Bịt kẽ hở trong bảo mật ngân hàng

Lên tiếp vừa qua đã xảy ra sự cố “bốc hơi” tiền trong tài khoản của khách hàng, từ vài chục triệu đến hàng chục tỷ đồng. Tiến sĩ Nguyễn Trí Hiếu chuyên gia tài chính ngân hàng cho rằng, việc khách hàng bị mất tiền gần đây chỉ là các trường hợp xảy ra đơn lẻ, có thể do tội phạm đánh cắp hoặc lừa đảo khách hàng.

Tuy nhiên cũng phải thấy rằng, hệ thống bảo mật ngân hàng và quy trình giao dịch cũng còn có kẽ hở.

Cần nâng chuẩn bảo mật

Đại diện Vụ Thanh toán- Ngân hàng Nhà nước (NHNN) cho biết: Trước sự phát triển ồ ạt của công nghệ, các loại thẻ ngân hàng cũng ra đời với số lượng lớn. Tính đến cuối tháng 7/2016, số lượng thẻ phát hành trên 107 triệu thẻ (tăng gấp 3,48 lần so với cuối năm 2010).

Số lượng thẻ lớn, nguy cơ mất an toàn hệ thống thẻ cũng gia tăng khiến việc bảo mật ngày một phức tạp và áp lực hơn. Thực tế người sử dụng thẻ ATM, thẻ tín dụng (visa debit) từng bị thất thoát tiền không còn là chuyện mới nhưng trước kia số tiền mất ít nên chỉ giải quyết nội bộ. Chỉ đến khi nửa tỷ đồng trên tài khoản hệ thống Ngân hàng Vietcombank của khách hàng Na Hương bị “biến mất” chỉ trong một đêm mới khiến thông tin lan rộng, dư luận hoang mang.

Khách hàng mong đợi tiền trong tài khoản được an toàn.

Đáng nói là sau sự cố trên, hàng loạt vụ mất tiền trong thẻ và tài khoản của các khách hàng vẫn xảy ra ở tại một số ngân hàng khác như: Vụ “bốc hơi” 26 tỷ đồng tại VPBank (khách hàng tố với báo giới), còn phía VPBank thì khẳng định chỉ 11,3 tỷ đồng; một khách Vip bị mất 4 tỷ đồng trong tài khoản Ngân hàng SCB... Mới đây nhất khách hàng tại TP Hồ Chí Minh lại báo mất hơn 22 triệu đồng trong tài khoản Vietcombank. Hiện, chưa một ngân hàng nào cũng như cơ quan điều tra có kết luận chính thức nguyên nhân các vụ việc.

Tại Hội nghị “Đảm bảo an ninh, an toàn trong thanh toán điện tử và thanh toán thẻ” do NHNN tổ chức ngày 8/9, đại tá Trần Văn Doanh, Cục cảnh sát phòng, chống tội phạm sử dụng công nghệ cao - C50 (Bộ Công an) chia sẻ: Thủ đoạn của tội phạm công nghệ thường sử dụng để ăn cắp tiền trong tài khoản là dùng thiết bị gắn vào các máy ATM để trộm cắp dữ liệu, làm giả thẻ từ để rút tiền. “Các đối tượng cũng lợi dụng sơ hở phía người sử dụng hay đặt mật khẩu đơn giản, dễ nhớ như abc123 hay 123456, theo ngày sinh, năm sinh... để rà quét truy cập vào tài khoản của khách hàng”, ông Doanh nói.

Không chỉ có kẽ hở trong bảo mật công nghệ ngân hàng, các chuyên gia ngân hàng cũng cho rằng quy trình giao dịch giữa khách hàng và ngân hàng cũng còn nhiều kẽ hở như: Lỏng lẻo từ khâu mở tài khoản tại ngân hàng; tình trạng “chữ ký một đường, chủ đi một nẻo”; nghiệp vụ đối chiếu mẫu dấu, chữ ký của chủ tài khoản còn yếu dẫn đến việc chủ tài khoản không rút tiền mà tiền bỗng “cất cánh”…

