Mỹ cảnh báo rủi ro của dịch vụ đám mây đối với ngành ngân hàng
Bộ Tài chính Mỹ cảnh báo sự phụ thuộc của các ngân hàng và công ty tài chính vào một số ít dịch vụ điện đoán đám mây hàng đầu sẽ khiến họ dễ tổn thương trong trường hợp các nhà cung cấp lớn nhất gồm Amazon, Microsoft và Google bị tấn công mạng hoặc gặp sự cố kỹ thuật.
Các ngân hàng dễ bị tổn thương nếu dịch vụ đám mây mà họ đang sử dụng gặp sự cố kỹ thuật hoặc bị tấn công mạng. Ảnh: digfingroup |
Lợi ích đi kèm rủi ro
Trong báo cáo công bố hôm 8-2, các quan chức của Bộ Tài chính Mỹ nhấn mạnh một số thách thức khi các ngân hàng và các công ty tài chính gia tăng sử dụng điện toán đám mây để hỗ trợ hoạt động của họ. Các thách thức này gồm phụ thuộc vào số lượng nhỏ nhà cung cấp, thiếu nhân viên công nghệ lành nghề để ứng dụng hiệu quả dịch vụ đám mây.
Báo cáo ghi nhận các lợi ích bao gồm giảm chi phí cho công nghệ thông tin từ việc các ngân hàng và các tổ chức tài chính khác sử dụng các dịch vụ điện toán từ xa, hay còn gọi là đám mây. Nhiều ngân hàng đang sử dụng dịch vụ đám mây cho phần mềm như email và một số ít hơn đang dựa vào nó để quản lý các cơ sở hạ tầng nhạy cảm hơn như lưu trữ dữ liệu.
Báo cáo lưu ý nhiều tổ chức tài chính mua dịch vụ đám mây từ một số ít nhà cung cấp, đặc biệt là Amazon, Microsoft và Google của Alphabet. Điều đó có nghĩa là nếu một trong các nhà cung cấp này gặp một sự cố kỹ thuật hoặc bị tấn công mạng, điều này có thể gây ra hậu quả rộng lớn cho lĩnh vực dịch vụ tài chính.
Báo cáo cho biết: “Một lỗi hệ thống lớn hoặc một vụ xâm phạm dữ liệu tại một trong những nhà cung cấp dịch vụ đám mây này có thể ảnh hưởng đến nhiều tổ chức tài chính hoặc người tiêu dùng Mỹ”.
Báo cáo lưu ý rủi ro này đặc biệt nghiêm trọng đối với các tổ chức tài chính vừa và nhỏ.
Trong sách trắng năm 2020, Microsoft cho biết ngành công nghiệp đám mây không tập trung như các ngành khác và các dịch vụ đám mây của tập đoàn này được bảo mật.
Theo Bộ Tài chính Mỹ, các quy định quản lý không đồng bộ trên toàn cầu khiến các công ty tài chính lớn gần như không thể áp dụng nhất quán các hệ thống đám mây. Ví dụ, bắt đầu từ năm 2024, các công ty tài chính và nhà cung cấp dịch vụ đám mây ở Liên minh châu Âu (EU) sẽ đối mặt với các quy định quản lý chặt chẽ hơn và sẽ cần phải chứng minh họ có thể phục hồi nhanh như thế nào sau một cuộc tấn công mạng.
Thiết lập tiêu chuẩn sử dụng đám mây trong lĩnh vực tài chính
Theo các chuyên gia an ninh mạng, các dịch vụ đám mây có thể giúp doanh nghiệp tự bảo vệ mình khỏi nhiều loại hình tấn công mạng phổ biến. Tuy nhiên, chúng cũng đặt ra một số thách thức về quản lý rủi ro vì một vụ tấn mạng thành công nhằm vào một dịch vụ đám mây lớn có thể gây nguy hiểm cho nhiều khách hàng.
An ninh mạng là một trong những nguồn cơn gây xung đột giữa Mỹ và Trung Quốc. Trong nhiều năm qua, các quan chức Mỹ cáo buộc Bắc Kinh sử dụng các công ty bình phong để thực hiện các cuộc tấn công mạng với mục đích ăn cắp tài sản sở hữu trí tuệ và các dữ liệu quan trọng khác của doanh nghiệp Mỹ. Một trong những phương thức tấn công là xâm nhập vào hệ thống máy tính của các công ty cung cấp dịch vụ đám mây cho doanh nghiệp Mỹ. Bắc Kinh bác bỏ các cáo buộc này đồng thời tố ngược Washington sử dụng các chiến dịch tấn công mạng nhằm vào các tổ chức ở Trung Quốc.
Các cơ quan quản lý tài chính của chính phủ Mỹ dự kiến thảo luận báo cáo trên tại cuộc họp trong tuần này của Hội đồng Giám sát ổn định tài chính, nơi Bộ trưởng Tài chính Janet Yellen giữ chức chủ tịch. Bộ Tài chính Mỹ cũng đang thành lập một nhóm riêng để nghiên cứu mức độ tập trung vào các dịch vụ đám mây và sẽ đề xuất các quy định mới để quản lý các rủi ro tiềm ẩn. Nhóm này sẽ bao gồm các chuyên gia từ Bộ Tài chính, Văn phòng Kiểm soát tiền tệ (OCC) và Cục Bảo vệ tài chính người tiêu dùng (CFPB)
Báo cáo của Bộ Tài chính Mỹ cho biết các tổ chức tài chính muốn thấy sự minh bạch hơn từ các nhà cung cấp dịch vụ đám mây của họ về chi tiết của các sự cố mạng. Theo báo cáo, các tổ chức tài chính nhỏ hơn đôi khi gặp khó khăn trong việc tìm kiếm nhân viên có chuyên môn phù hợp về điện toán đám mây, làm tăng nguy cơ xảy ra sự cố bảo mật.
Bộ Tài chính Mỹ không phản đối cũng như không ủng hộ các ngân hàng sử dụng điện toán đám mây, thay vào đó, cố gắng thiết lập các tiêu chuẩn cho việc sử dụng công nghệ này trong lĩnh vực tài chính khi nó trở nên phổ biến hơn.
“Bằng cách xây dựng niềm tin, hợp tác ngay từ đầu, chúng ta có thể thúc đẩy quá trình di chuyển dữ liệu an toàn và hiệu quả của các tổ chức tài chính lên dịch vụ đám mây”, Thứ trưởng Bộ Tài chính Mỹ Wally Adeyemo nói trong một tuyên bố.
Viện Chính sách ngân hàng (BPI), tổ chức đại diện cho các ngân hàng lớn ở Mỹ, cho biết BPI hoan nghênh sự hợp tác với các quan chức chính phủ trong nỗ lực giải quyết rủi ro liên quan đến việc sử dụng dịch vụ đám mây.