English
日本語
한국어
简体中文
Trong nhiều năm, các nhà lãnh đạo an ninh, đặc biệt trong lĩnh vực ngân hàng, vận hành dựa trên giả định rằng các biện pháp kiểm soát mạnh mẽ có thể bảo mật đầy đủ cho các thiết bị di động. Các phương pháp như phần mềm chống vi-rút di động, quản lý thiết bị, quản lý ứng dụng và kiểm tra tuân thủ đều được xây dựng trên một lỗ hổng cơ bản: tin tưởng vào chính thiết bị đó.
Tuy nhiên, ngành tài chính hiện đang đối mặt với một thực tế phũ phàng. Mô hình bảo mật “không tin cậy” (zero trust), vốn quy định rằng không có thực thể nào, bên trong hay bên ngoài mạng, đáng tin cậy một cách bẩm sinh, sẽ sụp đổ khi sự phụ thuộc được đặt vào điện thoại thông minh của nhân viên. Khi các thiết bị di động ngày càng trở thành giao diện làm việc chính, lỗ hổng này tăng lên theo cấp số nhân, đặc biệt với sự xuất hiện của các phương pháp trí tuệ nhân tạo (AI) tiên tiến nằm trong tay những kẻ lừa đảo.
Bối cảnh Mối đe dọa Gia tăng
- Báo cáo Chi phí Vi phạm Dữ liệu của IBM chỉ ra rằng chi phí trung bình của một vụ vi phạm dữ liệu dự kiến đạt 4,4 triệu USD vào năm 2025. Đáng báo động là 97% tổ chức báo cáo đã gặp một sự cố bảo mật liên quan đến AI mà họ không có biện pháp kiểm soát đầy đủ.
- Các thiết bị di động thường xuyên kết nối với mạng cục bộ không dây (WLAN) công cộng hoặc dùng chung để giảm chi phí và tăng hiệu suất. Tuy nhiên, các mạng này không thể được xác minh là an toàn, tạo ra rủi ro đáng kể.
- FDIC đã cảnh báo rõ ràng rằng các tác nhân độc hại đang khai thác các WLAN để đánh cắp thông tin đăng nhập ngân hàng, làm nổi bật một điểm tiếp xúc rủi ro quan trọng.
Việc áp dụng ngân hàng di động nhanh chóng tiếp tục không suy giảm, khi người tiêu dùng ngày càng ưa chuộng sử dụng điện thoại cho các giao dịch tài chính. Xu hướng này, cùng với việc mở rộng các chính sách “mang thiết bị của riêng bạn” (BYOD) cho làm việc từ xa, phơi bày những điểm yếu vốn có trong các giả định bảo mật thiết bị cá nhân truyền thống.
Dữ liệu mới từ Verizon xác nhận mối quan ngại của các chuyên gia bảo mật: việc duy trì tư thế không tin cậy trên các điểm cuối di động đang trở nên gần như bất khả thi, đặc biệt khi các cuộc tấn công dẫn dắt bởi AI phát triển theo thời gian thực. Đối với các tổ chức tài chính, sự chênh lệch này – mức độ phơi nhiễm khổng lồ trên các thiết bị cá nhân với sự giám sát bảo mật hạn chế – đang biến thành một rủi ro mang tính hệ thống.
Mô hình Không Tin Cậy Thất bại Khi Thiết bị Được Tin Tưởng
Một mô hình không tin cậy thực sự bắt đầu với tiền đề đơn giản: hãy giả định điểm cuối đã bị xâm nhập.
Chấp nhận nguyên tắc này định nghĩa lại một cách cơ bản các chiến lược kiến trúc. Thay vì cố gắng kiểm soát một thiết bị không thuộc sở hữu, trọng tâm chuyển sang loại bỏ hoàn toàn sự phơi nhiễm. Thật không may, hầu hết các chương trình BYOD vẫn dựa vào khả năng hiển thị, kiểm soát hoặc củng cố điện thoại thông minh cá nhân của nhân viên. Đây là một quan niệm sai lầm nghiêm trọng; đó là suy nghĩ viển vông, không phải là không tin cậy.
Một cuộc khảo sát gần đây của Hypori cho thấy 92% các nhà lãnh đạo an ninh di động gặp khó khăn trong việc triển khai mô hình không tin cậy trên các điểm cuối di động. Điều này không có gì ngạc nhiên đối với ngành ngân hàng, khi Hội đồng Kiểm tra các Tổ chức Tài chính Liên bang (FFIEC) từ lâu đã cảnh báo rằng các thiết bị di động đưa các biến số không kiểm soát được vào quy trình xác thực, thanh toán và truy cập.
