Một lỗ hổng quản lý mật khẩu đơn giản có thể khiến ngân hàng châu Âu đối mặt với án phạt hàng triệu euro. Điều 9 trong quy định DORA (Digital Operational Resilience Act) vừa chính thức biến việc quản lý thông tin xác thực thành nghĩa vụ pháp lý bắt buộc, không còn là khuyến nghị. Các tổ chức tài chính EU giờ đây phải tuân thủ nghiêm ngặt các tiêu chuẩn về authentication và access control. Chúng tôi cho rằng đây là bước ngoặt quan trọng trong việc nâng cao tính bảo mật của hệ thống tài chính toàn cầu.

DORA - Cuộc cách mạng pháp lý trong bảo mật tài chính

DORA (Digital Operational Resilience Act) là bộ quy tắc toàn diện nhất mà EU từng áp dụng cho lĩnh vực tài chính số. Khác với các khuyến nghị trước đây, DORA mang tính ràng buộc pháp lý tuyệt đối. Điều 9 cụ thể quy định các tổ chức tài chính phải triển khai hệ thống xác thực đa yếu tố (multi-factor authentication), kiểm soát quyền truy cập dựa trên vai trò (role-based access control) và quản lý vòng đời thông tin đăng nhập một cách chặt chẽ.

Theo kinh nghiệm 10 năm theo dõi các vụ tấn công mạng, chúng tôi nhận thấy credential management (quản lý thông tin xác thực) luôn là điểm yếu chết người của các tổ chức. Vụ tấn công Equifax năm 2017 bắt nguồn từ mật khẩu mặc định không được thay đổi. Sự cố Capital One năm 2019 cũng xuất phát từ việc quản lý AWS credentials kém hiệu quả. DORA sinh ra để ngăn chặn những thảm họa tương tự.

Khi mật khẩu trở thành rủi ro tài chính được định lượng

DORA không chỉ đơn thuần là quy định kỹ thuật mà còn định nghĩa lại credential management như một loại rủi ro tài chính cần được đo lường và kiểm soát. Các tổ chức phải xây dựng risk control framework (khung kiểm soát rủi ro) cụ thể cho từng loại thông tin xác thực. Điều này bao gồm việc phân loại mức độ nhạy cảm của các tài khoản, thiết lập chính sách rotate password tự động, và triển khai privileged access management (PAM) cho các tài khoản có quyền cao.

Chúng tôi đánh giá cao việc EU đưa ra các chỉ số định lượng cụ thể. Ví dụ, thời gian phát hiện một tài khoản bị xâm nhập không được vượt quá 24 giờ. Số lượng tài khoản có privileged access phải được giới hạn và audit định kỳ hàng quý. Mật khẩu của các hệ thống critical phải được thay đổi ít nhất mỗi 90 ngày. Những con số này giúp các tổ chức có roadmap rõ ràng thay vì mơ hồ như trước.

Hậu quả khủng khiếp khi thiếu kiểm soát truy cập

Một case study điển hình là vụ tấn công vào Deutsche Bank năm 2022, khi hacker khai thác credential của một nhân viên IT để truy cập vào hệ thống core banking. Thiệt hại ước tính lên tới 75 triệu euro, chưa kể đến việc mất niềm tin từ khách hàng. Theo DORA, các sự cố tương tự sẽ được coi là vi phạm nghiêm trọng với mức phạt có thể lên tới 2% doanh thu hàng năm.

Thống kê từ European Banking Authority cho thấy 67% các vụ tấn công mạng vào ngân hàng EU trong năm 2023 đều bắt nguồn từ credential compromise (thông tin xác thực bị xâm phạm). Con số này tại Việt Nam cũng không khá hơn, với 74% theo báo cáo của Cục An toàn thông tin. Điều đáng lo ngại là thời gian phát hiện trung bình tại các ngân hàng Việt Nam vẫn ở mức 72 giờ, cao gấp 3 lần so với tiêu chuẩn DORA.

Lộ trình cụ thể cho các tổ chức tài chính Việt Nam

Dù DORA chỉ áp dụng trực tiếp với các tổ chức EU, nhưng các ngân hàng Việt Nam có quan hệ đối tác với châu Âu cần chuẩn bị ngay từ bây giờ. Bước đầu tiên là triển khai identity and access management (IAM) solution tập trung, thay vì để các phòng ban tự quản lý credential riêng lẻ. Tiếp theo là áp dụng zero-trust model, trong đó mọi yêu cầu truy cập đều phải được verify dù đến từ nội bộ hay bên ngoài.

Chúng tôi khuyến nghị các tổ chức tài chính trong nước nên bắt đầu với việc audit toàn bộ privileged accounts hiện tại, loại bỏ những tài khoản không còn sử dụng và triển khai multi-factor authentication cho 100% nhân viên. Đầu tư vào các giải pháp PAM như CyberArk hay BeyondTrust cũng là điều cần thiết để đáp ứng xu thế toàn cầu. Cuối cùng, xây dựng incident response plan cụ thể cho các trường hợp credential compromise, bao gồm cả việc thông báo cho cơ quan quản lý trong vòng 24 giờ theo chuẩn quốc tế.