(Tiểu luận) bài tập lớn môn năng lực số ứng dụng đề tài an toàn thông tin trong lĩnh vựcngân hàng

Sau đây là một số cách thức như vậy:Khóa kín và niêm phong thiết bị.Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểmvề sinh trắc để xác thực.Sử dụng fir

HỌC VIỆN NGÂN HÀNG

HỆ CHÍNH QUY

BÀI TẬP LỚN MÔN NĂNG LỰC SỐ ỨNG DỤNG

ĐỀ TÀI: AN TOÀN THÔNG TIN TRONG LĨNH VỰC

NGÂN HÀNG

Giáo viên hướng dẫn: Nguyễn Thị Yến

Danh sách nhóm:

1 Mã sinh viên 25A4011763 Họ và tên: Vũ Thành Công

2 Mã sinh viên 25A4012391 Họ và tên: Đỗ Thị Thùy Hiên

3 Mã sinh viên 25A4012413 Họ và tên: Nguyễn Thị Thanh Hợp

4 Mã sinh viên 25A4012393 Họ và tên: Đỗ Thị Ngọc Hiền

5. Mã sinh viên 25A4013369 Họ và tên: Đào Xuân Thắng

Hà Nội – 11/2022

MỤC LỤC

LỜI NÓI ĐẦU

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.1 Khái niệm

1.2 Sự cần thiết của an toàn thông tin

1.3 Mục tiêu của an toàn thông tin

CHƯƠNG 2: CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN

2.1 Nguy cơ mất an toàn thông tin về khía cạnh vật lý

2.2 Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin

2.3 Nguy cơ bị tấn công bởi các phần mềm độc hại

2.4 Nguy cơ xâm nhập từ lỗ hổng bảo mật

2.5 Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu

2.6 Nguy cơ mất an toàn thông tin do sử dụng Email

2.7 Nguy cơ mất an toàn thông tin trong quá trình truyền tin

CHƯƠNG 3: THỰC TRẠNG VỀ AN TOÀN THÔNG TIN TRONG LĨNH VỰC NGÂN HÀNG

3.1 Trên thế giới

3.2 Tại Việt Nam

CHƯƠNG 4: CÁC GIẢI PHÁP BẢO VỆ AN TOÀN THÔNG TIN

4.1 Bảo vệ thông tin về mặt vật lý

4.2 Bảo vệ trước nguy cơ mất thông tin

4.3 Bảo vệ trước nguy cơ bị tấn công bởi phần mềm độc hại

4.4 Bảo vệ trong trường hợp tấn công lỗ hổng bảo mật

4.5 Bảo vệ thông tin trước nguy cơ tấn công bằng cách phá mật khẩu

4.6 Bảo vệ thông tin trước nguy cơ tấn công qua Email

4.7 Bảo vệ hệ thống bằng tường lửa

CHƯƠNG 5: MỘT SỐ CHÍNH SÁCH CỦA VIỆT NAM VỀ AN TOÀN THÔNG TIN TRONG LĨNH VỰC NGÂN HÀNG

5.1.Nghiên cứu và ban hành khung pháp lí về an toàn thông tin

5.2.Tổ chức thanh tra, kiểm tra tuân thủ về an toàn thông tin

5.3 Xây dựng và tổ chức hiệu quả hoạt động của Mạng lưới ứng cứu sự cố an toàn thông tin ngành Ngân hàng:

5.4 Phối hợp với các cơ quan chức năng trong công tác an toàn thông tin:

5.5 Triển khai các chương trình truyền thông, giáo dục tài chính:

LỜI KẾT

TÀI LIỆU THAM KHẢO

LỜI MỞ ĐẦU

Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của các tổ chức, cá nhân đều được lưu trữ trên hệ thống máy tính Cùng với sự phát triển của tổ chức là những đòi hỏi ngày càng cao của môi trường hoạt động cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua mạng Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài nguyên thông tin, tài chính, danh tiếng của tổ chức, cá nhân Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của tổ chức Vì vậy an toàn thông tin là nhiệm vụ quan trọng, nặng nề và khó đoán trước đối với các hệ thống thông tin

Là một học phần đại cương, bắt buộc với tất cả các sinh viên của Học viện Ngân Hàng,môn năng lực số ứng dụng giúp cho sinh viên có đủ kiến thức và kĩ năng cơ bản để có thể học nâng cao kiến thức, kỹ năng về năng lực số, nhìn nhận vấn đề đa chiều và đề xuất những