Một Cái bẫy Bảo mật: Bất chấp những thách thức này, chỉ 29% tổ chức ưu tiên quyền riêng tư của nhân viên, theo cùng một nghiên cứu. Đây là một chỉ số đáng lo ngại, cho thấy các doanh nghiệp đang cố gắng bảo mật thiết bị theo những cách làm xói mòn lòng tin của người dùng mà không giảm thiểu đáng kể rủi ro an ninh mạng. Một cách tiếp cận không tin cậy thực sự không dựa vào tình trạng sức khỏe hoặc bảo mật của điện thoại; nó dựa vào việc loại bỏ hoàn toàn nhu cầu tin tưởng vào chiếc điện thoại.
AI Tác nhân: Thu hẹp Dòng thời gian Tấn công
AI tác nhân đã nén đáng kể vòng đời tấn công, biến những gì từng mất hàng tháng thành chỉ vài phút. Công nghệ tinh vi này đã biến lừa đảo phishing và smishing thành vũ khí, phát triển chúng thành các cuộc tấn công đa kênh, thích ứng. Báo cáo của Verizon xác nhận rằng 77% tổ chức dự đoán thành công từ smishing có sự trợ giúp của AI, và 85% đang chứng kiến sự gia tăng các cuộc tấn công di động.
Tình hình trở nên tồi tệ hơn: AI tác nhân có khả năng tự động thực hiện quét lỗ hổng, khai thác điểm yếu và điều phối “bầy bot”, đồng thời thích ứng chiến thuật theo thời gian thực. Điều này có ý nghĩa sâu sắc đối với ngành ngân hàng, vì lĩnh vực tài chính vẫn là mục tiêu số 1 toàn cầu cho hành vi lừa đảo phishing, smishing và đánh cắp thông tin đăng nhập, theo báo cáo từ Verizon và Trung tâm Phân tích và Chia sẻ Thông tin Dịch vụ Tài chính (FS-ISAC).
Tuy nhiên, các tổ chức thừa nhận rằng các công cụ hiện có của họ không thể theo kịp. Các ngân hàng không thể vá hệ thống hoặc cập nhật chính sách đủ nhanh, cũng như không thể dựa vào khả năng hiển thị trên các thiết bị mà họ không sở hữu. AI tác nhân hiện hoạt động với tốc độ mà bất kỳ mô hình bảo mật lấy thiết bị làm trung tâm nào cũng không thể theo kịp.
Các Mối đe dọa Truy cập Di động Bị bỏ qua trong Ngân hàng
Trong khi smishing thường chiếm tiêu đề, các mối đe dọa nguy hiểm hơn là những thứ không nhìn thấy được. Hãy xem xét các cuộc tấn công Giao tiếp Trường gần (NFC) và Bluetooth, cho phép xâm nhập thiết bị chỉ thông qua việc ở gần. Các công cụ cần thiết rẻ tiền, dễ kiếm và ngày càng được tự động hóa. Các khai thác ở cấp độ hệ điều hành và phần sụn hoàn toàn vượt qua các biện pháp quản lý thiết bị di động (MDM), quản lý ứng dụng di động (MAM), phần mềm chống vi-rút và kiểm soát tuân thủ truyền thống.
Bạn có thể có thiết bị “tuân thủ” và sạch nhất có thể tưởng tượng và vẫn hoàn toàn bị phơi nhiễm bên dưới hệ điều hành.
Hơn nữa, có một mối đe dọa thầm lặng mà hầu như không ngân hàng nào tính đến: các ứng dụng tiêu dùng thu thập siêu dữ liệu. Điều này tạo ra sự phơi nhiễm về hành vi, vị trí và suy luận, làm mờ ranh giới giữa hoạt động cá nhân và doanh nghiệp thành một bề mặt tấn công dễ bị tổn thương duy nhất. Khi xác thực, thanh toán, phê duyệt và tương tác khách hàng chuyển sang di động, các ngân hàng thừa hưởng rủi ro từ các bộ thu phát vô tuyến không được quản lý, ứng dụng không được thẩm định và phần sụn không được giám sát – tất cả đều được tăng tốc bởi AI.
