Gửi lúc: 13/02/2019 15:26:05
Bookmark and Share

Cách tiếp cận mới để tăng cường bảo mật cho các ứng dụng di động trong ngành ngân hàng

Trong năm 2018, gần như tất cả các tổ chức tài chính đã cung cấp các dịch vụ ngân hàng thông qua các ứng dụng di động. Theo khảo sát của Cục Dự trữ Liên bang Mỹ (FED) đối với 706 tổ chức tài chính tại nước này, lý do chủ yếu của việc các tổ chức tài chính phải hướng đến việc cung cấp các dịch vụ thông qua các ứng dụng di động bao gồm: giữ chân khách hàng hiện tại, đáp ứng áp lực cạnh tranh và chi phí, thu hút khách hàng mới và dẫn đầu thị trường về công nghệ trong thời đại thế giới đang bùng nổ cách mạng công nghiệp 4.0.

Tuy nhiên, vấn đề an toàn, bảo mật cho các ứng dụng này đang là vấn đề nhức nhối, đặt ra cho các tổ chức nhiều thách thức. Nhất là đối với các tổ chức hoạt động trong các nước Hồi giáo, vấn đề này càng được coi trọng, do thông tin khách hàng tại các quốc gia này là điều “cần được bảo vệ như các thông tin quân sự”.



Sự lo ngại về độ an toàn các ứng dụng di động trong ngành ngân hàng

Với các ứng dụng di động ngân hàng chứa dữ liệu cá nhân như tài khoản thẻ thanh toán, địa chỉ và các thông tin cá nhân khác, vấn đề an toàn là thách thức hàng đầu. Theo khảo sát của FED tỷ lệ khách hàng sử dụng các ứng dụng ngân hàng của các tổ chức tài chính tại Mỹ mới chỉ đạt mức 20% hoặc ít hơn. Trong đó, chỉ có 56% các tổ chức cho biết, có 8% các ứng dụng của họ có báo cáo tỷ lệ sử dụng đạt trên 50%. Điều này cũng không có gì bất ngờ, bởi người tiêu dùng có quyền lo ngại dữ liệu cá nhân của họ do không được đảm bảo an toàn trong các ứng dụng di động ngân hàng, trong đó phổ biến nhất là bị vi phạm dữ liệu thông qua các khai thác tiềm năng trong mã ứng dụng bằng kỹ thuật dịch ngược (through reverse engineering). Hơn nữa, việc bị vi phạm dữ liệu các ứng dụng di động ngân hàng không chỉ ảnh hưởng đến dữ liệu cá nhân của người dùng mà còn gây thiệt hại về niềm tin đối với khách hàng của họ vì đa số người dùng sử dụng các ứng dụng ngân hàng với mục đích tăng năng suất và sự tiện lợi cho công việc của họ. Nó có thể gây thiệt hại đáng kể cho thương hiệu dẫn đến doanh thu bị mất, làm tăng chi phí để giải quyết vi phạm và các khoản nợ khác.

Không có giải pháp toàn diện cho tất cả 

Do đặc thù kinh doanh của mình, các tổ chức dịch vụ tài chính là một trong những lĩnh vực cần có các ứng dụng di động được bảo vệ tốt nhất, nhằm ngăn chặn các mối đe dọa công nghệ. Tuy nhiên, không có giải pháp toàn diện nào có thể làm tất cả những việc đó trong cùng một ứng dụng. Điện thoại di động thông minh luôn tiềm tàng nhiều mối đe dọa khác nhau, đòi hỏi các công nghệ, giải pháp và quy trình khác nhau để bảo vệ cho cả hệ thống. Việc bảo mật ứng dụng di động yêu cầu một cách tiếp cận nhiều lớp để bảo mật toàn bộ ngăn xếp giao thức. Mặc dù đây là một vấn đề lớn, nhưng hiện tại các cuộc thảo luận về các ứng dụng di động ngân hàng mới chỉ tập trung vào một nhóm nhỏ các biện pháp bảo vệ được cung cấp bên ngoài như sử dụng dấu vân tay để xác thực thiết bị, sử dụng xác thực đa yếu tố và mã hóa để bảo vệ dữ liệu nhạy cảm.

