MoMo cho hay họ là fintech đầu tiên tại Việt Nam đạt chứng chỉ bảo mật quốc tế PCI DSS (Payment Card Industry Data Security Standard – Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán) phiên bản 4.0 – cấp độ bảo mật chuẩn toàn cầu cao nhất hiện nay.

Đạt chứng chỉ này giúp gia tăng thêm các lớp chứng thực đa tầng, bảo vệ thông tin khách hàng và dữ liệu giao dịch nhưng vẫn đảm bảo một trải nghiệm mượt mà và thân thiện.

Tiêu chuẩn PCI DSS phiên bản 4.0 đáp ứng kịp thời các yêu cầu về an toàn bảo mật thông tin, cho phép các tổ chức sẵn sàng ứng phó các biến đổi của môi trường mạng. Mục tiêu của phiên bản 4.0 là giải quyết các mối đe dọa và công nghệ mới nổi, cho phép các phương pháp sáng tạo để chống lại các mối đe dọa mới đối với thông tin thanh toán của khách hàng. Đây là phiên bản nâng cấp quan trọng nhất kể từ khi phát hành phiên bản 3.0 vào năm 2014.

MoMo chủ động tiếp cận, đáp ứng các tiêu chuẩn khắt khe và triển khai các biện pháp kiểm soát nghiêm ngặt mới nhất của phiên bản PCI DSS 4.0, để bảo vệ tính toàn vẹn của hệ sinh thái MoMo dành cho khách hàng và đối tác.

Ngay từ năm 2016, MoMo là một trong số ít đơn vị trung gian thanh toán đạt được chứng nhận PCI DSS cấp độ Service Provider (cấp độ Nhà Cung Cấp Dịch vụ) level 1 – level cao nhất trong chuẩn bào mật.

Để liên tiếp 7 năm (2016 – 2023) được chứng nhận bảo mật quốc tế này, theo định kỳ hàng tháng và hàng năm, môi trường hạ tầng công nghệ thông tin và nền tảng công nghệ của MoMo phải trải qua các đợt kiểm tra nghiêm ngặt từ phía Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council).

Với chuẩn bảo mật PCI DSS v4.0, ngoài tiêu chí hiện hành của phiên bản 3.2.1 có các nhóm yêu cầu chính gồm: Xây dựng và duy trì hệ thống mạng bảo mật, Bảo vệ dữ liệu thẻ thanh toán, Xây dựng và duy trì an ninh mạng, Xây dựng hệ thống kiểm soát xâm nhập, Theo dõi và đánh giá hệ thống thường xuyên, và Chính sách bảo vệ thông tin, MoMo đã đáp ứng hơn 300 yêu cầu của phiên bản 4.0 mới, trong đó có triển khai các chính sách và biện pháp bảo mật điện toán đám mây cũng như chứng thực đa tầng.

Ông Thái Trí Hùng, Phó tổng giám đốc cấp cao, kiêm CTO MoMo cho biết MoMo không ngừng nâng cấp đáp ứng các tiêu chuẩn bảo mật mới nhất để luôn giữ thế chủ động trước các rủi ro mới trên môi trường mạng, đảm bảo cung cấp dịch vụ ổn định, và an toàn nhất cho người dùng, khách hàng và đối tác.

PCI DSS (Payment Card Industry Data Security Standard) là tiêu chuẩn bảo mật xác lập bởi Hội đồng Tiêu chuẩn Bảo mật (PCI Security Standards Council) gồm các thành viên: Visa, MasterCard, American Express, Discover Financial Services, JCB International. Để được cấp chứng chỉ này, nhà cung cấp dịch vụ phải kiểm tra mạng lưới hạ tầng hàng tháng, và đồng thời trải qua các đợt kiểm tra bảo mật hàng năm từ Hội đồng Tiêu chuẩn Bảo mật, nhằm đảm bảo đáp ứng và tuân thủ các nguyên tắc về bảo mật.