Một số người trong ngành ngân hàng cũng thừa nhận, thực tế trong hoạt động ngân hàng, rất hiếm khi lãnh đạo doanh nghiệp trực tiếp đến mở tài khoản, ngồi đặt bút ký trước sự chứng kiến của ngân hàng. Thay vào đó, hầu hết lãnh đạo doanh nghiệp đều giao cho nhân viên kế toán hoặc bộ phận chuyên trách đứng ra làm thủ tục, trình ký, thậm chí hồ sơ này có thể chuyển qua đường bưu điện đến doanh nghiệp… Hoặc có những trường hợp khách VIP bận rộn, yêu cầu nhân viên ngân hàng thực hiện thay các thủ tục, thậm chí rút tiền hộ và mang đến tận nhà. “Cách làm này lại tiềm ẩn vô cùng nhiều rủi ro cho khách gửi tiền. Nếu không mở sổ tại quầy, bạn có thể bị mạo danh để chiếm đoạt. Tương tự, vội vàng ký sẵn chứng từ, bạn có thể bỗng dưng thành con nợ”, một chuyên gia trong lĩnh vực ngân hàng phân tích.

Tổng kiểm tra, bảo đảm an ninh cho ATM/POS

Để đảm bảo an toàn tiền của khách hàng trong hệ thống, Cục C50 kiến nghị NHNN chỉ đạo các ngân hàng thương mại (NHTM) lắp thiết bị và phần mềm
anti-skimming cho các máy ATM. Hiện vẫn còn nhiều ATM chưa được cài hoặc lắp thiết bị anti-skimming nhưng để ở chế độ không chống được việc trộm cắp thông tin thẻ.

C50 cũng kiến nghị NHNN chỉ đạo các NHTM kiểm tra, rà soát và thực hiện đầy đủ các bước theo qui định về hoạt động thanh toán thẻ và trực tuyến. Đối với dịch vụ ngân hàng điện tử (internet banking, mobilbanking), các ngân hàng phải rà soát lại qui trình thanh toán, trong đó yêu cầu bắt buộc việc đăng ký, xác thực phải thực hiện tại chi nhánh ngân hàng không thực hiện qua Internet; hoặc tăng cường các lớp, bước sát thực qua tin nhắn SMS, OTP; nghiên cứu bổ sung thêm giải pháp bảo mật, xác thực trước khi hoàn thành giao dịch thanh toán (ATM, POS, internet banking, mobi banking) như ứng dụng Keypasco.
Trao đổi với phóng viên báo Tin Tức ngày 8/9, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Bkav cho hay: Phía ngân hàng cần trang bị thêm các biện pháp để bảo vệ cho người dùng, ví dụ như nâng cấp sử dụng giải pháp chữ ký số thay vì giải pháp OTP (mật khẩu dùng 1 lần) vốn tồn tại nhiều điểm yếu có thể khai thác. Đặc biệt, trong một dự án CNTT, cần đầu tư ít nhất từ 5 đến 10% cho an ninh mạng.

“Hiện, không quá 30% ngân hàng ở Việt Nam có chứng chỉ PIC DSS - tiêu chuẩn bảo mật dành cho thanh toán thẻ. Điều này cho thấy tính bảo mật vẫn chưa được quan tâm đúng mức ở một số ngân hàng”, ông Võ Tấn Hoàng Văn, Tổng Giám đốc Ngân hàng SCB nói. Theo SCB, bộ tiêu chuẩn PCI DSS sẽ giúp “vạch mặt, chỉ tên” những kẽ hở trong quy trình phát hành và vận hành thẻ của ngân hàng như cảnh báo trong hệ thống có điểm nào không an toàn, có kẽ hở nào đó mà kẻ xấu dễ lợi dụng để đánh cắp tiền của ngân hàng hoặc khách hàng. Tuy nhiên việc áp dụng hệ thống theo PCI DSS cũng đòi hỏi chi phí tiền bạc, thời gian, nhân sự lớn với quy trình vận hành rất phức tạp nên nhiều ngân hàng chưa mặn mà.

