NHNN siết chặt kiểm soát bảo mật Mobile Banking: Không cho phép dùng phiên bản cũ, phát hiện can thiệp là tự động thoát

Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng đang được NHNN đưa ra lấy ý kiến rộng rãi. Những điểm đáng chú ý nhất nằm ở Điều 8, quy định về phần mềm ứng dụng Mobile Banking.

Kiểm soát chặt phiên bản cài đặt: Không quá 2 phiên bản cũ so với bản mới nhất

Theo đề xuất, NHNN sẽ bổ sung khoản 1a vào sau khoản 1 Điều 8, quy định cụ thể về việc kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking. Mục đích chính là nhằm hạn chế, loại bỏ các phiên bản cũ hoặc phiên bản có lỗ hổng bảo mật.

Cụ thể, NHNN yêu cầu:

Đánh giá định kỳ: Định kỳ tối thiểu 02 tháng một lần phải đánh giá các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

Giới hạn phiên bản cũ: Kiểm soát và không cho phép khách hàng sử dụng các phiên bản cũ hơn tối đa không quá 02 phiên bản so với phiên bản mới nhất kết nối tới hệ thống Online Banking để thực hiện giao dịch.

Bắt buộc dùng bản mới nhất khi kích hoạt/kích hoạt lại: Trong trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, bắt buộc phải cài đặt, sử dụng phiên bản mới nhất. Đồng thời, phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Xử lý khẩn cấp khi có lỗ hổng: Khi phát hiện có lỗ hổng bảo mật phải có biện pháp kiểm tra, không cho thực hiện giao dịch và thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới.

Việc giới hạn số lượng phiên bản cũ được phép sử dụng được kỳ vọng sẽ giảm thiểu đáng kể rủi ro từ các lỗ hổng bảo mật đã được vá trên các phiên bản mới nhưng vẫn tồn tại trên các phiên bản cũ mà khách hàng đang dùng.

Mobile Banking phải tự động thoát khi phát hiện bị can thiệp

Bên cạnh việc kiểm soát phiên bản, NHNN cũng đề xuất bổ sung cụ thể các hành vi can thiệp trái phép mà ứng dụng Mobile Banking cần phải tự động phát hiện và phản ứng.

Đối với khoản 4 Điều 8, thay vì quy định chung chung về "Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép...", dự thảo bổ sung chi tiết:

Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động nếu phát hiện các trường hợp sau:

Phát hiện trình gỡ lỗi hoặc môi trường giả lập: Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập.

Phát hiện chèn mã (hook): Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API....

Phát hiện thiết bị bị phá khóa (root/jailbreak): Thiết bị đã bị phá khóa.

Những đề xuất này cho thấy sự quyết tâm của NHNN trong việc nâng cao khả năng tự vệ và chống chịu của các ứng dụng Mobile Banking trước các hình thức tấn công phức tạp, bảo vệ an toàn tài sản và thông tin của khách hàng trong bối cảnh tội phạm mạng ngày càng gia tăng.

NHNN hiện đang lấy ý kiến góp ý dự thảo trên Cổng Thông tin điện tử của cơ quan này.