Bài viết- ThS. Hồ Tuấn Vũ - GIẢI PHÁP HẠN CHẾ RỦI RO GIAO DỊCH TRONG INTERNET BANKING TẠI CÁC NGÂN HÀNG THƯƠNG MẠI VIỆT NAM
GIẢI PHÁP HẠN CHẾ RỦI RO GIAO DỊCH TRONG INTERNET BANKING TẠI CÁC NGÂN HÀNG THƯƠNG MẠI VIỆT NAM
Việt Nam đang trong quá trình hội nhập với kinh tế thế giới, trong đó tài chÍnh ngân hàng là lĩnh vực có tốc độ hội nhập nhanh nhất. Những lợi ích mà Internet Banking cũng như các dịch vụ trực tuyến khác mang lại thực sự là công cụ cạnh tranh hữu hiệu cho các ngân hàng trong nước cho cuộc chạy đua với các ngân hàng nước ngoài đang ngày càng thâm nhập sâu vào thị trường Việt Nam. Do đó, việc nghiên cứu và triển khai nhanh chóng, đồng bộ các giải pháp để hạn chế rủi ro giao dịch, thúc đẩy dịch vụ Internet Banking ngày càng phát triển trong ngành ngân hàng thương mại Việt Nam thực sự cấp thiết.
1. Các rủi ro giao dịch trong Internet Banking ở các ngân hàng
Rủi ro giao dịch là các rủi ro hiện tại và tiềm tàng đối với thu nhập và vốn của ngân hàng phát sinh do sự gian lận, sai sót hoặc do mất khả năng cung cấp sản phẩm hay dịch vụ, duy trì lợi thế cạnh tranh và quản lý thông tin. Rủi ro giao dịch luôn có trong mỗi sản phẩm và dịch vụ ngân hàng cung cấp, tiềm ẩn trong việc phát triển và cung ứng sản phẩm, xử lý giao dịch, ước tính và triển khai hệ thống, tính phức tạp của sản phẩm và dịch vụ và môi trường kiểm soát nội bộ.
Các sản phẩm Internet Banking có mức độ rủi ro giao dịch cao, đặc biệt là khi quy trình cung cấp sản phẩm không được hoạch định, thực hiện và theo dõi đầy đủ. Các ngân hàng có cung cấp sản phẩm và dịch vụ qua Internet có thể gặp rủi ro khi không đảm bảo đủ khả năng cung ứng các dịch vụ chính xác, kịp thời và đáng tin cậy để làm cho khách hàng tin tưởng hơn vào thương hiệu của mình.
Rủi ro giao dịch còn xuất hiện khi có các cuộc tấn công và thâm nhập vào máy tính và hệ thống mạng của ngân hàng. Đây là rủi ro có tính chất nghiêm trọng nhất trong các dạng rủi ro giao dịch. Rủi ro thuộc thể loại này thường phụ thuộc nhiều vào yếu tố khách quan nên rất khó phòng tránh và khắc phục. Hậu quả của các cuộc tấn công và thâm nhập là không thể lương trước được, có thể chỉ là sự mất mát thông tin cá nhân hoặc cũng có thể là một vụ đánh cắp tài khoản với giá trị vô cùng lớn. Các nghiên cứu cho thấy hệ thống mạng của ngân hàng dể bị tấn công từ nội bộ hơn là từ bên ngoài vì người sử dụng nội bộ hiểu rõ hệ thống và cách tiếp cận hệ thống hơn. Để hạn chế hậu quả của các cuộc tấn công này, các ngân hàng thường có biện pháp kiểm soát ngăn ngừa và theo dõi để bảo hệ thống ngân hàng không bị tấn công từ bên trong lẫn bên ngoài.
