(QNO) - Các hướng dẫn bảo mật của hệ thống nhắn tin liên ngân hàng SWIFT đã "lỗi thời và không đầy đủ"?
Những ngày này, hãng bảo mật Skyport Systems đang phải nhận nhiều phê bình, chỉ trích sau khi hệ thống SWIFT tiết lộ ngân hàng TP Bank của Việt Nam bị tấn công. TP Bank là ngân hàng thứ hai trở thành nạn nhân của kỹ thuật gian lận, tạo ra mối lo ngại lớn sau khi ngân hàng Bangladesh hồi tháng Hai đã bị tấn công thiệt hại tới 81 triệu USD.
Trong cả hai trường hợp của TP Bank và ngân hàng Bangladesh, về mặt lý thuyết, hacker đã tiếp cận được các thông tin cần thiết để gửi tin nhắn trên hệ thống nhắn tin tài chính bảo mật SWIFT sau khi lây nhiễm thành công các thiết bị đầu cuối trong mạng lưới của ngân hàng chủ đích, hoặc lợi dụng một cán bộ ngân hàng tham nhũng, biến chất. Cả hai trường hợp, SWIFT đều tuyên bố vụ gian lận xảy ra vì đó là một vụ tấn công đã được lên kế hoạch kỹ lưỡng chống lại các ngân hàng chủ đích, và thiếu sót trong biện pháp bảo mật, chứ SWIFT không hề có bất kỳ yếu kém nào.
Trong khi đó, các chuyên gia bảo mật độc lập lại có nhiều ý kiến khác nhau về quan điểm này. Một số ít nhất cũng lên tiếng rằng hệ thống SWIFT cần kiện toàn lại. Chẳng hạn, những phân tích của phó chủ tịch Doug Gourlay của hãng Skyport Systems về các bước bảo mật của SWIFT đối với người dùng đã kết luận rằng dù xử lý được "các loại tấn công thịnh hành cách đây 1 thập kỷ", song lại không thể bảo vệ được các ngân hàng khỏi các vụ tấn công tinh vi hơn của ngày nay. Ông tuyên bố hệ thống SWIFT đã được cập nhật và hiện đại hóa - và vụ tấn công gần đây nhẽ ra đã có thể tránh được.
Theo trang The Register, Gourlay đã đưa ra những vấn đề cần áp dụng như cải thiện mạng lưới, sử dụng chứng thực 2 yếu tố và nâng cấp bảo mật trình duyệt…. SWIFT hỗ trợ chứng thực 2 bước nhưng về cơ bản, công nghệ mà các ngân hàng sử dụng để kết nối vào mạng lưới SWIFT vẫn chưa hiện đại – mặc dù thẻ cứng và những thiết bị cần thiết để truy cập từ xa đã được dùng từ 20 năm hoặc tương đương.
Theo Hoàng Lan, Vnreview