Hệ thống bảo mật của MoMo đạt chứng nhận bảo mật toàn cầu PCI DSS (Payment Card Industry Data Security Standard) cấp độ cao nhất của Service Provider (cấp độ Nhà cung cấp dịch vụ loại 1).

Nghiên cứu mới của Kaspersky cho thấy việc nhân viên vi phạm chính sách bảo mật thông tin của tổ chức cũng nguy hiểm như các cuộc tấn công của tin tặc.

Trong hai năm qua, có tới 33% sự cố an ninh mạng tại các doanh nghiệp ở Châu Á – Thái Bình Dương (APAC) xảy ra do nhân viên cố tình vi phạm giao thức bảo mật. Con số này gần bằng thiệt hại gây ra bởi rò rỉ dữ liệu trên không gian mạng khi có tới 40% sự cố mạng xảy ra do bị hacker tấn công tại khu vực.  Những con số này có xu hướng cao hơn khi so sánh với mức trung bình toàn cầu, lần lượt là 26% và 30%.

Một quan điểm phổ biến cho rằng con người là nguyên nhân chính dẫn đến sự cố an ninh mạng trong doanh nghiệp. Thực tế, diễn biến an ninh mạng của một tổ chức vô cùng phức tạp, rất nhiều yếu tố cần được phân tích kỹ lưỡng trước khi đưa ra bất kỳ nhận định nào.

Vì vậy, Kaspersky đã tiến hành một nghiên cứu để tham khảo ý kiến của các chuyên gia bảo mật CNTT làm việc cho các doanh nghiệp vừa và nhỏ (SME) và các doanh nghiệp trên toàn thế giới về những ảnh hưởng nhân sự có thể mang đến cho tổ chức. Nghiên cứu nhằm mục đích thu thập thông tin về những nhóm đối tượng khác nhau, bao gồm các nhân viên nội bộ và bên ngoài bộ phận CNTT, có khả năng tác động đến an ninh mạng. Khảo sát được thực hiện với 234 nhân sự từ các tổ chức ở APAC.

Nghiên cứu của Kaspersky tiết lộ rằng, bên cạnh những lỗi kỹ thuật ngoài tầm kiểm soát nhân sự, việc vi phạm chính sách bảo mật thông tin của nhân viên cũng là một trong những vấn đề nghiêm trọng nhất đối với các doanh nghiệp tại khu vực.

Những người tham gia khảo sát cho rằng những hành động cố ý vi phạm các quy tắc an ninh mạng đều được thực hiện bởi nhân viên CNTT và nhân viên không thuộc bộ phận CNTT trong hai năm qua. Họ cho biết việc vi phạm chính sách của các chuyên gia bảo mật CNTT cấp cao đã gây ra 16% sự cố an ninh mạng, cao hơn 4% so với mức trung bình toàn cầu. Các chuyên gia CNTT khác và các nhân viên không thuộc bộ phận CNTT đã vi phạm các giao thức bảo mật và gây ra khoảng 15% và 12% sự cố mạng.

Về hành vi cá nhân của nhân viên, vấn đề thường gặp nhất là nhân viên cố tình thực hiện những hành vi vi phạm nguyên tắc doanh nghiệp và ngược lại, họ làm những việc không được yêu cầu. Những người tham gia nghiên cứu cho rằng 35% sự cố an ninh mạng là do mật khẩu yếu và không thay đổi mật khẩu thường xuyên,cao hơn 10% so với kết quả toàn cầu là 25%.

Bên cạnh đó, việc các nhân sự ở APAC truy cập trang web không bảo mật dẫn đến rò rỉ dữ liệu chiếm đến 32% câu trả lời trong khảo sát. Tiếp đến có 25% nhân sự báo cáo rằng doanh nghiệp phải đối mặt với sự cố mạng vì các đồng nghiệp không cập nhật phần mềm, ứng dụng khi được hệ thống yêu cầu.