Có nhiều kiển tấn công trực tuyến, các cuộc tấn công trực tuyến có thể nhằm vào các đối tượng khác nhau. Kẻ tấn công có thể khai thác các điểm yếu trong hệ điều hành, hoặc cố gắng nhiều lần để thâm nhập bất hợp pháp vào trang Web trong thời gia ngắn và ngăn cản cung cấp dịch vụ cho khách hàng. Các kiểu tấn công trực tuyến có thể bao gồm:
- Nghe lén (Sniffers): đây là phần mềm dùng để theo dõi các thao tác gõ phím từ một máy tính cá nhân, phần mềm này có thể đánh cắp tên truy cập (ID) và mật khẩu (Password)
- Đoán mật khẩu (Guessing password): sử dụng phần mềm này kiểm tra cho tất các các khả năng kết hợp có thể xảy ra để có thể truy cập vào hệ thống mạng.
- Vét cạn (Brute force): kỹ thuật đánh cắp các thông điệp đã được mã hóa, sau đó sử dụng phần mềm để bẻ khóa và giải mã thông điệp gồm tên truy cập và mật khẩu.
- Gọi ngẫu nhiên (Random dialing): kỹ thuật này được dùng để gọi tất cả các số điện thoại có thể khi có một giao dịch với ngân hàng. Mục đích là để tìm xem moderm nào đang được kết nối với hệ thống của ngân hàng, đây có thể là mục tiêu tấn công.
- Lừa đảo (Social engineering): kẻ tấn công gọi đến ngân hàng, mạo nhận là một người dùng để lấy thông tin của hệ thống chẳng hạn như thay đổi mật khẩu.
- Ngựa Trojan (Trojan Horse): một lập trình viên có thể cài mã vào hệ thống cho phép lập trình viên đó hoặc người khác xâm nhập bất hợp pháp và hệ thống.
- Chặn dữ liệu ((Hijacking): chặn dữ liệu được truyền, sau đó cố gắng khai thác thông tin từ dữ liệu có được. Internet Banking đặc biệt để bị tấn công theo cách này.
Các tội phạm trên mạng có thể thực hiện cuộc tấn công bằng cách sử dụng Virus, Worm hay các phần mềm gián điệp (Spyware). Virus là đoạn mã chương trình được cài vào máy chủ, sau đó lan sang các máy trạm, đoạn chương trình này không chạy độc lập mà được gắn sau đuôi một đoạn chương trình khác. Worm là một chương trình độc lập, sử dụng tài nguyên của máy tính chủ để lan truyền thông tin đi các máy khác. Spyware là một chương trình được bí mật cài vào máy tính nhằm mục đích thu thập thông tin của người sử dụng, quản cáo hay thay đổi cấu hình của máy tính.
2. Tình hình rủi ro giao dịch tại Việt Nam
Trong tình hình an ninh mạng trên toàn thế giới, an ninh mạng trong nước, đặc biệt là an ninh mạng tài chính ngân hàng cũng bị ảnh hương nghiêm trọng, tiềm ẩn rủi ro lớn cho Internet Banking. Theo một số báo cáo tại hội thảo quốc tế về an toàn an ninh và hệ thống cho biết, trong các diễn đàn hacker lớn trên thế giới, Việt Nam là miền đất lý tưởng cho các hacker trổ tài bởi có quá nhiều website lỏng lẻo trong việc bảo mật. Bảng thống kê dưới đây cho thấy tình hình an ninh mạng bất ổn ở Việt Nam trong thời gian qua
| Năm | 2007 | 2008 | 2009 | 2010 |
| Chỉ tiêu | ||||
| 1. Số máy tính bị nhiểm virus (lượt) | 33.464.000 | 59.450.000 | 64.700.000 | 58.600.000 |
| 2. Số virus mới xuất hiện trong năm | 6.752 | 33.137 | 47.000 | 57.835 |
| 3. Số virus mới trung bình trong 1 ngày | 18,49 | 90,78 | 127,76 | 158,45 |
| 4. Số website bị hacker tấn công | 342 | 461 | 1.037 | 1.058 |
(Nguồn: Báo cáo tổng kết an ninh mạng)
Chỉ riêng trong năm 2010 tại Việt Nam đã có tới 58,6 triệu máy tính bị nhiễm virus với 57.835 virus mới xuất hiện, số website bị tấn công là 1.058. Ước tính các thiệt hại lên tới hàng ngàn tỷ đồng. Các thiệt hại khác về bí mật thông tin chưa thể tính toán được. Các hacker tấn công các website thương lợi dụng những điểm yếu an ninh chưa được quản trị cập nhật và vá lỗi. Một trường hợp cụ thể là ngày 25/07/2008, website của Techcombank bị hacker xâm nhập và để lại thông điệp cảnh báo lỗi bảo mật. Một số website ngân hàng và các hệ thống thanh toán trực tuyến khác cũng trong tình trạng mất an ninh an toàn thông tin.