ý tưởng, cách tiếp cận mới ở mức độ cao hơn Tuy nhiên, môn học cũng gây khó khăn cho sinh viên năm nhất nhưu chúng em vì có nhiều khái niệm mới, thuật ngữ mới và khối kiến thức lớn Khi học môn học này, với sự giảng dạy của cô Nguyễn Thị Yến, em đã hiểu được phần nào về môn học Với đề bài tập lớn được giao, nhóm chúng em xin được trình bày về

đề tài :”An toàn thông tin trong lĩnh vực ngân hàng” Do hạn chế về kiến thức cũng như thời gian nên phần bài làm của nhóm còn nhiều thiếu sót, kính mong cô sẽ quan tâm, giúp đỡ để bài làm của nhóm hoàn chỉnh hơn Chúng em xin chân thành cảm ơn cô

An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn

Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệuchỉnh, xóa thông tin,

An toàn thông tin liên quan đến hai khía cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật

- Mục tiêu cơ bản của an toàn thông tin

là việc phát triển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làm cho người dung truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn

Như chúng ta đều biết, đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin và dữliệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vongcủa họ Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất làtrong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạpdẫn đến tiềm ẩn nhiều nguy cơ không lường trước được

Mặt khác, tính chất, mức độ, và phạm vi của các cuộc tấn công vào hệ thống máy tính

và mạng ngày càng gia tăng bởi chưa bao giờ việc tiếp cận với các kỹ thuật và sử dụng cáccông cụ tấn công lại trở nên dễ dàng và đơn giản hơn thế Và cuối cùng, xuất phát từ động cơ

kiếm lợi hoặc chính trị mà các tổ chức tài chính và cơ quan chính phủ đang đang trở thànhmục tiêu chính của các hacker.

Tất cả những điều này cho thấy vai trò cốt yếu của các chuyên gia an toàn thông tintrong cuộc chiến bảo mật đầy khốc liệt và không có hồi kết này Nhưng các bạn khoan vộinghĩ ngay tới các công nghệ hay cách thức để đảm bảo an toàn cho hệ thống thông tin Trướchết, bạn phải hiểu được những mục tiêu nào cần đạt được khi làm công tác bảo mật và đó là

3 mục tiêu sau:

Confidentiality:

Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởinhững đối tượng (người, chương trình máy tính…) được cấp phép

Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý,

ví dụ như tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cậpthông tin đó từ xa qua môi trường mạng Sau đây là một số cách thức như vậy:

Khóa kín và niêm phong thiết bị

Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm

về sinh trắc để xác thực

Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép

Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES, v.v

Integrity

Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởinhững đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưutrữ hay truyền đi Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ làđảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ

Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốccủa thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồnđáng tin cậy và ta gọi đó là tính “authenticity” của thông tin

Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:

Thay đổi giao diện trang chủ của một website

Chặn đứng và thay đổi gói tin được gửi qua mạng

Chỉnh sửa trái phép các file được lưu trữ trên máy tính

Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch

Năng Lực

Số 100% (6)

4

Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi nhữngngười được phép vào bất cứ khi nào họ muốn Ví dụ, nếu một server chỉ bị ngưng hoạt độnghay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là99,999%

Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: Máycủa hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưutrữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt độngbình thường được nữa Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS)

Để tăng khả năng chống trọi với các cuộc tấn công cũng như duy trì độ sẵn sàng của hệthống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering, Redudancy,Failover…

Như vậy, vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc tấncông từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy hoặc bị tiết lộ rangoài… Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong quá trình xây

dựng một hệ thống thông tin an toàn nhất có thể Ba mục tiêu này còn được gọi là tam giác

Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện, nhiệt độ, độ

ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài

Người dung có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trình tạo cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin

Kẻ xấu có thể sử dụng công cụ hoặc kỹ thuật của mình để thay đổi nội dung thông tin (các file) nhằm sai lệch thông tin của chủ sở hữu hợp pháp

Nguy cơ đến từ các phần mềm độc hại (Malware) Các phần mềm độc hại lây lan, pháttán mã độc trên hệ thống máy tính, hệ thống mạng Khi hệ thống thiết bị, Internet bị tấn côngtiềm ẩn nhiều nguy cơ khó lường

Có một số phần mềm độc hại phổ biến mà tổ chức cần quan tâm theo dõi dưới đây:

+ Virus: Có thể thực hiện các hành vi phá hoại, lấy cắp thông tin.