Kết quả nghiên cứu của Kaspersky tại khu vực APAC

“Đây là một vấn đề đáng báo động khi đã có nhiều sự cố rò rỉ dữ liệu và tấn công ransomware diễn ra trong khu vực năm nay, nhưng nhiều nhân sự vẫn cố tình vi phạm các chính sách bảo mật thông tin cơ bản. Nghiên cứu mới nhất của Kaspersky chứng minh rằng những dữ liệu của APAC luôn cao hơn mức trung bình toàn cầu, vì vậy, tiếp cận đa phòng ban sẽ là một cách hiệu quả để xây dựng văn hóa an ninh doanh nghiệp nhằm giải quyết yếu tố con người mà các tội phạm mạng đang khai thác, ” ông Adrian Hia, Giám đốc Điều hành khu vực Châu Á – Thái Bình Dương của Kaspersky chia sẻ.

Việc sử dụng các dịch vụ hoặc thiết bị không được yêu cầu cũng là một trong những nguyên nhân dẫn đến những hành vi vi phạm chính sách bảo mật thông tin có chủ đích. Gần 31% doanh nghiệp gặp phải sự cố mạng vì nhân sự sử dụng hệ thống chưa được cấp phép để chia sẻ dữ liệu. Có đến 25% nhân sự cố tình truy cập dữ liệu thông qua các thiết bị chưa được cấp phép, trong khi đó nhân sự ở 26% doanh nghiệp khác cũng chuyển dữ liệu đến địa chỉ email cá nhân. Một hành vi khác được báo cáo là các nhân sự dùng các thiết bị làm việc để triển khai CNTT bóng tối (shadow IT), 15% người tham gia khảo sát nhận định đây cũng là nguyên nhân dẫn đến sự cố mạng.    

Bên cạnh những hành vi vô trách nhiệm đề cập bên trên, những người tham gia khảo sát cũng tiết lộ rằng có đến 26% hành vi vi phạm của nhân sự đến từ mục đích vụ lợi cá nhân. Theo đó, 18% người được khảo sát cho rằng việc cố tình vi phạm chính sách bảo mật thông tin là một vấn đề tương đối lớn trong lĩnh vực dịch vụ tài chính.

Ông Alexey Vovk, Trưởng nhóm Bảo mật Thông tin của Kaspersky cho biết: “Cùng với các mối đe dọa an ninh mạng bên ngoài, có nhiều yếu tố bên trong có thể dẫn đến sự cố ở bất kỳ tổ chức nào. Theo số liệu thống kê, nhân sự từ bất kỳ bộ phận nào, dù là chuyên hay không chuyên về CNTT, đều có thể gây ảnh hưởng tiêu cực đến an ninh mạng một cách có và không chủ đích. Vì vậy, việc cân nhắc các phương pháp ngăn chặn vi phạm chính sách bảo mật thông tin rất quan trọng, đơn cử là triển khai các phương pháp tích hợp để đảm bảo an ninh mạng. Theo nghiên cứu của chúng tôi, ngoài 26% sự cố mạng là do vi phạm chính sách bảo mật thông tin, 38% vi phạm xảy ra từ nhân sự. Những con số đáng báo động này cho thấy văn hóa an ninh mạng trong doanh nghiệp cần được xây dựng ngay từ đầu bằng việc thiết lập và thực thi các chính sách bảo mật, cũng như nâng cao nhận thức của nhân sự về an ninh mạng. Như vậy, nhân viên sẽ nhìn nhận các quy định một cách có trách nhiệm và hiểu rõ hơn về hậu quả có thể xảy ra nếu vi phạm”.

Mỗi dịp cuối năm Kaspersky thường dự báo các vấn đề bảo mật có thể nở rộ trong năm tiếp theo.