Theo tổng kết của trung tâm ứng cứu máy tính Việt Nam (VNCERT) thuộc Bộ thông tin và truyền thông, thời gian này là thời gian mà tội phạm mạng chuyển hướng tấn công vào hệ thống thông tin của các ngân hàng và chứng khoán. Những cuộc tấn công này mang tính chuyên nghiệp cao và gây tổn thất về nhiều mặt. Trong bối cảnh các ngân hàng đang triển khai Internet Banking thì dịch vụ thanh toán trực tuyến này chính là đích ngắm mới cho các loại tội phạm mạng.
Lừa đảo trực tuyến gia tăng. Nếu như vào năm 2005, chỉ mới một vài trường hợp lùa đảo trực tuyến (phishing) xảy ra ở Việt Nam (như trường hợp thông tin khuyên mãi “giả mạo” mời đăng ký tài khoản tại www.swissbank-accounts.net nhắm vào khách hàng của ngân hàng Sài Gòn Thương Tín) thì đến năm 2010, các hình thức lừa đảo trực tuyến trên thế giới đã có mặt tại Việt Nam, gồm: lừa đảo qua diễn đàn trên mạng, lừa đảo qua email mà điển hình nhất là lừa đảo trúng thưởng xổ số, lừa đảo qua tin nhắn từ các tổng đài tự động, ăn cắp và làm giả thẻ tín dụng. Chuyện mua bán trên mạng bằng thẻ tín dụng đánh cắp, thẻ tín dụng giả đã không còn là chuyện hiếm từ vài năm trở lại đây. Theo báo cáo thực trạng an ninh trong năm năm 2010, 66% lừa đảo trực tuyến là nhằm vào lĩnh vực tài chính, ngân hàng. Các đích tấn công thanh toán trực tuyến chiếm 31%. Xuất hiện ngày càng nhiều vụ lừa đảo trực tuyến bắt nguồn từ Việt Nam và nhắm vào người dùng Internet Việt Nam.
Điển hình như vụ hai đối tượng người Malaysia là Cham Tack Choi và Tan Wei Hong sử dụng thẻ tín dụng Visa, Master giả để thanh toán tại khách sạn Metropol (thanh toán số tiền hơn 500 triệu đồng). Sau đó các đối tượng đã bị HĐXX TAND TP Hà Nội tuyên phạt mỗi người 7 năm tù giam về tội Trộm cắp tài sản.
Nghiêm trọng hơn là vụ án trưởng Văn phòng đại diện của Công ty Công ty Golden Rock (tại TPHCM) Stanley Elliot Tan (45 tuổi), quốc tịch Canada cùng Giám đốc tài chính Patrick Chang đã lừa đảo và bỏ trốn cùng số tiền gần 10 triệu USD…
Năm 2010, các virus phá họai xuất hiện và bùng phát trên diện rộng với mức dộ tăng trưởng rất nhanh, bình quân 158,45 virus/ngày (cao gấp gần 10 lần năm 2007). Chúng liên tục thay đổi cách thức lây lan như qua website chứa mã độc, phần mềm crack, USB,…Các loại mã độc nguy hiểm và từ các nguồn bên ngoài lây nhiễm mạnh.