+ Sâu máy tính: Thực hiện các hành vi : xóa File, ngăn chặn người dùng kết nối

Internet, làm đổ vỡ các chương trình thông thường,…

+ Phần mềm gián điệp Spyware: Nhằm thu thập thông tin một cách bí mật, không được

sự cho phép

Nguy cơ đến từ lỗ hổng bảo mật trong hệ điều hành, các chương trình phần mềm Chúng trở thành điểm yếu để tin tặc khai thác tấn công, gây mất an ninh thông tin.Hơn nữa, thực tế đã cho thấy, nguy cơ bị tấn công từ lỗ hổng bảo mật ngày càng lớn Theo trung tâm An toàn thông tin mạng của Ban Cơ yếu Chính phủ Con số vụ tấn công bằng phương thức khai thác lỗ hổng chiếm hơn 87%

Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoản mục người dùng và một mật khẩu Đôi khi người dùng khoản mục lại làm mất đi mục đích bảo vệ

của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mật khẩu ra và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làm việc của mình.

Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng quản trị chính

Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển và các số Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu trên mạng Internet như: Xavior, Authforce và Hypnopaedia Các chương trình dạng này làm việc tương đối nhanh và luôn có trong tay những kẻ tấn công

Tài khoản Email cá nhân, doanh nghiệp cũng tiềm ẩn nguy cơ mất an toàn thông tin Bởi tin tặc thường tấn công bằng cách sử dụng Email giả mạo chứa Virus, liên kết độc hại,…Người dùng bị tấn công bằng Email có thể bị đánh cắp mật khẩu hoặc lây nhiễm Virus Lúc này, dù chỉ một nhân viên mở thư cũng có thể gây thiệt hại cho cả tổ chức

Quá trình truyền tin trên mạng Internet cũng tiềm ẩn nguy cơ mất an toàn thông tin đến

từ việc kẻ xấu chặn đường truyền, thay đổi hoặc phá hỏng nội dung thông tin rồi tiếp tục gửi đến người nhận

Ước tính, trên thế giới có hơn 900 cuộc tấn công mạng, 5 mã độc mới sinh ra trong mỗigiây, phát hiện 40 điểm yếu, lỗ hổng mỗi ngày Năm 2021, nhiều vụ tấn công mạng trên thế giới, gây hậu quả nghiêm trọng đã xảy ra Ví dụ như vụ tấn công mã độc tống tiền ransomware nhằm vào Công ty công nghệ thông tin Kaseya (Mỹ), dùng mã độc tống tiền để tấn công hàng loạt doanh nghiệp sử dụng dịch vụ của công ty này dẫn đến hậu quả là khoảng

800 - 1.500 doanh nghiệp khắp thế giới bị ảnh hưởng Đây được xem là một trong những đợttấn công mã độc tống tiền có quy mô lớn kỷ lục trong lịch sử Hay vụ tấn công vào Sàn giao dịch chứng khoán Công ty Dịch vụ tài chính Robinhood Markets Inc (Mỹ), nhằm lấy cắp các

dữ liệu cá nhân, gây ảnh hưởng đến hơn 22 triệu người dùng giao dịch cổ phiếu, hối đoái và tiền điện tử

Đầu năm 2010, truyền thông quốc tế đưa tin khoảng 5.000 máy ly tâm của Iran tại nhà máy hạt nhân ở Natanz đã "hóa điên" trong cuộc tấn công mạng khiến Tehran trở tay không kịp Thủ phạm được xác định là virus Stuxnet đã lợi dụng lỗ hổng an ninh chưa có bản vá - được gọi là lỗ hổng Zero-day - trong Windows để kiểm soát các máy tính điều khiển máy ly tâm phục vụ việc làm giàu Uranium

Đây cũng là một trong những vụ tấn công Zero-day lớn nhất và gây thiệt hại nặng nề nhấtthế giới

Thuật ngữ Zero-day được sử dụng để mô tả các lỗ hổng bảo mật chưa được biết đến hoặc chưa được khắc phục trong phần mềm hoặc ứng dụng Lỗ hổng bảo mật hay điểm yếu là các khiếm khuyết mà tin tặc có thể sử dụng để khai thác tấn công vào các hệ thống, phần mềm nhằm thực hiện các hành động phi pháp, ảnh hưởng xấu đến cá nhân, doanh nghiệp

Các lỗ hổng bảo mật này không chỉ ảnh hưởng đến hàng tỉ người dùng cá nhân trong các

vụ lừa đảo tài chính, phát tán thông tin nhạy cảm, mà tin tặc còn có thể lợi dụng để nhắm đến các cơ quan, tổ chức lớn Đặc biệt, các hacker sẽ lợi dụng lỗ hổng để tấn công và nhúng mã độcvào trong các phần mềm để từ đó kiểm soát mọi hệ thống của toàn bộ các khách hàng Điển hình như vụ tấn công vào hãng phần mềm Solarwinds để từ đó kiểm soát 18.000 khách hàng của công ty này, trong đó có ít nhất 100 công ty và 9 cơ quan liên bang của Mỹ là nạn nhân.Một thống kê mới đây cho biết, chỉ riêng trong tháng 8/2022, trên thế giới đã ghi nhận

