ictnews Theo chuyên gia Đào Minh Tuấn, Trưởng phòng Công ngh
ệ b???o mật, Công ty cổ phần An ninh mạng Vi
ệt Nam (VSEC), có 5 lỗi bảo mật khá phổ biến trong lĩnh vực tài chính, ngân hàng có thể bị tin tặc lợi dụng để đánh cắp tài sản, d?
? li??u của các cá nhân, tổ chức.
Mã hóa d?
? li??u là phần rất cơ bản nhưng cực kỳ quan trọng trong các biện pháp an ninh mạng hiệu quả, nếu d?
? li??u không được mã hóa, tin tặc có thể dễ dàng đánh cắp và sử dụng d?
? li??u. (Ảnh minh họa: Internet)Từ cuối năm ngoái, khi dự báo về những xu hướng của an toàn, an ninh mạng Vi
ệt Nam trong năm 2019, các chuyên gia đã chỉ ra rằng một trong năm xu hướng chính là tấn công mạng vào các hệ thống thương mại điện tử, tài chính - ngân hàng... với mục tiêu chiếm đoạt tài sản, đánh cắp thông tin, d?
? li??u của các cá nhân, tổ chức.Trên thực tế, gần đây, hàng loạt các vụ tấn công mạng nhằm vào các ngân hàng, tổ chức tài chính tại Vi
ệt Nam đã xảy ra và có xu hướng gia tăng mạnh mẽ.Hồi tháng 5, tại sự kiện Security World 2019, Trung tâm Ứng cứu khẩn cấp máy tính Vi
ệt Nam (VNCERT, nay là Trung tâm Ứng cứu khẩn cấp không gian mạng Vi
ệt Nam thuộc Cục An toàn thông tin) đã công bố kết quả cuộc khảo sát, đánh giá mức độ quan tâm về an toàn, an ninh mạng và hiện trạng bảo mật của các doanh nghiệp cung cấp dịch vụ tài chính – ngân hàng tại Vi
ệt Nam. Khảo sát được thực hiện với 30 ngân hàng cùng 16 đơn vị cung cấp dịch vụ tài chính, bảo hiểm tại Vi
ệt Nam.Theo khảo sát này, cùng với việc chỉ ra rằng ngay với các tổ chức, doanh nghiệp hoạt động trong lĩnh vực tài chính, ngân hàng, mức đầu tư cho an toàn, bảo mật vẫn chiếm một tỷ trọng nhỏ, thường là 5 - 15% trong tổng chi phí cho đầu tư CNTT của các doanh nghiệp, tổ chức; VNCERT cũng nêu ra những trở ngại lớn trong đảm bảo an toàn, bảo mật thông tin của các các tổ chức, doanh nghiệp như: nhân viên vi phạm các chính sách an toàn, bảo mật; hạn chế về nhân lực CNTT, an toàn thông tin; hạn chế về nghiệp vụ, kỹ năng chuyên môn...Từ thực tế hỗ trợ những khách hàng là các doanh nghiệp, tổ chức hoạt động trong lĩnh vực tài chính, ngân hàng tại Vi
ệt Nam, ông Đào Minh Tuấn - Trưởng phòng công ngh
ệ b???o mật Công ty cổ phần An ninh mạng Vi
ệt Nam (VSEC) đã “điểm mặt” 5 mối nguy hại bảo mật thường gặp nhất tại các ngân hàng, tổ chức tài chính, đó là: d?
? li??u không được mã hóa; phần mềm độc hại; dịch vụ của bên thứ ba không an toàn; d?
? li??u bị thay đổi trái phép; kỹ thuật giả mạo.D?
? li??u không được mã hóaTheo phân tích của chuyên gia VSEC, mã hóa d?
? li??u là phần rất cơ bản nhưng cực kỳ quan trọng trong các biện pháp an ninh mạng hiệu quả. Tất cả d?
? li??u được lưu trữ trực tuyến hay trên máy tính của tổ chức đều phải được mã hóa. Bởi nếu d?
? li??u không được mã hóa, tin tặc có thể dễ dàng đánh cắp và sử dụng ngay lập tức.Phần mềm độc hạiCác thiết bị ng?