Tình hình an ninh mạng trong nước nhìn chung là bất ổn. Khách hàng các dịch vụ thanh toán trực tuyến, trong đó có Internet Banking , vì thế luôn có tâm lý dè dặt khi đến với dịch vụ này. Trong khi đó, các giao dịch Internet Banking ở Việt nam còn khá mới mẻ và chiếm tỷ trọng nhỏ trong hoạt động ngân hàng, dẫn đến việc quản lý rủi ro ở hoạt động này cũng chỉ giai đoạn ban đầu, chưa thực sự đem lại niềm tin và sự an tâm cho khách hàng. Công tác cảnh báo rủi ro cho khách hàng còn bị buông lỏng.
Bên cạnh những rủi ro giao dịch phát sinh do tình hình an ninh mạng bất ổn như đã nêu trên, các ngân hàng sử dụng Internet Banking ở Việt Nam còn gặp phải rủi ro giao dịch do sự không sẵn sàng, thiếu liên tục và không tiện lợi của hệ thống và của trang web cung cấp dịch vụ. Rủi ro thường thấy là đường truyền bị lỗi, giao dịch không thành công. Mặc dù có nhiều ngân hàng tuyên bố đã có Interet banking, song khi truy cập vào khách hàng chỉ nhận được thông báo website đang được xây dựng. Bên cạnh đó các tiện ích từ dịch vụ này còn nhiều hạn chế. Một số ngân hàng khi mở tài khoản trong Internet Banking thì chỉ xem được số dư tài khoản, riêng các giao dịch thanh toán, chuyển khoản thì không thực hiện được mặc dù ngân hàng đã giới thiệu rất đầy đủ về tiện ích này.
Bảng các ngân hàng TMCP đã triển khai Internet Banking tại Việt Nam
| STT | Ngân hàng | Tiện ích cung cấp thông tin | Tiện ích thanh toán | ||||
| Thông tin TK | In sao kê | Thông tin NH | Chuyển khoản | Thanh toán hóa đơn | Dịch vụ khác | ||
| 1 | Ngân hàng Ngoại Thương VN | x | x | x | x | x | x |
| 2 | Ngân hàng quốc tế VIB | x | x | x | x | x | x |
| 3 | Ngân hàng nhà ở Hà Nội | x | x | ||||
| 4 | Ngân hàng công thương Việt Nam | x | x | x | x | ||
| 5 | Ngân hàng Hàng Hải | x | x | x | x | x | x |
| 6 | Ngân hàng Quân Đội | x | x | x | x | ||
| 7 | Ngân hàng Techcombank | x | x | x | x | x | x |
| 8 | Ngân hàng Sài Gòn – Hà Nội | x | x | x | x | x | x |
| 9 | Ngân hàng TMCP Sài Gòn | x | x | x | x | ||
| 10 | Ngân hàng Đông Á | x | x | x | x | x | x |
| 11 | Ngân hàng Sài Gòn công thương | x | x | ||||
| 12 | Ngân hàng XNK Việt Nam | x | x | x | x | x | x |
| 13 | Ngân hàng Á Châu | x | x | x | x | x | x |
| 14 | Ngân hàng An Bình | x | x | x | |||
| 15 | Ngân hàng đầu tư và phát triển VN | x | x | x | x | x | x |
| 16 | Ngân hàng Sài Gòn thương tín | x | x | x | x | x | x |
| 17 | Ngân hàng Nam Á | x | x | x | x | ||
| 18 | Ngân hàng VPBank | x | x | x | x | x | x |
| 19 | Ngân hàng HDBank | x | xx | xx | x | x | x |
| 20 | Ngân hàng Phương Nam | x | x | x | x | x | x |
| 21 | Ngân hàng Việt Nam Tín Nghĩa | x | x | x | x | x | x |
| 22 | Ngân hàng Phương Đông | x | x | x | x | ||