Năm nay, hãng bảo mật này cho rằng các xu hướng dưới đây có thể được khai thác mạnh trong năm tới.

Chuyên gia của hãng này cho rằng các hacker sẽ sử dụng các công cụ tấn công có chủ đích (APT) để khai thác nhiều lỗ hổng và thâm nhập thiết bị di động, thiết bị đeo thông minh (wearables) và thiết bị thông minh (smart devices), đồng thời sử dụng chúng để hình thành mạng lưới botnet, tinh chỉnh các phương thức tấn công chuỗi cung ứng và sử dụng trí tuệ nhân tạo (AI) để cuộc tấn công lừa đảo có hiệu quả hơn. 

Các công cụ AI mới nổi dễ dàng soạn thảo những tin nhắn lừa đảo trực tuyến. Thậm chí có thể bắt chước các cá nhân cụ thể. Những kẻ tấn công có thể thu thập dữ liệu trực tuyến của ai đó và cung cấp dữ liệu đó cho mô hình ngôn ngữ lớn (LLM) để tạo ra nội dung tin nhắn giống như người quen của nạn nhân.

Trong bối cảnh căng thẳng địa chính trị leo thang, số lượng các cuộc tấn công mạng do nhà nước bảo trợ cũng có khả năng tăng mạnh trong năm tới. Những cuộc tấn công này có thể đánh cắp hoặc mã hóa dữ liệu, phá hủy cơ sở hạ tầng CNTT, hoạt động gián điệp lâu dài và phá hoại không gian mạng.

Một xu hướng đáng chú ý khác là chủ nghĩa hacktivism, vốn đã trở nên phổ biến hơn trong bối cảnh xung đột địa chính trị. Căng thẳng địa chính trị cho thấy khả năng gia tăng hoạt động hacktivist, vừa mang tính phá hoại, vừa nhằm mục đích truyền bá thông tin sai lệch.

Hacker có thể tấn công vào các công ty nhỏ có mức độ bảo mật kém, để từ đó tấn công lan sang công ty lớn hơn nằm trong chuỗi cung ứng. Động cơ của các cuộc tấn công này có thể bao gồm từ lợi ích tài chính đến hoạt động gián điệp.

Các nhóm hack thuê đang gia tăng, cung cấp dịch vụ đánh cắp dữ liệu cho khách hàng, từ các nhà điều tra tư nhân đến các đối thủ kinh doanh. Xu hướng này dự kiến sẽ phát triển trong năm tới.

Internet ngày càng phát triển mở ra cho mọi người nhiều cánh cửa cơ hội kết nối, học tập và làm việc nhưng cũng ẩn chứa nhiều mối đe dọa, đặc biệt liên quan đến những hành vi xâm nhập tài khoản hoặc lừa đảo tinh vi. Vì thế, trong kế hoạch cho năm mới, bên cạnh việc mở rộng mạng lưới xã hội trên Internet, người dùng nên quan tâm hơn đến các cách thức và công cụ bảo mật tài khoản cá nhân để phòng tránh các rủi ro luôn tiềm tàng trên không gian mạng.

Phương thức bảo mật hiệu quả và đơn giản giúp cá nhân an toàn hơn trên mạng 

Với sự gia tăng đáng kể của nhiều cuộc tấn công và lừa đảo trên không gian mạng, việc bảo mật cho tài khoản cá nhân của bạn nên là một gạch đầu dòng cần chú ý trong kế hoạch năm mới. Từ đó, bạn có thể hình thành nên thói quen tốt trong việc bảo vệ tài khoản và thông tin cá nhân của mình, phòng tránh những trường hợp xâm nhập khó lường. 

Cụ thể, trình quản lý mật khẩu (Password Manager) và Xác minh 2 bước (2-Step Verification) sẽ là các phương thức bảo mật hiệu quả, hỗ trợ người dùng an toàn hơn trên không gian mạng.

