Ngân hàng Nhà nước Việt Nam đang dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.
Cụ thể, với phần mềm ứng dụng Online Baking, NHNN yêu cầu các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh quán, tổ chức cung ứng dịch vụ Tiền di động phải đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các lỗ hổng, điểm yếu, kiểu tấn công bao gồm nhưng không giới hạn:
- Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).
- Đối với phần mềm ứng dụng Mobile Banking, phải đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).
NHNN cũng yêu cầu kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking định kỳ tối thiểu 02 tháng một lần đánh giá các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.
Ảnh minh họa. Nguồn: Internet.
Bên cạnh đó, kiểm soát và không cho phép khách hàng sử dụng các phiên bản cũ hơn tối đa không quá 02 phiên bản so với phiên bản mới nhất kết nối tới hệ thống Online Banking để thực hiện giao dịch. Trong trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, bắt buộc phải cài đặt, sử dụng phiên bản mới nhất. Đồng thời, các tổ chức phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này. Khi phát hiện có lỗ hổng bảo mật phải có biện pháp kiểm tra, không cho thực hiện giao dịch và thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới.
Ngoài ra, NHNN cũng yêu cầu các tổ chức trên triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Cụ thể như sau:
- Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động nếu phát hiện: Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; khi ứng dụng bị chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập; phát hiện phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook);
- Ứng dụng Mobile Banking cũng phải tự động thoát hoặc dừng hoạt động nếu phát hiện thiết bị đã bị phá khóa (root / jailbreak).