| 23 | Ngân hàng Việt Á | x | x | ||||
| 24 | Ngân hàng Dầu khí toàn cầu | x | x | x | x | ||
| 25 | Ngân hàng Nam Việt | x | x | x | x | ||
| 26 | Ngân hàng Việt Nam thương tín | x | x | ||||
| 27 | Ngân hàng Đại Dương | x | x | x | x | ||
| 28 | Ngân hàng xăng dầu Petrolimex | x | x | x | x | X | |
| 29 | Ngân hàng Phương Tây | x | x | x | x | x | x |
| 30 | Ngân hàng Liên Việt | x | x | x | x | ||
| 31 | Ngân hàng Tiên Phong | x | x | x | x | x | x |
(Nguồn: Website các ngân hàng đến năm 08/2011)
3. Các giải pháp hạn chế rủi ro giao dịch trong Internet banking ở các ngân hàng Việt Nam
Để hạn chế rủi ro giao dịch, góp phần thúc đẩy dịch vụ này phát triển, phát huy tối đa lợi ích, cần có sự tham gia tích cực của các cấp quản lý vĩ mô, khách hàng và bản thân các ngân hàng.
- Nhóm giải pháp ở cấp độ quản lý vĩ mô
+ Nâng cao nhận thức của xã hội về an ninh mạng
Hiện nay, nhận thức về nguy cơ, tính rủi ro và hậu quả của tình trạng mất an ninh mạng trong xã hội chưa cao. Nhiều người vẫn còn coi hành vi xâm phạm an ninh mạng chỉ là trò đùa ác ý, trong khi các hành vi này cần phải được lên án và xử lý nghiêm minh. Tiện ích của Internet banking thì đã rõ, nhưng đi cùng với nó, các vấn đề tiêu cực của liên tục phát sinh.
Đảm bảo an ninh cho Internet Banking và các hoạt động trên Internet là một cuộc chiến khó khăn và lâu dài. Cuộc chiến đó sẽ khó có thể thành công nếu chỉ có sự nỗ lực của một số ít người. Mỗi cá nhân, mỗi tổ chức và bản thân các ngân hàng phải hiểu rõ những nguy cơ, rủi ro mà họ có thể gặp phải cùng với các biện pháp phòng tránh để có thể bảo vệ bản thân mình và cộng đồng xã hội trên môi trường mạng. Nhà nước cần tăng cường công tác đào tạo, huấn luyện về công nghệ thông tin và Internet Banking, đẩy mạnh hoạt động phổ biến, tuyên truyền tới các tổ chức, doanh nghiệp và công dân về vấn đề đảm bảo an ninh mạng thông qua các phương tiền thông tin đại chúng, đặc biệt là hoạt động dán nhãn tín nhiệm với các website thương mại diện tử.
+ Hoàn thiện hành lang pháp lý
Cần hoàn thiện hệ thống văn bản pháp lý trong luật thương mại điện tử, luật công nghệ thông tin nhằm quản lý tiến trình giao dịch trên mạng, làm cơ sở pháp lý để điều chỉnh hoạt động Internet banking. Ngoài ra, các cơ quan quản lý nhà nước cần nổ lực hơn nữa trong việc triển khai thực hiện các văn bản đã ban hành. Khi triển khai cần chú ý đến các hoạt động hướng dẫn, phổ biến để mọi người hiểu đúng mà thực hiện.
Cần xây dựng chuẩn chung và cơ sở pháp lý cho văn bản điện tử, chữ ký điện tử và chứng nhận điện tử. Xây dựng một trung tâm quản lý dữ liệu trung ương để giúp cho việc xác nhận, chứng thực chữ ký điện từ được nhanh chóng, chính xác.