Trước tình hình các tội phạm công nghệ đang liên tục thay đổi các phương thức thủ đoạn tấn công mới để ăn cắp dữ liệu thông tin cá nhân của chủ thẻ, lừa đảo dịch vụ thanh toán điện tử, thanh toán thẻ, Phó Thống đốc NHNN Nguyễn Kim Anh đã yêu cầu các tổ chức tín dụng (TCTD) định kỳ rà soát, bổ sung các thiết bị đảm bảo an ninh, an toàn cho hệ thống thẻ ATM như: Lắp đặt camera giám sát, hệ thống báo động sự cố, hệ thống chống trộm…, kiểm tra ATM/POS (máy chấp nhận thẻ) để kịp thời phát hiện và ngăn chặn các thiết bị lắp đặt trái phép. Các TCTD cần tăng cường nghiên cứu, áp dụng các công nghệ bảo mật tiên tiến như: Xác thực sinh trắc học, khóa công khai PKI, công nghệ 3D secure cho các khách hàng có giao dịch lớn và từng bước mở rộng cho toàn bộ các đối tượng khách hàng.

Đề cập về sự lỏng lẻo trong quy trình nội bộ quản lý, chuyên gia kinh tế TS Bùi Quang Tín, Đại học Ngân hàng TP.HCM cho rằng: Để bịt lỗ hổng chữ ký, phía ngân hàng cần rà soát lại quy trình mở tài khoản để có thể xác định được đúng người đại diện pháp luật hay người được ủy quyền mở tài khoản; nâng cao nghiệp vụ cho kiểm soát giao dịch viên về kiến thức kinh tế, ý thức pháp luật. “Các lỗ hổng về quản trị, nghiệp vụ dù là bé như cái kim sợi chỉ cũng cần phải siết ngay lại. Đặc biệt, quy trình kiểm soát, tuân thủ trong hoạt động nghiệp vụ ngân hàng phải được quan tâm hàng đầu”, Luật sư Trương Thanh Đức nhấn mạnh.

TS. Nguyễn Trí Hiếu: Nên nhận trách nhiệm và trấn an khách hàng 

Ngân hàng nên đứng ra nhận trách nhiệm dù chưa biết đúng sai thế nào. Hành động đó sẽ trấn an được khách hàng. Cách hành xử này rất có hiệu quả về mặt tâm lý, tạo không khí thân thiện, an toàn cho khách hàng. Tuy đứng ra nhận trách nhiệm nhưng không có nghĩa là các ngân hàng này nhận lỗi về phía mình mà trong thời gian giải quyết vấn đề, họ có thể đưa ra những bằng chứng để từ chối bồi thường cho khách hàng nếu họ không sai. 

Ông Trần Công Quỳnh Lân - Phó Tổng Giám đốc Ngân hàng TMCP Công thương: Cần có nguyên tắc chung tiêu chuẩn bảo mật 

Tôi cho rằng, NHNN cần phải có các nguyên tắc chung về yêu cầu bảo mật và áp dụng triển khai đồng bộ trên toàn hệ thống ngân hàng. Từ đó, các ngân hàng có thể cạnh tranh trên cùng một mặt bằng tiêu chuẩn bảo mật, còn khách hàng cũng quen thuộc với các phương thức xác thực của ngân hàng. 

Ông Nguyễn Hoàng Minh, Phó Giám đốc NHNN chi nhánh TP Hồ Chí Minh: Phối hợp với công an làm rõ vụ mất tiền 

Sau hàng loạt sự cố mất tiên vừa qua, Chi nhánh NHNN đã yêu cầu các NHTM trên địa bàn rà soát lại tất cả quy trình nội bộ về quản lý. Các ngân hàng cần khẩn trương phối hợp với cơ quan công an làm rõ những trường hợp phát sinh rủi ro đã xảy ra, trên nguyên tắc phải bảo vệ quyền lợi và giảm thiểu thiệt hại cho khách hàng. Trường hợp khách hàng chứng minh được giao dịch đó không do mình thực hiện thì các ngân hàng nên sớm bồi thường cho khách hàng.


Minh Phương - Hải Yên
Phê duyệt Dự án do Ngân hàng thế giới viện trợ không hoàn lại
Phê duyệt Dự án do Ngân hàng thế giới viện trợ không hoàn lại

Thủ tướng Chính phủ vừa phê duyệt chủ trương đầu tư Dự án Hỗ trợ kỹ thuật chuẩn bị Dự án CIFF do Ngân hàng thế giới (WB) viện trợ không hoàn lại.

Chia sẻ:

doanh nghiệp - Sản phẩm - Dịch vụ Thông cáo báo chí Rao vặt

Các đơn vị thông tin của TTXVN