Mất nửa tỷ tại Vietcombank: "Không thể để khách hàng phải chịu toàn bộ rủi ro"

“Không thể nói rằng trong trường hợp này khách hàng phải chịu hoàn toàn rủi ro. Người dùng sai từ bước nào sẽ phải chịu trách nhiệm từ khâu đó, khâu nào ngân hàng sai thì ngân hàng sẽ phải chịu trách nhiệm"

Đó là khẳng định của ông Ngô Việt Khôi - chuyên gia độc lập về an toàn thông tin, nguyên Giám đốc TrendMicro Việt Nam – khi trao đổi với PV Infonet xung quanh câu chuyện tài khoản của khách hàng VCB bị chuyển đi 500 triệu đồng chỉ trong một đêm.

Ông Ngô Việt Khôi, Nguyên Giám đốc quốc giaTrendMicro Việt Nam.

Bài học cho cả hai bên

Theo ông Ngô Việt Khôi, trong trường hợp này nhiều khả năng xảy ra là do khách hàng của Vietcombank (chị Hoàng Thị Na Hương) đã click vào một trang web giả mạo Vietcombank, dẫn đến việc hacker chiếm quyền điều khiển bằng cách ăn cắp username và password (mật khẩu). Tuy nhiên, đó chỉ là giả định khi đến giờ phút này, cả hai bên vẫn chưa ngồi lại với nhau để nói rằng khách hàng đã làm những gì và Vietcombank đã lần ra được dấu vết trong hệ thống là những gì.

“Không thể nói rằng trong trường hợp này khách hàng phải chịu hoàn toàn rủi ro. Trong một quy trình có rất nhiều bước, các chuyên gia sẽ có cách để vẽ lại toàn bộ quá trình giao dịch, từ đó xác định hacker bắt đầu lấy thông tin từ bước nào. Người dùng sai từ bước nào sẽ phải chịu trách nhiệm từ khâu đó, còn khâu nào ngân hàng sai thì ngân hàng sẽ phải chịu trách nhiệm từ khâu đó. Đến lúc đó mới có thể kết luận đúng sai,” ông Ngô Việt Khôi nói.

Tuy nhiên, cựu Giám đốc TrendMicro Việt Nam cho rằng có hai bài học lớn trong câu chuyện này. Thứ nhất, bất cứ ngân hàng nào nếu không có hướng dẫn tối thiểu cho người dùng về bảo mật thông tin thì người dùng nào cũng có thể trở thành con mồi cho hacker, do vậy ngân hàng cần phải bảo vệ khách hàng bằng những hướng dẫn tối thiểu. Thứ hai, người dùng tài khoản ngân hàng cần phải có kiến thức tối thiểu về bảo mật.

“Vietcombank sai đâu chưa biết, nhưng chị ấy (khách hàng Hoàng Thị Na Hương – PV) đã làm gì để đến mức mất tài khoản? Chỉ người trong cuộc mới biết được. Nhưng có 2 điểm rút ra là khi ngân hàng đã có khách hàng và giao dịch với nhau trên môi trường trực tuyến, bắt buộc ngân hàng phải có trách nhiệm hướng dẫn, cảnh báo ở mức tối thiểu để khách hàng nhận thức được ở mức dễ hiểu nhất là không nên làm thế này, không nên làm thế kia. Thứ hai, chúng ta đang sống trong một thế giới phẳng với những cuộc sống số, nhưng xã hội của chúng ta lại đang thiếu đi việc đào tạo về an toàn thông tin. Có rất ít người làm việc này và có làm thì lại không biết cách làm. Đừng trông chờ vào việc mua giải pháp này nọ, bản thân mỗi người phải nhận thức được việc đặt mật khẩu như thế nào cho an toàn để không tạo ra lỗ hổng, vấn đề này đang là sự thiếu hụt rất lớn trong xã hội,”.

Chúng ta dù bất kể là ai đều có một điểm giống nhau là tất cả đều có một cuộc sống số và không ai muốn bị người khác xâm phạm, chẳng hạn như tài khoản email, facebook, tài khoản ngân hàng… mỗi một tài khoản như vậy đều có một user name và password. Các tài khoản này không thể dùng chung một user name.

Trong câu chuyện của Vietcombank, tất nhiên không khách hàng nào muốn tài khoản của mình bị người khác nắm user name, password, OTP..., nhưng giữ cho “cuộc sống số” an toàn hay không, mỗi người phải có nhận thức tối thiểu.

Điều đáng tiếc là nhận thức đó trong xã hội từ hàng chục năm qua đã không một ai đứng ra để đào tạo cho người ta biết về việc này. Các ngân hàng có thể bỏ tiền ra mua giải pháp về ngăn chặn, nhưng bản thân con người của chính các ngân hàng cũng không được đào tạo sao cho ứng xử an toàn hơn trên mạng, trong khi ngân hàng vẫn phải chi hàng chục triệu USD để mua giải pháp.

Không có ngân hàng nào là an toàn tuyệt đối

Trở lại trường hợp Vietcombank, tranh cãi xung quanh việc khách hàng Hoàng Thị Na Hương có click vào trang web giả mạo hay không, ông Khôi cho rằng khả năng là đã click mới có thể bị mất tiền như thế. Thế giới hiện nay là thế giới phẳng, mã độc có thể tấn công ở bên Mỹ nhưng ngay lập tức chỉ 1 phút sau có thể tấn công ở Việt Nam, chứ không phải là mình ở Việt Nam mà mình không bị tấn công.

“Bởi vì ai cũng có một cuộc sống số nên cần phải trang bị những kiến thức căn bản, nhất là khi ai cũng có smartphone, ai cũng có thể lên mạng để kết nối với thế giới xung quanh. Do vậy, ai cũng phải có những quy tắc nhất định để giữ cho mình an toàn, giống như khi đi xe cần phải có giấy phép lái xe, cũng giống như những trang bị tối thiểu về trình độ tin học, ngoại ngữ mà một mỗi người cần phải có,” ông Khôi nói.

Phải thừa nhận rằng Vietcombank là một ngân hàng lớn và uy tín hàng đầu trong số các ngân hàng hiện nay, thế nhưng họ vẫn để xảy ra trường hợp khách hàng bị mất tiền trong tài khoản.

Điều này chứng tỏ rằng, một khi khách hàng bị mất thông tin và bị chiếm quyền điều khiển, hệ thống của các ngân hàng đều không thể phân biệt được giao dịch chuyển tiền đi đang được thực hiện bởi chính khách hàng hay một hacker dùng thông tin của khách hàng để chuyển tiền đi.

Theo khẳng định của ông Ngô Việt Khôi, với hệ thống của ngân hàng hiện nay, họ không thể phân biệt được điều đó. Do vậy, đòi hỏi ngân hàng phải có giải pháp để phát hiện người ngay hay kẻ gian là điều không tưởng. Tuy nhiên, các ngân hàng phải đặt ra những rào cản, bản thân username, password hay OTP cũng đã là một rào cản, nhưng ngân hàng cần phải xác định trong những rào cản đó, rào cản nào có thể bị lợi dụng.

“Trong trường hợp của Vietcombank, khách hàng đã bị mất tiền, và Vietcombank cũng bó tay trong việc thông tin cá nhân khách hàng rơi vào tay kẻ xấu mà lại vô tình được “dâng lên” bởi chính khách hàng của mình. Ngân hàng nào rồi cũng sẽ mất tiền nếu để yếu tố cuối cùng là con người chi phối những sai lầm đó,” ông Ngô Việt Khôi khẳng định.

Ngân Giang