớm xây dựng những biện pháp phối hợp với các công ty bảo mật chống lại các mối đe dọa, các cuộc tấn công mạng trong hệ thống của mình.