+ Tăng cường quản lý của nhà nước
Ngân hàng nhà nước nên xây dựng các chuẩn mực trong cung cấp Internet Banking dựa trên các chuẩn mực quốc tế (như các nguyên tắc BASEL trong quản lý rủi ro hoạt động ngân hàng điện tử) và khuyến khích các ngân hàng thương mại áp dụng chuẩn mực này. Thường xuyên thanh tra, giám sát hoạt động này tại các ngân hàng dựa trên các chuẩn mực đã xây dựng, tiến hành cấp giấy chứng nhận cho các ngân hàng đạt tiêu chuẩn.
+ Hiện đại hóa cơ sở hạ tầng thông tin
Cần có biện pháp đầu tư xây dựng hạ tầng truyền thông mạnh, nâng cao chất lượng dịch vụ internet, tăng tốc độ đường truyền, tránh tình trạng nghẽn mạch, đảm bảo tính bảo mật đường truyền cao. Xây dựng hạ tầng cơ sở về thông tin: trung tâm chứng thực (CA), hạ tầng thanh toán điện tử, cổng thanh toán,…tạo điều kiện khuyến khích các nhà cung cấp giải pháp an ninh mạng phát triển.
+ Tăng cường hợp tác quốc tế trên lĩnh vực an ninh mạng
Hiện nay, quy mô cũng như khả năng lan rộng các nguy cơ mất an toàn thông tin không chỉ gói gọn trong phạm vi một quốc gia, do đó cần có sự hợp tác quốc tế trong lĩnh vực an ninh mạng, cụ thể:
à Tổ chức và tham gia các hội nghị an ninh mạng trong khu vực và trên thế giới để tìm hiểu và cập nhật tình hình an ninh mạng.
à Phối hợp với cơ quan quản lý của các nước trong khu vực và trên thế giới để xây dựng khung chung đảm bảo an ninh mạng và bảo vệ hạ tầng thông tin trọng yếu.
à Hợp tác giữa các tổ chức xây dựng chuẩn quốc tế, các chính phủ liên quan tới an ninh mạng nhằm xây dựng văn hóa an ninh mạng, các tiêu chuẩn kỹ thuật, cảnh báo và phản ứng nhanh trước các sự kiện an ninh mạng.
à Xây dựng chiến lược an ninh mạng quốc gia dựa trên khung pháp lý chung và các tiêu chuẩn chung đã xây dựng
à Tăng cường các mối quan hệ với các nước, các ngân hàng và các tổ chức quốc tế để tận dụng sự hổ trợ về vốn, công nghệ, kỹ thuật nhằm đào tạo kỹ thuật, kiến thức cho cán bộ có liên quan của các ngân hàng.
- Nhóm giải pháp đối với các ngân hàng thương mại
+ Có chiến lược đầu tư hợp lý cho cơ sở hạ tầng và công nghệ bảo mật
Các ngân hàng thương mại phải không ngừng đầu tư về hạ tầng kỹ thuật mạng, xây dựng một kết cấu hạ tầng công nghệ thông tin hiện đại, nâng cấp mở rộng đường truyền với băng thông rộng, dung lượng lớn, tốc độ cao, hạn chế tối đa tình trạng nghẽn mạch làm ảnh hưởng đến chất lượng dịch vụ.
Các ngân hàng thương mại cũng cần có sự đầu tư hợp lý, nhằm đạt được một giải pháp tổng thể toàn diện, mang tính hệ thống cho việc cung cấp dịch vụ qua Internet Banking, tránh tình trạng đầu tư vá víu, thiếu chổ nào đầu tư chổ đó. Trước khi đầu tư nên tham khảo ý kiến các chuyên gia, các nhà tư vấn chuyên nghiệp để có được quyết định đầu tư hợp lý và hiệu quả.
Ngoài ra, môi trường Internet là môi trường đầy biến động, tội phạm mạng ngày càng tinh vi, phức tạp và thay đổi, công nghệ bảo mật cũng phải không ngừng được đầu tư đổi mới và cải tiến cho phù hợp.