112 vụ việc mất an toàn thông tin mới được tiết lộ công khai với hơn 97,4 triệu hồ sơ bị vi phạm, trong đó có không ít các vụ việc xảy ra trong lĩnh vực tài chính – ngân hàng Đó là vụ

Công ty tiền điện tử Nomad (Mỹ) bị tấn công khai thác điểm yếu đánh cắp tiền mã hóa dẫn đến thiệt hại hơn 190 triệu USD Tin tặc đã đánh cắp mật khẩu để truy cập hơn 140.000 thiết

bị đầu cuối thanh toán trên toàn cầu do Wiseasy - một công ty công nghệ có trụ sở tại Singapore, chuyên cung cấp các giải pháp ngân hàng số và thiết bị thanh toán, với hơn 350 đối tác và đại lý tại 114 quốc gia và khu vực trên toàn thế giới Hiện nay vẫn chưa có đánh giá về tổn thất do sự có này gây ra

Việt Nam đang trở thành một “mảnh đất màu mỡ” để tội phạm tài chính khai thác nhằm tấn công chiếm đoạt tài sản người dùng

Theo báo cáo về các mối đe dọa điểm cuối, năm 2021, Việt Nam đứng thứ 2 ở châu Á

về số lượng mã độc tống tiền - ransomware, tăng 200% so với năm 2020 Còn theo nghiên cứu của Viettel Cyber Security, trong năm ngoái, có tới 90% cuộc tấn công mạng liên quan

hệ thống tài chính ngân hàng, tăng 42,4% so với năm 2020

Nghiên cứu “Fraud Report 2020” của Veriff cho thấy, Việt Nam đứng đầu về các nghi ngờ tội phạm sử dụng Chứng minh nhân dân, Căn cước công dân giả để xác thực, chiếm tới 12,9% trên toàn cầu

Đặc biệt, trong những tháng đầu năm 2022, Group-IP đã phát hiện 240 tên miền liên kết giả mạo nhằm mạo danh 27 tổ chức tài chính, ngân hàng quen thuộc của Việt Nam để thuthập chi tiết thông tin cá nhân của khách hàng, đánh cắp tài khoản ngân hàng và sử dụng kỹ thuật cho phép chúng vượt qua bước xác minh OTP

Gần đây nhất là câu chuyện đối tượng lừa đảo chiếm đoạt số tiền hơn 2,1 tỷ đồng trongtài khoản tiết kiệm online tại một ngân hàng thương mại của một khách hàng được hé lộ Với thủ đoạn gọi điện cho khách hàng giả danh nhân viên nhà mạng đề nghị hỗ trợ nâng cấp sim điện thoại rồi kích hoạt esim (sim điện tử) trên điện thoại, đối tượng lừa đảo đã chiếm được quyền kiểm soát sim điện thoại của khách hàng Từ số sim đã đăng ký dưới tên khách hàng, kẻ gian đã gọi đến tổng đài tự động của ngân hàng, yêu cầu cấp lại tên đăng nhập Internet Banking, gửi về email mà khách hàng đã đăng ký trước đó với ngân hàng.Tiếp đó, đối tượng đăng ký báo quên mật khẩu và yêu cầu cung cấp lại mật khẩu đăng nhập mới, sau đó chiếm đoạt thông tin tài khoản của khách hàng để tất toán sổ tiết kiệm online của khách hàng mở tại ngân hàng này Hiện tại, phía ngân hàng cho biết đang tích cựcphối hợp cùng cơ quan công an tiến hành điều tra, xác minh làm rõ

Lừa đảo nâng cấp sim rồi chiếm đoạt quyền kiểm soát sim điện thoại, từ đó chiếm đoạt tiền trong tài khoản ngân hàng là một hình thức lừa đảo mới khiến nhiều người bị sập bẫy thời gian gần đây

Theo các chuyên gia trong lĩnh vực tài chính ngân hàng, mỗi ngân hàng thương mại đều có những phương thức bảo mật, xác thực các giao dịch khác nhau, từ xác thực qua tin nhắn SMS, qua Smart OTP, xác thực bằng giọng nói hay ghi âm cuộc gọi của khách hàng tớitổng đài tự động của ngân hàng… Việc đầu tư công nghệ và hệ thống cảnh báo các giao dịch