TS Nguyễn Quang A: “Tấn công hệ thống thông tin của Ngân hàng: Không phải dễ!”

PV: Thưa ông, đánh giá của ông về vấn đề bảo mật hiện nay trong những ngân hàng ở Việt Nam là như thế nào? TS. Nguyễn Quang A: Tôi nghĩ là, thuật ngữ bảo mật dùng ở Việt Nam chưa chắc đã phải là đúng. Vấn đề gọi là bảo vệ dữ liệu thì chính xác hơn, bởi vì có những dữ liệu mà mình phải bảo vệ tính trọn vẹn của nó, để đừng có người thứ hai, người thứ ba ở đâu đó vào thay đổi, sửa chữa, thậm chí lấy nó đi. Có thể thông tin đó không có gì là thông tin mật cả. Còn cái gọi là bảo mật lại là một chuyện khác hoàn toàn, hai cái chuyện dính với nhau nhưng không phải là một chuyện. Có lẽ là nói về lĩnh vực bảo vệ dữ liệu nói chung, cái khái niệm nói rộng hơn, thì tôi nghĩ là trong cái thế giới mà tất cả mọi máy tính đều nối mạng, từ ngân hàng cho đến các doanh nghiệp, cho đến các hệ thống thông tin của Nhà nước để cho người dân, để cho khách hàng có thể tiếp cận được, bằng cách này hay cách khác. Và như thế là nó được phơi ra cho rất nhiều khả năng tấn công của những người mà không thực sự có thẩm quyền để mà vào hệ thống, có thể sửa đổi, có thể đánh cắp hoặc thay đổi dữ liệu. Thì đấy là một thách thức rất lớn đối với tất cả các hệ thống thông tin hiện nay ở trên khắp thế giới chứ không chỉ ở Việt Nam. Riêng với hệ thống Ngân hàng thì còn phức tạp hơn nữa là bởi vì đó là hệ thống giữ tiền bạc của khách hàng, quản lý tiền bạc của khách hàng, cho nên ngoài chuyện phải bảo vệ dữ liệu để cho dữ liệu được nguyên vẹn, không bị suy chuyển, không bị thay đổi thì nó còn có một chức năng nữa là bảo mật. Tức là, nếu nó có thể tiếp cận được thì người không có thẩm quyền sẽ không đọc được nếu không có một mã nhất định, với ngân hàng thì có thêm chức năng đó nữa và tất nhiên nhiều hệ thống khác cũng có chức năng đó. Hệ thống thông tin ở trong ngân hàng thường là những hệ thống rất là đặc biệt và tốn công phát triển, tốn khá là nhiều tiền để mua, để phát triển và để bảo hành, bảo trì. Hiện nay, các ngân hàng thương mại của Việt Nam hầu hết đã xây dựng được hệt thống gọi là hệ thống lõi của mình và đều dùng những phần mềm của các hãng khá là nổi tiếng trên thế giới và theo tôi biết tất cả các ngân hàng cũng đều rất quan tâm đến vấn đề quản trị dữ liệu, làm sao giữ cho dữ liệu đó được an toàn và bảo mật. Với sự tích cực như thế của các ngân hàng nói chung thì khách hàng có thể yên tâm về tiền của mình, tài khoản của mình, yên tâm về mọi thông tin của mình. Và có thể yên tâm sử dụng những dịch vụ trực tuyến của ngân hàng. PV: Trong lĩnh vực ngân hàng, chúng ta đã bị cuộc tấn công nào có thể nói là nghiêm trọng chưa, thưa ông? TS. Nguyễn Quang A: Hiện nay, tôi chưa biết có một vụ tấn công lớn nào đối với ngân hàng Việt Nam. Ngân hàng Việt Nam đã xảy những sự cố, nhưng mà những sự cố đó đều là do bản thân người từ trong ngân hàng, chứ còn từ bên ngoài thâm nhập vào thì theo tôi biết là chưa có. Có những âm mưu để xâm nhập hệ thống thẻ, đánh cắp số thẻ đều đã bị phát hiện và ngăn chặn ngay và cũng chưa gây ra hậu quả gì nghiêm trọng. Cái tấn công vào hệ thống ngân hàng thì có lẽ chủ yếu giống như của các hệ thống khác là vào trang web của ngân hàng, tức là cổng để giao tiếp với ngân hàng với khách hàng, thì cái đấy là tương đối là rộng rãi đối với người bên ngoài. Thì cái đó tôi nghĩ là có thể có, nhưng mà với một trang web, khi bị sập thì cũng là một điều rất đáng lo ngại, bởi đó là cổng để có thể đi vào các dịch vụ khác của ngân hàng, nhưng đó mới chỉ là phần bên ngoài thôi. Chứ còn thâm nhập sâu vào bên trong hệ thống thông tin của ngân hàng thì tôi nghĩ rằng không phải là dễ. PV: Gần đây nhất, BKAV đã nghiên cứu và đưa ra kết quả là 100% các ngân hàng ở Việt Nam đều có lỗ hổng về bảo mật, vậy ông nghĩ sao về vấn đề này? Thêm nữa, BKAV cho rằng các giao dịch điện tử của chúng ta mới chỉ dừng ở việc “Check in - Check out” của việc kiểm tra tài khoản thôi, chứ chưa tiến tới những giao dịch khác? TS. Nguyễn Quang A: Có lẽ đúng một phần, bởi vì giao dịch của ngân hàng Việt Nam, với giao dịch trực tuyến từ một máy Notebook ở đâu rất là xa, có thể vào kiểm tra tài khoản, rồi chuyển khoản nơi này sang nơi nọ, thì các ngân hàng Việt Nam chưa đạt được đến cái trình độ như vậy. Và khi thực hiện những dịch vụ như thế thì đúng là phải đi sâu vào nghiệp vụ, đi sâu vào hệ thống của ngân hàng một chút. Nhưng mà theo tôi biết, tất cả các hệ thông đều đi vào một cái mà người ta gọi là cái vỏ ở bên ngoài, rồi sau đó còn qua 3-4 nấc nữa. Cho nên tôi nghĩ là để vào sâu mà phá hoại hệ thống thông tin của ngân hàng không phải là dễ. Còn nhận xét của BKAV thì tôi nghĩ có thể là trang web, có thể là một số dịch vụ rất là thông thường, giống như là vào trang thông tin của Chính phủ chẳng hạn, thì đúng là với những trang web đó, để mà chống virus, chống xâm nhập trái phép, thì hệ thống thông tin của Việt Nam, hệ thống nào cũng có thể có lỗ hổng cả, và cần phải hết sức chú ý. PV: Ông đánh giá thế nào về những giải pháp bảo mật được đưa ra hiện nay? TS. Nguyễn Quang A: Thực sự những giải pháp người ta đưa ra trong ngày hôm nay đều là những công ty có tiếng trên thế giới và họ đã có rất nhiều kinh nghiệm. Đó là những giải pháp có thể sử dụng tốt, tuy nhiên, việc sử dụng như thế nào mới là quan trọng. Và tôi nghĩ rằng, vấn đề an toàn, an ninh số liệu nó không đơn giản ở một cái giải pháp, mà nó là một cái hệ thống các giải pháp, và quan trọng nhất tổ chức hệ thống của từng đơn vị: Cái quy trình của nó ra sao, cái cẩm nang của nó như thế nào, cái phân quyền của nó ra sao, cái kiểm tra thế nào… Và khi có sự cố, thì những kịch bản ứng phó phải như thế nào? Đấy là tất cả những vấn đề về con người, về thủ tục, về tổ chức, chứ không phải là vấn đề ở một cái thiết bị hay là một cái phần mềm. Chu Tấn