Ngân hàng và doanh nghiệp thanh toán điện tử phải phòng vệ ngay từ trung tâm dữ liệu

Thứ trưởng Bộ TT&TT Phạm Hồng Hải thăm Trung tâm Dữ liệu của CMC Telecom

Từ nỗi lo thường trực về bảo mật

Sự việc Vietnam Airlines bị tấn công buộc một số ngân hàng phải khoá thanh toán online của chủ thẻ tín dụng có giao dịch với Vietnam Airlines năm 2016 hay các vụ tài khoản thẻ ngân hàng của một số ngân hàng “bỗng dưng bốc hơi” đang là mối lo an ninh bảo mật thường trực trong ngành ngân hàng, thanh toán điện tử.

Mới đây nhất, hãng bảo mật Kaspersky Việt Nam đã lên tiếng cảnh báo về những nhóm hacker chuyên thực hiện các cuộc tấn công có chủ đích đã tấn công thành công các ngân hàng, tổ chức tài chính ở Châu Á Thái Bình Dương, trong đó có Việt Nam. Đó là các cuộc tấn công chống lại cơ sở hạ tầng ATM, máy chủ SWIFT hoặc các cơ sở dữ liệu với các giao dịch và thông tin thẻ ghi nợ, thẻ tín dụng. Tổn thất chính xác về tài chính hiện chưa thể tính toán được.

Còn theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), từ đầu năm 2017 đến nay, đã phát hiện và ghi nhận nhiều chiến dịch tấn công nhằm vào ứng dụng trên nền tảng Android, đặc biệt là ứng dụng ngân hàng trực tuyến. Các chuyên gia về an toàn thông tin và nhiều tổ chức đã phát hiện và ghi nhận nhiều biến thể nguy hiểm của các dòng mã độc ngân hàng trên nền tảng Android: Faketoken, Svpeng, BankBot, AceCard… những dòng mã độc này có khả năng đe dọa rất lớn đối với người dùng sử dụng ứng dụng ngân hàng trực tuyến.

Ông Nguyễn Thành Hưng, Thứ trưởng Bộ Thông tin và Truyền thông đánh giá: “Vài năm trước đây, các cuộc tấn công mạng nhằm vào thanh toán điện tử chỉ mới gây thiệt hại nhỏ thì nay đã lên tới hàng trăm triệu, thậm chí hàng tỉ đồng, Đây thực sự là nguy cơ đe dọa đối với sự phát triển lành mạnh và ổn định của thị trường thanh toán điện tử nói riêng và với cả lĩnh vực ngân hàng nói chung.”

Ông Hà Thế Phương, Phó Tổng giám đốc CMC InfoSec cũng khuyến cáo, các ngân hàng, tổ chức tài chính, thanh toán Việt Nam cần phải có chứng chỉ bảo mật thẻ theo tiêu chuẩn thế giới PCI DSS. Đây là tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý bởi 5 tổ chức thanh toán quốc tế như Visa, MasterCard, American Express, Discover và JCB.

Thiết lập “tường thành” Data Center

Tiêu chuẩn PCI DSS được coi như là một “công cụ” giúp các ngân hàng, hệ thống thanh toán điện tử, thương mại điện tử…chống chọi lại với nguy cơ bị tấn công. Tiêu chuẩn PCI DSS được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép. PCI DSS sẽ giúp cho các doanh nghiệp hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ.

Không những thế, hiện chuẩn bảo mật PCI DSS đã trở thành yêu cầu bắt buộc đối với ngân hàng và các tổ chức có liên quan đến thanh toán thẻ như hệ thống thanh toán điện tử, thương mai điện tử… Hàng năm, các ngân hàng và các tổ chức liên quan đến thanh toán thẻ sẽ phải thi tuyển để cấp mới chứng chỉ PCI DSS.

Như vậy, với tiêu chuẩn này, các tổ chức tín dụng, ngân hàng, cổng thanh toán sẽ có thêm một lớp bảo vệ dữ liệu khách hàng từ chính trung tâm đầu não của mọi giao dịch - Data Center đạt tiêu chuẩn PCI DSS.

Tại Việt Nam, tin vui cho các doanh nghiệp là vào ngày 7/12 vừa qua, CMC Telecom đã khai trương Trung tâm dữ liệu thứ 3, tiêu chuẩn Tier 3; ISO 9001:2015; ISO 27000:2003 đặt tại CMC Tower cách trung tâm Hà Nội 7km với diện tích 1.000 m2. Đây là Data Center đầu tiên và duy nhất tại Việt Nam hiện nay áp dụng tiêu chuẩn bảo mật PCI DSS.

Được biết, để đạt được chứng chỉ PCI DSS, các tổ chức cần phải đáp ứng 12 yêu cầu khắt khe về bảo mật và phải được đánh giá hàng năm bới Qualified Security Assessor, Tổ chức duy nhất có quyền được thực hiện đánh giá, cấp chức chỉ PCI DSS.
Để có chứng chỉ này, CMC Telecom đã phải đáp ứng được rất nhiều các yêu cầu: Các yêu cầu về hạ tầng công ty phải đạt tiêu chuẩn bảo mật (hệ thống mạng, hệ thống lưu trữ, hệ thống kiểm soát….); Phải chứng minh trong một năm có ít nhất 2 khách hàng đã làm dịch vụ về security; Chứng minh có nhân lực đạt các chứng chỉ về security…và thậm chí phải mua nhiều loại bảo hiểm khác nhau cho khách hàng.
Data Center là “trái tim” của các tổ chức thanh toán điện tử, ngân hàng, thương mại điện tử… Gần như các dữ liệu, giao dịch quan trọng của doanh nghiệp được “gửi gắm” vào đây.

Việc sử dụng một Data Center đạt tiêu chuẩn PCI DSS được coi như là một biện pháp “phòng bệnh” và “ngăn chặn từ xa” một cách hiệu quả, tránh rủi ro an ninh mạng. Vì vậy, để tránh bị tấn công, không phải đầu tư một hệ thống Data Center thường xuyên phải cập nhật về công nghệ và bảo mật… thì giải pháp lựa chọn một nhà cung cấp Data Center đạt tiêu chuẩn PCI DSS là phương án đầu tư hiệu quả nhất tại Việt Nam hiện nay.

Kết quả khảo sát của Viện Nghiên cứu Ponemon của Mỹ, các tổ chức, doanh nghiệp áp dụng chuẩn bảo mật PCI DSS đã giảm thiểu số lần bị đánh cắp dữ liệu so với trước kia. Khoảng 64% doanh nghiệp có áp dụng chuẩn này cho biết họ đã không bị tấn công về dữ liệu thẻ thanh toán trong vòng 2 năm vừa qua. Trong khi đó, chỉ có 38% doanh nghiệp không áp dụng chuẩn PCI DSS cho biết họ không bị tấn công.