Sự lo ngại về độ an toàn các ứng dụng di động trong ngành ngân hàng
Với các ứng dụng di động ngân hàng chứa dữ liệu cá nhân như tài khoản thẻ thanh toán, địa chỉ và các thông tin cá nhân khác, vấn đề an toàn là thách thức hàng đầu. Theo khảo sát của FED tỷ lệ khách hàng sử dụng các ứng dụng ngân hàng của các tổ chức tài chính tại Mỹ mới chỉ đạt mức 20% hoặc ít hơn. Trong đó, chỉ có 56% các tổ chức cho biết, có 8% các ứng dụng của họ có báo cáo tỷ lệ sử dụng đạt trên 50%. Điều này cũng không có gì bất ngờ, bởi người tiêu dùng có quyền lo ngại dữ liệu cá nhân của họ do không được đảm bảo an toàn trong các ứng dụng di động ngân hàng, trong đó phổ biến nhất là bị vi phạm dữ liệu thông qua các khai thác tiềm năng trong mã ứng dụng bằng kỹ thuật dịch ngược (through reverse engineering). Hơn nữa, việc bị vi phạm dữ liệu các ứng dụng di động ngân hàng không chỉ ảnh hưởng đến dữ liệu cá nhân của người dùng mà còn gây thiệt hại về niềm tin đối với khách hàng của họ vì đa số người dùng sử dụng các ứng dụng ngân hàng với mục đích tăng năng suất và sự tiện lợi cho công việc của họ. Nó có thể gây thiệt hại đáng kể cho thương hiệu dẫn đến doanh thu bị mất, làm tăng chi phí để giải quyết vi phạm và các khoản nợ khác.
Không có giải pháp toàn diện cho tất cả
Do đặc thù kinh doanh của mình, các tổ chức dịch vụ tài chính là một trong những lĩnh vực cần có các ứng dụng di động được bảo vệ tốt nhất, nhằm ngăn chặn các mối đe dọa công nghệ. Tuy nhiên, không có giải pháp toàn diện nào có thể làm tất cả những việc đó trong cùng một ứng dụng. Điện thoại di động thông minh luôn tiềm tàng nhiều mối đe dọa khác nhau, đòi hỏi các công nghệ, giải pháp và quy trình khác nhau để bảo vệ cho cả hệ thống. Việc bảo mật ứng dụng di động yêu cầu một cách tiếp cận nhiều lớp để bảo mật toàn bộ ngăn xếp giao thức. Mặc dù đây là một vấn đề lớn, nhưng hiện tại các cuộc thảo luận về các ứng dụng di động ngân hàng mới chỉ tập trung vào một nhóm nhỏ các biện pháp bảo vệ được cung cấp bên ngoài như sử dụng dấu vân tay để xác thực thiết bị, sử dụng xác thực đa yếu tố và mã hóa để bảo vệ dữ liệu nhạy cảm.
Cách tiếp cận mới để tăng cường bảo mật cho ứng dụng di động ngân hàng
Để có thể tăng cường bảo mật cho các ứng dụng di động, nhất là đối với các ứng dụng di động ngân hàng cần một cách tiếp cận mới. Trong đó, cần cung cấp được ba lợi ích sau:
Lợi ích đầu tiên là ngăn chặn kỹ thuật dịch ngược giả mạo để tránh bị vi phạm và đánh cắp dữ liệu của ứng dụng. Điều này có thể thực hiện bằng cách làm “cứng hóa” các ứng dụng di động sau khi hoàn thành coding, đảm bảo bên trong ứng dụng có chứa một hệ thống các biện pháp bảo vệ được nhúng vào ứng dụng.
Lợi ích thứ hai là ngăn chặn các thỏa hiệp API (Application Programming Interface) và việc đánh cắp tài sản trí tuệ (mã nguồn) hoặc thông tin nhận dạng cá nhân. Điều này có thể thực hiện bằng cách sử dụng dữ liệu toàn diện (comprehensive data) và mã hóa khóa sử dụng mật mã hộp trắng (white-box cryptography).