?ời dùng cuối (máy tính, điện thoại di động…) nếu chứa phần mềm độc hại sẽ là mối nguy hiểm lớn bởi chúng kết nối trực tiếp với mạng của tổ chức, doanh nghiệp; thông qua kết nối này kẻ tấn công có thể điều khiển phần mềm độc hại và tấn công hệ thống mạng. Vì vậy, cần nâng cao nhận thức ng?
?ời dùng và bảo vệ các thiết bị ng?
?ời dùng cuối một cách tốt nhất. Dịch vụ của bên thứ ba không an toànNhiều ngân hàng và tổ chức tài chính thường sử dụng thêm sản phẩm, dịch vụ từ các nhà cung cấp bên ngoài. Tuy nhiên, nếu các đối tác đó không áp dụng các biện pháp an ninh mạng tốt, tổ chức, doanh nghiệp cũng có thể chịu ảnh hưởng. Việc quan trọng cần làm, theo khuyến nghị của chuyên gia VSEC, là kiểm tra sản phẩm, dịch vụ của bên thứ ba có áp dụng các tiêu chuẩn bảo mật hay không trước khi quyết định triển khai.D?
? li??u bị thay đổi trái phépTheo nhận định của chuyên gia VSEC, đôi khi tin tặc không xâm nhập để đánh cắp d?
? li??u, chúng chỉ đơn giản là muốn thay đổi d?
? li??u. Kiểu tấn công này rất khó phát hiện và có thể khiến các tổ chức tài chính phải chịu thiệt hại nặng nề, bởi định dạng d?
? li??u ban đầu và sau khi tấn công không khác nhau nên việc xác định những gì đã bị thay đổi nếu tổ chức bị tấn công theo cách này là một thách thức không hề nhỏ.Kỹ thuật giả mạoTin tặc tìm cách mạo danh URL của tổ chức với một trang web có giao diện và cách thức hoạt động giống hệt nhau, khi ng?
?ời dùng đăng nhập ngay lập tức thông tin sẽ bị đánh cắp. Hơn thế nữa, các kỹ thuật giả mạo mới nhất chỉ sử dụng một URL tương tự - không cần giống hệt cũng có có thể nhắm mục tiêu ng?
?ời dùng đã truy cập
URL chính xác.Là một ngân hàng hoặc tổ chức tài chính, điều bắt buộc là phải tìm cách giảm thiểu các mối đe dọa về an toàn bảo mật thông tin trong khi vẫn có thể cung cấp cho khách hàng các tùy chọn công nghệ tiên tiến, thuận tiện nhất.“Các ngân hàng, tổ chức tài chính phải đầu tư mạnh về đào tạo, vừa để nâng cao kỹ năng chuyên môn cho đội kỹ sư bảo mật nội bộ, vừa để cập nhật kịp thời và liên tục các mối đe dọa, vấn đề bảo vệ d?
? li??u. Một mô hình quản lý bảo mật được khuyên dùng khác hiện nay là CsaaS (Cyber Security as a Service), cho phép tổ chức sử dụng một đội ngũ chuyên gia giàu kinh nghiệm và kỹ năng để đưa ra từng chiến lược an ninh mạng phù hợp. Đó cũng là mô hình của Dịch vụ chuyên gia bảo mật đang được VSEC cung cấp cho nhiều doanh nghiệp, tổ chức trong và ngoài nước”, chuyên gia VSEC Đào Minh Tuấn khuyến nghị.Vị Trưởng phòng công ngh
ệ b???o mật của Công ty VSEC cho biết thêm, trong quá trình áp dụng mô hình CSaaS, các chuyên gia sẽ nghiên cứu phân tích lỗ hổng, đánh giá an toàn thông tin hệ thống, từ đó có thể sớm đưa ra chiến lược phòng thủ nhiều lớp, đảm bảo hệ thống của tổ chức được bảo vệ toàn diện nhất.Ngoài ra, mô hình này cũng cung cấp các khóa đào tạo chuyên sâu về con ng?
?ời và quy trình. Những kẻ tấn công thường nhắm vào điểm yếu nhất của một tổ chức - là nhân viên của họ. Do đó, một cách tiếp cận pha trộn giữa công nghệ, quy trình và hành vi chia sẻ là cần thiết để thúc đẩy nhận thức và giáo dục rủi ro bảo mật cho nhân viên, góp phần chống lại mối đe dọa an ninh một cách hiệu quả.
Nguồn bài viết : Seaside Club
