• Thứ Ba, 01/09/2009 06:50 (GMT+7)

    Xem bảo mật là khoản đầu tư

    Bảo mật (BM) luôn là vấn đề đau đầu của các ngân hàng (NH) Việt Nam và NH Công thương (Vietinbank) cũng không là ngoại lệ! Nhưng những định hướng chung về BM của Vietinbank đã được triển khai thành những giải pháp đồng bộ từ thiết bị, công nghệ, quy trình đến con người.

    Kết hợp công nghệ và chính sách

    Ông Phạm Anh Tuấn, phó tổng giám đốc Vietinbank nói, trong khi các NH lớn ở nước ngoài đã có kinh nghiệm nhiều thập kỷ về công nghệ BM và quản trị rủi ro (đặc biệt là những rủi ro mới do việc áp dụng công nghệ triển khai các dịch vụ NH điện tử đem lại), thì an toàn (AT) BM chưa bao giờ được coi là thế mạnh của NH Việt Nam.

    Vietinbank sớm nhận thức được tầm quan trọng của công tác BM nên đã quan tâm đầu tư nghiêm túc cho lĩnh vực này. Các hệ thống phân tán trước đây của Vietinbank đã được thay thế dần bằng các hệ thống quản lý tập trung. Tập trung hóa giúp tăng hiệu quả quản lý, nhưng lại tiềm ẩn rủi ro cao hơn đối với toàn bộ hệ thống. Vì thế, Vietinbank xác định ATBM là ưu tiên hàng đầu khi thiết kế, xây dựng và cung cấp các hệ thống, dịch vụ. Do không có hệ thống nào an toàn tuyệt đối nên trên diện rộng, vấn đề BM phải được xem xét trong mối quan hệ hữu cơ với công tác quản lý rủi ro của cả NH: BM không chỉ là đảm bảo hệ thống vận hành thông suốt an toàn mà còn phải giúp rà soát, quản trị rủi ro hiệu quả mọi hoạt động, dịch vụ NH.

    Bên cạnh đó, ban lãnh đạoVietinbank nhận thức được rằng không có một mô hình chính xác phù hợp cho tất cả các hệ thống. Vì vậy, đơn vị đã áp dụng giải pháp gồm hai điểm kết hợp:

    1. Để đảm bảo ATBM phải kết hợp cả công nghệ và chính sách

    2. ATBM là một quá trình, không có kết thúc, nó không phải là một vấn đề có thể giải quyết một lần.

    Do vậy, từ 2001, Vietinbank đã triển khai chiến lược đảm bảo ATBM tổng thể, bảo vệ theo chiều sâu. Đó là sự kết hợp của nhiều thành phần BM khác nhau: BM vật lý, hạ tầng, hệ thống, host, ứng dụng, dữ liệu, BM cho người dùng... Yêu cầu BM luôn có khả năng xung đột với mong muốn thực hiện các công việc đơn giản, nhanh chóng nên từ đầu, Vietinbank đã xác định tính khả thi là yêu cầu bắt buộc của mọi giải pháp, chính sách BM . Tính khả thi được xem xét dựa trên những tiêu chí căn bản sau: phức tạp ở mức chấp nhận được; độ trễ do các hoạt động BM chấp nhận được; dễ quản lý; có cơ chế tạo báo cáo, giám sát; có cơ chế cảnh báo rõ ràng; và chi phí tương ứng với đối tượng cần bảo vệ.

    Giải pháp đồng bộ

    Ông Tuấn cho biết, những định hướng chung về BM của Vietinbank đã được triển khai thành những giải pháp đồng bộ từ thiết bị, công nghệ, quy trình cho đến con người. Vietinbank đã áp dụng các nhóm giải pháp sau:

    1. Xây dựng hành lang pháp lý đối với các hoạt động NH bao gồm: quy chế, chính sách, các tiêu chuẩn về ATBM thông tin

    2. Xây dựng một cơ chế quản lý (QL) tài nguyên hệ thống và các nguy cơ tương ứng đối với các tài nguyên đó

    3. Xây dựng cơ chế QL và kiểm soát AT thông tin với quy trình quản trị hệ thống và ứng dụng các PM QL chính sách

    Về công nghệ:

    4. Kiểm soát truy cập: Thiết lập cơ chế kiểm soát chứng thực người dùng nhiều vòng trước khi cho phép truy cập vào hệ thống. Không chỉ giới hạn trong việc xác thực người dùng, Vietinbank còn triển khai hệ thống NAC (Network Admission Cisco) để kiểm soát mọi máy tính truy cập vào hệ thống mạng. Tất cả các máy móc thiết bị kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh (do Vietinbank quy định) đều bị chặn lại hoặc cô lập và được thông báo cho người quản trị

    5. Fiewall: Hiện Vietinbank có hàng trăm firewall các loại được triển khai ở vùng core banking, vùng NH điện tử và tại các chi nhánh tạo ra các vùng biên giữa các hệ thống để hạn chế và giám sát luồng hiệu quả, thiết lập các chính sách kết nối rất phức tạp và khắt khe nhằm đảm bảo AT hệ thống

     
    “Chi phí đầu tư cho hệ thống BM của NH không nhỏ, đụng chạm đến nhiều bộ phận, quy trình ở mọi cấp độ trong khi hiệu quả không đo đếm được. Công tác ATBM thông tin thường dễ bị phản đối, gạt bỏ hay chệch hướng. Do vậy, cần phải có sự quyết tâm của ban lãnh đạo và cộng đồng, đặc biệt cần phải coi BM như một khoản đầu tư!”, ông Phạm Anh Tuấn.