Với vô số tài khoản trực tuyến mà bạn đã thiết lập qua nhiều năm, mật khẩu sẽ là lớp bảo vệ đầu tiên. Trình quản lý mật khẩu (Password Manager) không chỉ hỗ trợ tạo lập và ghi nhớ những mật khẩu mạnh cũng như duy nhất cho từng tài khoản mà còn gửi cảnh báo đến bạn khi có những hành vi vi phạm tiềm ẩn nào khác. 

Trình quản lý mật khẩu Google được tích hợp trong trình duyệt Chrome và tất cả các ứng dụng Android, đồng thời liên tục kiểm tra 1 tỷ mật khẩu mỗi ngày nhằm phát hiện trường hợp vi phạm. Các chuyên gia bảo mật cũng khuyến khích người dùng sử dụng trình quản lý mật khẩu khi nó giúp bạn tránh khỏi những bẫy trực tuyến tiềm tàng.

Xác minh 2 bước là phương thức gia tăng thêm một lớp bảo mật bên cạnh mật khẩu (password). Mỗi khi đăng nhập vào tài khoản, người dùng cần nhập mật khẩu (bước 1) và mã ngẫu nhiên (bước 2) cài đặt qua tin nhắn SMS hoặc ứng dụng Google Authenticator. 

Theo đó, trường hợp vô tình lộ mật khẩu thì kẻ gian cũng không thể đăng nhập trái phép vào tài khoản do thiếu mã ngẫu nhiên là lớp bảo vệ thứ hai. Trong năm 2021, Google đã kích hoạt thành công phương thức này cho hơn 150 triệu người và yêu cầu hơn 2 triệu nhà sáng tạo nội dung YouTube thực hiện thao tác này. Nhờ đó, số tài khoản bị xâm nhập giữa những người dùng giảm 50%.

Ghi nhận mức độ tìm kiếm về chủ đề bảo mật tăng đáng kể tại Việt Nam

Trong năm 2022, Google ghi nhận người dùng Việt chủ động tìm kiếm nhiều hơn về chủ đề bảo mật tài khoản trên Internet. Bên cạnh là một trong năm nước tìm kiếm nhiều nhất về chủ đề “Mật khẩu sử dụng một lần” (One-time Password, OTP), Việt Nam cũng ghi nhận mức độ tìm kiếm chạm mức cao nhất về chủ đề này 15 năm qua.

Năm 2022, Việt Nam ghi nhận mức độ tìm kiếm chạm mức cao nhất về chủ đề OTP trong 15 năm qua

So với năm 2021, người dùng Internet Việt tìm kiếm nhiều về các chủ đề liên quan đến an ninh mạng, như “Trình tạo mật khẩu ngẫu nhiên” tăng 90%, “Độ mạnh mật khẩu” hay “Gian lận quảng cáo” đều tăng 70%, và “Quản lý mật khẩu” tăng 50%. 

Người Việt cũng thể hiện sự quan tâm đáng kể đến mã độc, phần mềm độc hại và virus thông qua những câu hỏi như “Thế nào là mã độc?”, “Bản chất của worm sâu máy tính là gì?”, “Bản chất của virus là gì?”,…

Mức độ tìm kiếm về chủ đề “Trình tạo mật khẩu ngẫu nhiên” tăng 90% 

Các câu hỏi thịnh hành về chủ đề bảo mật tại Việt Nam năm 2022

Bên cạnh việc tìm kiếm nhiều hơn về các thuật ngữ và định nghĩa liên quan đến chủ đề bảo mật, người dùng còn chủ động tìm kiếm những giải pháp bảo vệ tài khoản cá nhân của mình và mạng lưới doanh nghiệp. 

Cụ thể, các cụm tìm kiếm về chương trình chống virus, luật an ninh mạng như “hosting chống ddos”, “business antivirus”, “tìm hiểu luật an ninh mạng”,….ghi nhận số lượt tìm kiếm vượt trội.