Giải pháp bảo mật cho hệ thống ATM: Đề xuất và phân tích

Máy ATM đầu tiên trên thế giới được thiết kế bởi Luther George Simjian năm 1939. Tuy nhiên, mãi đến năm 1967, máy ATM điện tử đầu tiên mới được hãng Iп De la Гue thiết kế tại Enfield Town gần London. Ngày nay, ATM không chỉ là thiết bị rút tiền mà còn cung cấp nhiều dịch vụ khác như chuyển khoản, thanh toán hóa đơn, mua vé, và các dịch vụ thương mại điện tử. Điều này giúp chủ thẻ kiểm tra tài khoản, rút tiền mặt, chuyển khoản thanh toán hàng hóa, dịch vụ một cách tiện lợi. Theo [2], ATM là thiết bị để Ngân hàng giao dịch tự động với chủ thẻ.

Thanh toán tiền qua hệ thống ATM đã phổ biến trên toàn thế giới và ở Việt Nam hệ thống ATM cũng đang dần phổ biến. Năm 1993, thị trường thẻ Ngân hàng Việt Nam mới xuất hiện những sản phẩm thẻ đầu tiên do Ѵieƚເ0mьaпk̟ phát hành, đến năm 1996 thì thị trường thẻ bắt đầu thực sự xuất hiện. Đến nay, chúng ta đã chứng kiến sự phát triển vượt bậc của thị trường thẻ và máy ATM tại Việt Nam, với hơn 20 Ngân hàng thương mại phát hành Thẻ nội địa, trong đó có 8 Ngân hàng thương mại phát hành Thẻ Quốc tế.

Thẻ từ rất dễ bị sao chép chỉ với một bảng mạch điện tử 2 đầu đọc băng từ hoặc với công nghệ “hộp đen” phân tích tín hiệu từ đầu vào và đầu ra, tội phạm có thể làm ra những chiếc thẻ tương tự. Ngoài việc bị lấy cắp trực tiếp từ việc đọc trên băng từ, dữ liệu còn có thể bị đánh cắp từ trên đường truyền bưu điện mà Ngân hàng thuê. Cũng không loại trừ trường hợp người của các Ngân hàng thông đồng với tội phạm để cài đặt các thiết bị lấy cắp dữ liệu vào máy ATM, từ đó lấy cắp dữ liệu thẻ của khách hàng.

Không những vậy, bọn trộm còn gắn những camera bé xíu cho phép quay cận cảnh bàn phím trên ATM để ăn cắp số PIN (mật mã) truy cập tài khoản của chủ thẻ. Nhiều chủ thẻ không thấy được tầm quan trọng của việc bảo mật những thông tin cá nhân của thẻ (như mã PIN) nên đã bị kẻ gian “nhìn trộm” mật mã, sau đó ăn cắp thẻ để thực hiện hành vi rút tiền/thanh toán bất hợp pháp. Ngoài ra phát sinh các vấn đề mới, những thông tin dữ liệu nằm ở CSDL hay đang truyền trên đường truyền có thể bị trộm cắp, làm sai lệch và có thể bị giả mạo.

Việc sử dụng hàm băm (hash function) là một phương pháp hiệu quả để bảo vệ số PIN của khách hàng. Thay vì lưu trữ trực tiếp số PIN, hệ thống sẽ lưu trữ giá trị băm của số PIN. Khi khách hàng nhập số PIN, hệ thống sẽ băm số PIN đó và so sánh với giá trị băm đã lưu trữ. Nếu hai giá trị băm trùng khớp, hệ thống sẽ xác thực số PIN là đúng. Điều này giúp bảo vệ số PIN ngay cả khi cơ sở dữ liệu bị xâm nhập.

Để đảm bảo tính toàn vẹn của thông điệp giữa ATM và hệ thống Switch, cần sử dụng mã xác thực thông điệp (MAເ). Mã MAເ được tạo ra bằng cách sử dụng một khóa bí mật và thông điệp cần gửi. Bên nhận sẽ sử dụng cùng khóa bí mật và thông điệp nhận được để tạo ra mã MAເ của riêng mình. Nếu hai mã MAເ trùng khớp, thông điệp được xác nhận là không bị thay đổi trong quá trình truyền tải.

Việc lắp đặt camera giám sát tại các máy ATM giúp ghi lại hình ảnh của những người sử dụng máy, từ đó có thể xác định được nghi phạm trong trường hợp xảy ra tấn công hoặc gian lận. Hệ thống báo động sẽ phát tín hiệu cảnh báo khi có hành vi xâm nhập trái phép vào máy ATM, giúp lực lượng an ninh có thể phản ứng kịp thời.

Việc kiểm soát truy cập vào bên trong máy ATM là rất quan trọng để ngăn chặn các hành vi phá hoại hoặc đánh cắp dữ liệu. Chỉ những người được ủy quyền mới được phép mở máy ATM và thực hiện các thao tác bảo trì, sửa chữa. Các thiết bị bên trong máy ATM cần được bảo vệ bằng các biện pháp an ninh vật lý, chẳng hạn như khóa, niêm phong, và cảm biến chống tháo gỡ.

Hiện nay, có nhiều tiêu chuẩn bảo mật ATM quan trọng mà các ngân hàng cần tuân thủ, chẳng hạn như PCI DSS (Payment Card Industry Data Security Standard). Tiêu chuẩn này đưa ra các yêu cầu về bảo mật dữ liệu thẻ, kiểm soát truy cập, và quản lý rủi ro. Việc tuân thủ các tiêu chuẩn này giúp các ngân hàng giảm thiểu nguy cơ bị tấn công và bảo vệ thông tin của khách hàng.

Việc kiểm tra và đánh giá rủi ro bảo mật ATM định kỳ là rất quan trọng để phát hiện các lỗ hổng bảo mật và đưa ra các biện pháp khắc phục kịp thời. Các cuộc kiểm tra này nên được thực hiện bởi các chuyên gia bảo mật độc lập, có kinh nghiệm trong lĩnh vực an ninh ATM. Kết quả kiểm tra sẽ giúp các ngân hàng xác định được các điểm yếu trong hệ thống bảo mật của mình và đưa ra các biện pháp cải thiện phù hợp.

Xác thực đa yếu tố (Multi-Factor Authentication - MFA) là phương pháp xác thực yêu cầu người dùng cung cấp nhiều hơn một loại bằng chứng để chứng minh danh tính của mình. Sinh trắc học (biometrics) sử dụng các đặc điểm sinh học duy nhất của mỗi người để xác thực danh tính, chẳng hạn như vân tay, khuôn mặt, hoặc giọng nói. Việc kết hợp hai công nghệ này sẽ giúp tăng cường đáng kể khả năng bảo mật của hệ thống ATM.

Quản lý rủi ro (Risk Management) là quá trình xác định, đánh giá, và kiểm soát các rủi ro có thể ảnh hưởng đến hệ thống ATM. Phản ứng sự cố (Incident Response) là quá trình xử lý các sự cố bảo mật xảy ra, chẳng hạn như tấn công, gian lận, hoặc lỗi hệ thống. Việc có một kế hoạch quản lý rủi ro và phản ứng sự cố hiệu quả sẽ giúp các ngân hàng giảm thiểu thiệt hại và khôi phục hoạt động nhanh chóng sau khi xảy ra sự cố.