Lợi ích cuối cùng là mỗi ứng dụng cần được bảo vệ bởi chính thiết bị của người dùng và đường truyền của nhà mạng. Các nhà phát triển ứng dụng cần thường xuyên cập nhật lỗ hổng, bản vá cho ứng dụng của mình trước các mối đe dọa mới cũng như cung cấp đầy đủ việc phân tích dữ liệu và hiển thị mối đe dọa theo thời gian thực đối với các tổ chức sử dụng ứng dụng của mình khi cần thiết.
Với cách tiếp cận mới này, sẽ đảm bảo các ứng dụng di động trong ngân hàng được tăng cường chức năng đảm bảo an toàn và làm “cứng hóa” ít nhất một lần sau khi hoàn thành coding. Bằng cách này, độ tin cậy của ứng dụng sẽ được giả định là “zero trust” (không dựa trên niềm tin) trong tất cả các thiết bị chạy ứng dụng, dù ở bên trong hay bên ngoài các vành đai bảo vệ truyền thống. Các phân đoạn mã, được gọi là “Guard” sẽ cung cấp ở mức cao về: sự quan tâm đến độ an toàn (security awareness), điều tra, bảo vệ và thu thập dữ liệu các sự kiện an toàn ứng dụng cho các phân tích khi một ứng dụng bị tấn công. Khi mạng “Guard” được tạo, việc thực hiện cập nhật lỗ hổng cho các phiên bản ứng dụng tiếp theo sẽ đơn giản hơn rất nhiều, do việc triển khai lại ứng dụng “cứng hóa” và bảo mật cho mỗi lần sửa đổi code mới sẽ được thực hiện tự động.
Hiển thị và phân tích thời gian thực
Hiện tại, đây là cách duy nhất giúp các nhà phát triển ứng dụng ghi lại thông tin có giá trị về hoạt động của ứng dụng sau khi nó được cài đặt và sử dụng. Dữ liệu này sẽ giúp nhà phát triển theo dõi việc hoạt động của ứng dụng có thể bị thay đổi như thế nào trong khi bị tấn công. Một yếu tố tích cực khác của việc này là nó có khả năng xác định các vectơ tấn công phổ biến nhất và các mục tiêu tấn công mà kẻ tấn công nhắm tới, giúp các nhà phát triển và các tổ chức tài chính kiểm soát được các ứng dụng, đưa ra các biện pháp phòng thủ và điều chỉnh các tính năng đảm bảo an toàn thông tin cho ứng dụng của họ.
Kết luận
Nhu cầu cấp thiết về độ an toàn cao đối với các ứng dụng ngân hàng di động hiện đang là một thách thức lớn. Các ngân hàng và các tổ chức tài chính khác nếu không có khả năng hiển thị và phân tích theo thời gian thực để theo dõi tình trạng an toàn thông tin của các ứng dụng sẽ dễ bị tấn công và mất dữ liệu. Đây là một rủi ro lớn vì nó có thể dẫn đến nhiều vụ tấn công và vi phạm dữ liệu cá nhân. Các tổ chức tài chính nên làm theo các bước được đề cập phía trên để khắc phục các điểm yếu này nhằm tránh mất cả dữ liệu và niềm tin của khách hàng.
Bùi Lê Nhật (Ngân hàng BIDV)
10:00 | 01/02/2019
08:00 | 14/06/2019
16:00 | 24/09/2018
10:00 | 07/01/2019
09:00 | 05/06/2019
09:00 | 18/07/2024
Mới đây, Bộ Công an đã thông tin về tình trạng tin nhắn tin nhắn thương hiệu (SMS Brandname) giả mạo phần lớn xuất phát từ việc các đối tượng sử dụng trạm phát sóng BTS giả mạo để gửi hàng loạt tin nhắn lừa đảo tới người dùng với mục đích nhằm chiếm đoạt tài sản.
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
10:00 | 02/01/2024
Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
16:00 | 23/09/2024