Các giải pháp bảo mật di động truyền thống như MDM và MAM không bao giờ được thiết kế cho thực tế mới này. Chúng được xây dựng để quản lý thiết bị, không phải để phòng thủ chống lại việc thăm dò Bluetooth tinh vi, giả mạo phần sụn hoặc chuỗi khai thác được tạo bởi AI.
Mô hình Dữ liệu-Ưu tiên, Không phụ thuộc Thiết bị cho Tính di động Ngân hàng An toàn
Ngày càng nhiều tổ chức nhận ra rằng bảo mật thiết bị không còn đủ. Điều cấp thiết là bảo mật chính dữ liệu. Các cơ quan quản lý như FDIC, Văn phòng Tổng kiểm soát và Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) cũng nhấn mạnh bảo mật lấy dữ liệu làm trung tâm và sự cô lập kiến trúc.
Một chiến lược di động ngân hàng hiện đại nên tuân theo bốn nguyên tắc cốt lõi:
- 1. Giả định đã bị xâm nhập. Thiết kế hệ thống để một thiết bị bị xâm phạm không thể tiếp tục xâm phạm tổ chức.
- 2. Loại bỏ dữ liệu cục bộ. Nếu dữ liệu nhạy cảm không bao giờ cư trú trên điện thoại, bất kỳ sự xâm nhập nào vào thiết bị vẫn bị cô lập với thiết bị vật lý, gây ra rủi ro tối thiểu cho việc nhiễm bẩn doanh nghiệp.
- 3. Tách biệt hoạt động cá nhân và doanh nghiệp. Đảm bảo sự cô lập hoàn toàn giữa ứng dụng cá nhân và quy trình làm việc doanh nghiệp.
- 4. Thu hẹp tối đa bề mặt tấn công. Giảm phơi nhiễm từ hàng triệu thiết bị khác nhau xuống một môi trường doanh nghiệp duy nhất, được quản trị tập trung.
Biến Nguyên tắc thành Hành động
Tổng thể, bốn nguyên tắc này ủng hộ một sự thay đổi cơ bản trong cách các ngân hàng đánh giá và triển khai truy cập di động. Bước hành động ban đầu, có thể thực hiện được là thuộc về kiến trúc, không phải thủ tục.
Các tổ chức phải đánh giá xem chiến lược di động hiện tại của họ có phụ thuộc vào việc tin tưởng thiết bị người dùng, quản lý chúng chặt chẽ hơn, hoặc xếp lớp phần mềm lên các điểm cuối vốn không an toàn hay không. Nếu câu trả lời là có, rủi ro chỉ đơn giản được phân phối lại chứ không thực sự được giảm thiểu. Một cách tiếp cận hiện đại loại bỏ hoàn toàn thiết bị khỏi mô hình tin cậy và thực thi bảo mật ở nơi tổ chức duy trì quyền kiểm soát đầy đủ.
Các ngân hàng cũng nên ưu tiên các giải pháp giảm gánh nặng vận hành đồng thời nâng cao kết quả bảo mật. Việc loại bỏ dữ liệu cục bộ và cô lập hoạt động doanh nghiệp khỏi sử dụng cá nhân đơn giản hóa phản ứng sự cố, giảm phơi nhiễm quy định và giảm chi phí tuân thủ. Giải pháp tối ưu xuất hiện khi dữ liệu không bao giờ rời khỏi tổ chức, và các ứng dụng cá nhân không bao giờ tương tác với quy trình làm việc doanh nghiệp. Trong kịch bản này, thiết bị bị mất, mạng bị xâm nhập và hành vi người dùng không còn là nguyên nhân dẫn đến các kịch bản vi phạm.
Cuối cùng, các nhóm lãnh đạo nên coi việc thu hẹp bề mặt tấn công là một lợi thế chiến lược, không chỉ đơn thuần là một cải tiến bảo mật. Việc tập trung hóa truy cập vào một môi trường quản trị duy nhất tạo điều kiện thay đổi chính sách nhanh hơn, thực thi nhất quán và khả năng hiển thị vượt trội trên toàn tổ chức. Điều này trao quyền cho các ngân hàng mở rộng quy mô di động một cách an toàn, hỗ trợ lực lượng lao động linh hoạt và phản ứng hiệu quả với các mối đe dọa đang phát triển mà không phải liên tục đuổi theo rủi ro trên hàng triệu điểm cuối.
Nguồn: thefinancialbrand.com