Nhận định, soi kèo Amadora vs Farense, 21h30 ngày 13/4: Dìm khách xuống đáy

Theo quy định tại Thông tư 31, hoạt động giám sát an toàn HTTT phải đảm bảo các nguyên tắc: được thực hiện thường xuyên, liên tục; chủ động theo dõi, phân tích, phòng ngừa để kịp thời phát hiện, ngăn chặn rủi ro, sự cố ATTT mạng; đảm bảo hoạt động ổn định, bí mật cho thông tin được cung cấp, trao đổi trong quá trình giám sát.

Đồng thời, đảm bảo có sự điều phối, kết hợp chặt chẽ, hiệu quả giữa hoạt động giám sát của Bộ TT&TT và hoạt động giám sát của chủ quản HTTT; từng bước xây dựng khả năng liên thông giữa hệ thống giám sát Bộ TT&TT và hệ thống giám sát của chủ quản HTTT trên phạm vi toàn quốc.

Hoạt động giám sát an toàn HTTT được thực hiện qua phương thức giám sát trực tiếp hoặc gián tiếp. Chủ quản HTTT có thể trực tiếp triển khai hoặc thuê dịch vụ giám sát. Trường hợp cần thiết, căn cứ vào năng lực, tình hình và nguồn lực thực tế, chủ quản HTTT đề nghị các đơn vị chức năng liên quan của Bộ TT&TT hỗ trợ giám sát phù hợp với nguồn lực thực tế.

Trong đó, giám sát trực tiếp là hoạt động giám sát được tiến hành bằng cách đặt các thiết bị có chức năng phân tích luồng dữ liệu (quan trắc), thu nhận trực tiếp thông tin nhật ký, cảnh báo hệ thống được giám sát để phát hiện ra các dấu hiệu tấn công, rủi ro, sự cố ATTT mạng. Giám sát gián tiếp là hoạt động giám sát thực hiện các kỹ thuật thu thập thông  tin từ các nguồn thông tin có liên quan; kiểm tra, rà soát đối tượng cần giám sát để phát hiện tình trạng hoạt động, khả năng đáp ứng và kết hợp với một số yếu tố khác có liên quan để phân tích nhằm phát hiện ra các tấn công, rủi ro, sự cố ATTT mạng.

Từ nỗi lo thường trực về bảo mật

Sự việc Vietnam Airlines bị tấn công buộc một số ngân hàng phải khoá thanh toán online của chủ thẻ tín dụng có giao dịch với Vietnam Airlines năm 2016 hay các vụ tài khoản thẻ ngân hàng của một số ngân hàng “bỗng dưng bốc hơi” đang là mối lo an ninh bảo mật thường trực trong ngành ngân hàng, thanh toán điện tử.

Mới đây nhất, hãng bảo mật Kaspersky Việt Nam đã lên tiếng cảnh báo về những nhóm hacker chuyên thực hiện những cuộc tấn công có chủ đích (APT) đã tấn công thành công các ngân hàng, tổ chức tài chính ở Châu Á Thái Bình Dương, trong đó có Việt Nam. Đó là các cuộc tấn công chống lại cơ sở hạ tầng ATM, máy chủ SWIFT hoặc cơ sở dữ liệu với các giao dịch và thông tin thẻ ghi nợ, thẻ tín dụng. Tổn thất chính xác về tài chính hiện chưa thể tính toán được.

Còn theo Cục An toàn thông tin (Bộ TT&TT), từ đầu năm 2017 đến nay, đã phát hiện và ghi nhận nhiều chiến dịch tấn công nhằm vào ứng dụng trên nền tảng Android, đặc biệt là ứng dụng ngân hàng trực tuyến. Các chuyên gia về an toàn thông tin và nhiều tổ chức đã phát hiện, ghi nhận nhiều biến thể nguy hiểm của các dòng mã độc ngân hàng trên nền tảng Android: Faketoken, Svpeng, BankBot, AceCard… những dòng mã độc này có khả năng đe dọa rất lớn đối với người dùng sử dụng ứng dụng ngân hàng trực tuyến.

Ông Nguyễn Thành Hưng, Thứ trưởng Bộ TT&TT đánh giá: “Vài năm trước đây, các cuộc tấn công mạng nhằm vào thanh toán điện tử mới gây thiệt hại nhỏ thì nay đã lên tới hàng trăm triệu, thậm chí hàng tỉ đồng, Đây thực sự là nguy cơ đe dọa đối với sự phát triển lành mạnh và ổn định của thị trường thanh toán điện tử nói riêng và cả lĩnh vực ngân hàng nói chung”.

Ông Hà Thế Phương, Phó Tổng giám đốc CMC InfoSec cũng khuyến cáo, các ngân hàng, tổ chức tài chính, thanh toán Việt Nam phải có chứng chỉ bảo mật thẻ theo tiêu chuẩn thế giới PCI DSS. Đây là tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý bởi 5 tổ chức thanh toán quốc tế như Visa, MasterCard, American Express, Discover và JCB.

Thiết lập “tường thành” Data Center

Tiêu chuẩn PCI DSS được coi như là một “công cụ” giúp các ngân hàng, hệ thống thanh toán điện tử, thương mại điện tử… chống chọi lại với nguy cơ bị tấn công. Tiêu chuẩn PCI DSS được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép. PCI DSS sẽ giúp cho các doanh nghiệp hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ.