Ngân hàng Nhà nước xây dựng Thông tư về bảo mật thiết bị thanh toán thẻ
Ngân hàng Nhà nước đang xây dựng dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư 47/2014 quy định các yêu cầu kỹ thuật về an toàn bảo mật với trang thiết bị phục vụ thanh toán thẻ ngân hàng.
Thay đổi từ định nghĩa đến các quy định cụ thể
Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư 47/2014 của Thống đốc Ngân hàng Nhà nước Việt Nam đang được đăng tải tại Cổng thông tin điện tử Chính phủ để lấy ý kiến của các cơ quan, tổ chức doanh nghiệp và người dân.
Tại dự thảo, định nghĩa về “mã hóa mạnh” được cập nhật, điều chỉnh độ dài khóa đối với thuật toán TDES và EEC nhằm tăng tính bảo mật cho các thuật toán. Theo đó, khoản 9 Điều 2 của Thông tư 47 được đề nghị sửa thành “Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (128 bit); TDES (168 bit); RSA (2048 bit); ECC (224 bit); ElGamal (2048 bit)”.
Dự thảo Thông tư mới đề xuất bổ sung quy định về việc che giấu địa chỉ mạng nội bộ và thông tin về bảng định tuyến nội bộ nhằm giảm thiểu rủi ro an ninh mạng (điểm d khoản 1 Điều 3); đồng thời bổ sung quy định về ngăn chặn kết nối Internet của các máy trạm có quyền truy cập vào dữ liệu thẻ dạng rõ nhằm giảm thiểu rủi ro an ninh mạng liên quan đến lộ lọt dữ liệu thẻ (điểm a khoản 2 Điều 3).
Tại Điều 4 của Thông tư 47/2014 quy định về “Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ”, Ngân hàng Nhà nước đề nghị bổ sung quy định về mã hóa kết nối truy cập quản trị từ xa để giảm thiểu rủi ro an ninh mạng.
Về quy định an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ, dự thảo Thông tư mới bổ sung quy định về đánh giá công nghệ phần mềm. Cụ thể là sẽ xem xét công nghệ phần mềm ít nhất 1 năm/lần để xác định chúng vẫn được hỗ trợ bởi nhà sản xuất và có thể đáp ứng yêu cầu bảo mật. Nếu phát hiện không còn được nhà cung cấp hỗ trợ hoặc không đáp ứng nhu cầu bảo mật cần lên kế hoạch khắc phục và thay thế.
Ngân hàng Nhà nước dự định sửa đổi khoản 1 và điểm e của khoản 4. Để giảm thiểu rủi ro an ninh mạng, yêu cầu về truy cập vào hệ thống thanh toán thẻ được đề xuất sửa đổi thành “Việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học” (khoản 1 Điều 6). Ngoài ra, bổ sung nội dung về tài khoản không hoạt động trong khoảng thời gian dài nhằm giảm thiểu rủi ro an ninh mạng: “Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian” (điểm e khoản 4 Điều 6).
Ngân hàng Nhà nước cũng đề xuất bổ sung yêu cầu cụ thể về che giấu thông tin thẻ và kiểm soát nhân sự có quyền khai thác thông tin thẻ. Số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho một số hạn chế nhân viên có thẩm quyền để thao tác nghiệp vụ hoặc khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ. Tổ chức phải lập danh sách các nhân viên có quyền xem số thẻ đầy đủ và thu hồi quyền xem số thẻ đầy đủ ngay khi nhân viên thay đổi vị trí công việc.
Quy định mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài cũng được sửa đổi để phù hợp với sự thay đổi của quy định về mã hóa mạnh. Dự thảo Thông tư mới quy định: “Sử dụng các phương thức mã hóa mạnh và giao thức bảo mật an toàn để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di động và các mạng khác)”.
Đối với quy định hạn chế quyền truy cập vật lý tới dữ liệu thẻ (Điều 17 Thông tư 47/2014), dự thảo Thông tư mới bổ sung quy định về bảo vệ các biện pháp giám sát vật lý: “Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Camera hoặc biện pháp giám sát khác phải được bảo vệ khỏi việc phá hoại hoặc vô hiệu hóa. Các dữ liệu giám sát phải được lưu trữ tối thiểu 3 tháng”.
Chuyên gia khuyến cáo về bảo mật dữ liệu trong lĩnh vực tài chính ngân hàng
Theo các chuyên gia bảo mật, các thông tin, dữ liệu cá nhân bị rò rỉ có khả năng bị lợi dụng để thực hiện những hành vi lừa đảo, thậm chí các hacker có kỹ thuật tốt có thể sử dụng nguồn dữ liệu này để tạo ra wordlist (danh sách mật khẩu) giúp cho việc thực hiện tấn công brute force (dò mật khẩu). Trong khi đó, công tác đảm bảo an toàn thông tin, bảo mật dữ liệu ở một số tổ chức tài chính - ngân hàng tại Việt Nam hiện vẫn chưa được chú trọng đúng mức.
Đối với người dùng khi tham gia sử dụng các dịch vụ tài chính ngân hàng hay bất cứ dịch vụ nào khác, các chuyên gia khuyến nghị người dùng cần thực hiện những biện pháp sau để tự bảo vệ thông tin, dữ liệu của bản thân như: luôn luôn sử dụng chức năng xác thực nhiều lớp, OTP, các chức năng bảo mật khác của nhà cung cấp dich vụ; không sử dụng mật khẩu có liên quan đến thông tin cá nhân như ngày sinh, số điện thoại.
Người dùng cũng được khuyến cáo tuyệt đối không cung cấp bất kỳ thông tin liên quan đến tài khoản, mật khẩu cho người khác khi được hỏi kể cả với nhân viên ngân hàng; đồng thời luôn luôn cảnh giác với các email, tin nhắn lạ, các đường link yêu cầu xác thực để truy cập.
Nhiều chuyên gia tài chính, ngân hàng cho rằng, khi chào mời khách hàng mở thẻ, các ngân hàng cần lưu ý những vấn đề quan trọng như: trường hợp nào người khác có thể sử dụng, khả năng mất tiền... Thực trạng nhiều người mất tiền khi thẻ vẫn nằm trong túi đã khiến cho không ít khách hàng lo ngại về bảo mật. Về quy trình, khi bên bán chuyển hồ sơ/thông tin thanh toán thẻ, ngân hàng sẽ rà soát chữ ký hoặc cashier tại quầy sẽ kiểm tra chữ ký đối chiếu với chữ ký sau thẻ. Nhưng ở Việt Nam, các khâu có vẻ dễ dãi hơn và bản thân chủ thẻ cũng không bảo mật thông tin cá nhân. Bên cạnh đó, quy trình phát thẻ của ngân hàng nên có vài điểm cần thay đổi. Chẳng hạn như chuyện đưa thẻ cho người khác thanh toán, ngân hàng có thể yêu cầu bên nhận thanh toán phải thực hiện thanh toán tại bàn/tại quầy có mặt của khách hàng.