+ Nâng cao trình độ nguồn nhân lực
Các ngân hàng cần có chính sách thu hút, đào tạo và đãi ngộ hợp lý để có được một đội ngũ nhân viên có trình độ cao trong lĩnh vực an ninh bảo mật và Internet Banking. Đây sẽ là lực lượng nòng cốt của ngân hàng nhằm giúp phát triển dịch vụ này một cách an toàn, hiệu quả.
Ngoài ra, ngân hàng cũng thường xuyên tổ chức các khóa đào tạo về Internet Banking và vấn đề bảo mật thông tin cho toàn thể nhân viên để đảm bảo cho các nhân viên này có được những hiểu biết cần thiết và luôn luôn cập nhât, bổ sung những kiến thức mới, theo kịp công nghệ hiện đại.
+ Xây dựng hệ thống Internet Banking hướng đến các mục tiêu cụ thể nhằm hạn chế rủi ro giao dịch
Khi xây dựng hệ thống Internet Banking, các ngân hàng cần đặt mối quan tâm hàng đầu vào các mục tiêu cụ thể là đảm bảo bí mật và toàn vẹn dữ liệu; hệ thống sẵn sàng liên tục; khả năng xác thực khách hàng và giao dịch; bảo vệ khách hàng.
à Đảm bảo bí mật dữ liệu: nghĩa là bảo vệ các thông tin nhạy cảm không bị theo dõi và truy cập bất hợp pháp. Các ngân hàng nên lựa chọn phương thức mã hóa đáp ứng tiêu chuẩn quốc tế và được cộng đồng mã hóa kiểm tra kỹ lưỡng, hoặc được các cơ quan có thẩm quyền công nhận, phù hợp đáp ứng với yêu cầu bảo mật và toàn vẹn dữ liệu.
à Toàn vẹn dữ liệu: là sự chính xác, đáng tin cậy và đầy đủ của các thông tin được xử lý, lưu trữ và truyền tải giữa các ngân hàng và khách hàng của mình. Các ngân hàng nên lắp đặt các hệ thống giám sát để nhận được cảnh báo về các hoạt dộng khả nghi đe dọa tính toàn vẹn của dữ liệu hay các giao dịch trực tuyến bất thường.
à Sự sẵn sàng và liên tục của hệ thống: Các yếu tố quan trọng giúp duy trì sự sẵn sàng liên tục của hệ thống là: đủ công suất, hoạt động chắc chắn, phản hồi nhanh và khôi phục nhanh khi có sự cố. Các ngân hàng cần phải đảm bảo đủ nguồn lực và năng lực về phần cứng, phần mềm và các nguồn lực khác để có thể cung cấp một dịch vụ đáng tin cậy.
à Xác thực khách hàng và giao dịch: để tránh các cuộc tân công và gian lận trên mạng, các ngân hàng nên áp dụng phương pháp xác thực hai nhân tố khi truy cập và giao dịch cho tất cả các hình thức Internet Banking. Xác thực hai nhân tố giúp chống lại các trò lừa đảo trực tuyến, phần mềm gián điệp, phần mêm độc hại, tấn công trung gian và các trò gian lận hay các xâm nhập bất hợp pháp trên Internet nhắm vào ngân hàng và khách hàng.
Các ngân hàng cũng cần yêu cầu khách hàng nhắc lại nhân tố xác thực thứ hai đối với các giao dịch có giá trị cao hay khi có yêu cầu thay dổi những dữ liệu quan trọng trong một lần truy cập. Có thể đáp ứng các yêu cầu về xác thực thông qua việc sử dụng các giao thức mã hóa mạnh như: AES,RC4, IDEA, RSA, ECC, OATH và RFC 2104 HMAC.