    6. Lọc nội dung: Sử dụng các công cụ PM lọc bỏ và cấm truy xuất vào các nguồn thông tin hoặc tài liệu không thích hợp cho công việc

    7. Xây dựng các hệ thống phòng chống và phát hiện xâm nhập

    8. Các hệ thống quét virus, antispyware, antispam...

    9. Thực hiện các cơ chế mã hóa thông tin, xây dựng hạ tầng PKI

    10. Thường xuyên dò tìm, phát hiện lỗ hổng hệ thống

    11. Thiết lập hệ thống cung cấp bản vá lỗ hổng BM

    12. Xây dựng cơ chế dự phòng và phục hồi hệ thống, đảm bảo tính liên tục của hệ thống

    Song song đó Vietinbank còn có các quy định, chính sách BM cho người dùng cuối được hỗ trợ một cách hiệu quả bằng hệ thống công nghệ có khả năng QL chặt chẽ hệ thống máy trạm, giúp ngăn chặn những sơ hở về BM từ người dùng. Ngoài ra, những quy trình cho đội ngũ CNTT như: lập trình, hỗ trợ kỹ thuật, sao lưu và phục hồi dữ liệu... cũng được rà soát, chỉnh sửa theo hướng chuẩn hóa, nâng cao tính BM.

    Ngăn chặn nguy cơ

    Ông Tuấn cho biết, những giải pháp đồng bộ trên góp phần ngăn chặn và kiểm soát các nguy cơ bảo mật truyền thống. Theo thống kê không chính thức, các hình thức tấn công DoS vào hệ thống website và email của Vietinbank đã xuất hiện lẻ tẻ và làm gián đoạn hệ thống không ít lần. Các tấn công dạng xâm nhập cũng là một nguy cơ nan giải vì hệ thống bao gồm nhiều cấu phần phần cứng/mềm phức tạp và khả năng tồn tại các lỗ hổng BM khó tránh khỏi. Thống kê của bộ phận quản trị hệ thống antivirus của Vietinbank cho thấy hàng ngày hơn 13 ngàn virus, gần 40 spyware/grayware các loại, cộng với gần 67 ngàn email spam phát hiện được trên toàn hệ thống. Với nỗ lực chuẩn hóa hạ tầng, phân vùng/kiểm soát truy cập mạng, kiểm soát các cửa ngõ, các phân vùng quan trọng cùng với sự giám sát thường xuyên, phản ứng kịp thời của các cán bộ kỹ thuật, những nguy cơ trên đã được ngăn chặn và đẩy lùi có hiệu quả, góp phần đảm bảo sự vận hành thông suốt của toàn hệ thống.

       
    Ngày 10/7/2009, tại TP.HCM đã diễn ra hội thảo “Các giải pháp BM trong hệ thống NH và thương mại điện tử”, do Worldsoft và NH Nhà Nước tổ chức. Một số giải pháp BM mới nhất năm 2009 đã được giới thiệu như: nhận dạng hành vi ăn cắp dữ liệu (Identity Theft); vô hiệu hóa các chức năng của hệ thống (Denial-of-Service); Buffer Overflow; tình trạng không được bảo vệ (Vulnerabilities); sự an toàn của máy rút tiền tự động (ATM Security); sự xâm nhập hệ thống (System intrusion) các PM có ẩn chứa tính năng xấu gây nguy hại cho máy tính và người sử dụng chúng như đánh cắp thông tin cá nhân, mở các cổng để hacker xâm nhập... Ngoài ra có các giải pháp cụ thể như: xác nhận người sử dụng; chữ ký điện tử; hai giao thức để truyền tải thông tin AT qua mạng là TSL và SSL; phát hiện sự xâm nhập trái phép; PM của hệ thống dò tìm xâm nhập trái phép; cơ sở hạ tầng cho an ninh mạng...

    Do vậy, Vietinbank đã triển khai được những dịch vụ thanh toán qua Internet như: dịch vụ nhờ thu trước đây (thu nợ theo yêu cầu của khách hàng) và InternetBanking hiện nay. Vietinban cũng đã mạnh dạn đem lại cho khách hàng khả năng đăng ký sử dụng dịch vụ vấn tin ATM trực tuyến, không cần đến NH. Ông Tuấn chia sẻ, cần có đội ngũ cán bộ chuyên sâu có kỹ năng tốt và tách biệt giữa chức năng vận hành với chức năng BM (để tránh tình trạng vừa đá bóng vừa thổi còi, để đội ngũ BM có cái nhìn sáng suốt của người ngoài cuộc). Dĩ nhiên, điều quan trọng là việc tách biệt chức năng không được phép dẫn đến xung đột giữa bộ phận triển khai, vận hành dịch vụ với đội ngũ BM. Nếu giữ tư tưởng cực đoan, nhìn đâu cũng thấy nguy cơ BM và muốn loại trừ 100% rủi ro - điều không thể có được - thì không thể phát triển dịch vụ.

    Hải Thanh

    ID: B0908_63