Cách tiếp cận mới để tăng cường bảo mật cho ứng dụng di động ngân hàng 

Để có thể tăng cường bảo mật cho các ứng dụng di động, nhất là đối với các ứng dụng di động ngân hàng cần một cách tiếp cận mới. Trong đó, cần cung cấp được ba lợi ích sau: 

- Lợi ích đầu tiên là ngăn chặn kỹ thuật dịch ngược giả mạo để tránh bị vi phạm và đánh cắp dữ liệu của ứng dụng. Điều này có thể thực hiện bằng cách làm “cứng hóa” các ứng dụng di động sau khi hoàn thành coding, đảm bảo bên trong ứng dụng có chứa một hệ thống các biện pháp bảo vệ được nhúng vào ứng dụng.

- Lợi ích thứ hai là ngăn chặn các thỏa hiệp API (Application Programming Interface) và việc đánh cắp tài sản trí tuệ (mã nguồn) hoặc thông tin nhận dạng cá nhân. Điều này có thể thực hiện bằng cách sử dụng dữ liệu toàn diện (comprehensive data) và mã hóa khóa sử dụng mật mã hộp trắng (white-box cryptography).

- Lợi ích cuối cùng là mỗi ứng dụng cần được bảo vệ bởi chính thiết bị của người dùng và đường truyền của nhà mạng. Các nhà phát triển ứng dụng cần thường xuyên cập nhật lỗ hổng, bản vá cho ứng dụng của mình trước các mối đe dọa mới cũng như cung cấp đầy đủ việc phân tích dữ liệu và hiển thị mối đe dọa theo thời gian thực đối với các tổ chức sử dụng ứng dụng của mình khi cần thiết.

- Với cách tiếp cận mới này, sẽ đảm bảo các ứng dụng di động trong ngân hàng được tăng cường chức năng đảm bảo an toàn và làm “cứng hóa” ít nhất một lần sau khi hoàn thành coding. Bằng cách này, độ tin cậy của ứng dụng sẽ được giả định là “zero trust” (không dựa trên niềm tin) trong tất cả các thiết bị chạy ứng dụng, dù ở bên trong hay bên ngoài các vành đai bảo vệ truyền thống. Các phân đoạn mã, được gọi là “Guard” sẽ cung cấp ở mức cao về: sự quan tâm đến độ an toàn (security awareness), điều tra, bảo vệ và thu thập dữ liệu các sự kiện an toàn ứng dụng cho các phân tích khi một ứng dụng bị tấn công. Khi mạng “Guard” được tạo, việc thực hiện cập nhật lỗ hổng cho các phiên bản ứng dụng tiếp theo sẽ đơn giản hơn rất nhiều, do việc triển khai lại ứng dụng “cứng hóa” và bảo mật cho mỗi lần sửa đổi code mới sẽ được thực hiện tự động.

Hiển thị và phân tích 
thời gian thực 

Hiện tại, đây là cách duy nhất giúp các nhà phát triển ứng dụng ghi lại thông tin có giá trị về hoạt động của ứng dụng sau khi nó được cài đặt và sử dụng. Dữ liệu này sẽ giúp nhà phát triển theo dõi việc hoạt động của ứng dụng có thể bị thay đổi như thế nào trong khi bị tấn công. Một yếu tố tích cực khác của việc này là nó có khả năng xác định các vectơ tấn công phổ biến nhất và các mục tiêu tấn công mà kẻ tấn công nhắm tới, giúp các nhà phát triển và các tổ chức tài chính kiểm soát được các ứng dụng, đưa ra các biện pháp phòng thủ và điều chỉnh các tính năng đảm bảo an toàn thông tin cho ứng dụng của họ.

Kết luận 

Nhu cầu cấp thiết về độ an toàn cao đối với các ứng dụng ngân hàng di động hiện đang là một thách thức lớn. Các ngân hàng và các tổ chức tài chính khác nếu không có khả năng hiển thị và phân tích theo thời gian thực để theo dõi tình trạng an toàn thông tin của các ứng dụng sẽ dễ bị tấn công và mất dữ liệu. Đây là một rủi ro lớn vì nó có thể dẫn đến nhiều vụ tấn công và vi phạm dữ liệu cá nhân. Các tổ chức tài chính nên làm theo các bước được đề cập phía trên để khắc phục các điểm yếu này nhằm tránh mất cả dữ liệu và niềm tin của khách hàng.

Bùi Lê Nhật (Ngân hàng BIDV) theo “A new approach for secure mobile banking apps“ Mark Noctor - CTA, Singapore, 12/2018