à Bảo vệ khách hàng: Các ngân hàng cần phải đảm bảo khách hàng được nhận dạng và xác thực trước khi được phép truy cập những thông tin nhạy cảm hay các chức năng ngân hàng trực tuyến. Ngân hàng cũng cần có biện pháp để giảm thiểu nguy cơ bị tấn công qua trung gian (MIM)
+ Xây dựng các quy tắc và tập quán bảo mật cho ngân hàng
Tập quán bảo mật thường là sự kết hợp giữa các công cụ phần cứn và phần mềm, các thủ tục hành chính và các chức năng quản lý nhân sự giúp xây dựng hệ thống và hoạt động an toàn. Những quy tắc, tập quán và thủ tục này được coi là chính sách và quy trình an ninh bảo mật cho ngân hàng. Ba trong số các quy tắc căn bản nhất trong việc bảo vệ hệ thống là: không để một mình (những công việc và thủ tục quan trọng phải được thực hiện bởi ít nhất hai người hoặc một người làm một người kiểm tra); tách biệt nhiệm vụ (công việc và trách nhiệm phải được tách biệt và được nhiều nhóm thực hiện); kiểm soát và tiếp cận hệ thống (quyền tiếp cận hệ thống phải dựa trên mức độ và trách nhiệm cần thiết để hoàn thành công việc)
+ Quản lý chặt chẽ quá trình triển khai và kiểm tra hệ thống
Ngân hàng cần phải tìm ra các lỗi hệ thống sớm ở giai đoạn thiết kế và kiểm tra. Ban quản trị cần phê chuẩn một phương pháp kiểm tra trong đó kiểm tra cái gì, kiểm tra như thế nào. Các kiểm tra nên bao gồm Logic kinh doanh, các kiểm soát về an toàn và sự vận hành của hệ thống dưới nhiều ngữ cảnh và điều kiện.
+ Bảo đảm khả năng khôi phục và duy trì tính liên tục của hệ thống
Cần xác định ưu tiên trong việc khắc phục các sự cố, kiểm tra và thực tập các thủ tục dự phòng để giảm thiểu việc gián đoạn hoạt động của hệ thống. Ngân hàng cần thiết lập một địa điểm dự phòng tách biệt khỏi địa điểm vận hành hệ thống chính với khả năng hồi phục nhanh để có thể khôi phục các hệ thống quan trọng và tiếp tục kinh doanh khi địa điểm hoạt động chính có sự cố.
+ Nâng cao nhận thức về an ninh mạng của khách hàng
Ngân hàng cần phổ biến kiến thức về đảm bảo an ninh mạng cho khách hàng của mình. Khuyến cáo khách hàng phải bảo vệ thông tin truy cập, thông tin cá nhân và các dữ liệu mật khác. Các hướng dẫn để khách hàng bảo vệ thông tin nên được thể hiện rõ ràng trên trang web truy cập. Ngoài ra, phải khuyến khích khách hàng nên thực hiện các biện pháp phòng ngừa như: cài đặt phần mềm chống virus, phần mềm chóng gián điệp, và firewall, lưu dự phòng các dữ liệu quan trọng.
Hy vọng với việc phối hợp các biện pháp với sự tham gia của nhiều tổ chức, cá nhân sẽ góp phần hạn chế rủi ro giao dịch khi sử dụng Internet Banking tại các ngân hàng ở Việt Nam.
Tài liệu tham khảo:
1. Báo cáo tổng kết an ninh mạng (2010), Trung tâm an ninh mạng, Đại học Bách Khoa
2. Website các ngân hàng TMCP Việt nam
3. Báo cáo thương mại điện tử Việt Nam, (2010), Bộ Công Thương
4. BaselCommittee on Banking Supervision (2003), Risk management principles for electronic banking, Basel.
5. Comptroller of the Currency (1999), Internet Banking, Comptroller’s Handbook , Washington.
6. Monetary Authority of Singapore (2008), Internet banking and technology risk management guidelines , Singapore.