MỤC LỤC MỤC LỤC .1 CHƯƠNG 1: INTERNET BANKING VÀ QUẢN TRỊ RỦI RO GIAO DỊCH TRONG INTERNET BANKING (Rút gọn chương này, tối đa 10 trang) CHƯƠNG 2: THỰC TRẠNG QUẢN TRỊ RỦI RO GIAO DỊCH TRONG HOẠT ĐỘNG INTERNET BANKING TẠI CÁC NGÂN HÀNG THƯƠNG MẠI VIỆT NAM (thu gọn lại, tối đa 15 trang) 20 KẾT LUẬN 52 DANH MỤC CÁC TỪ TIẾNG ANH BKIS Trung tâm an ninh mạng đại học Bách khoa Hà Nội Crack Bẻ khóa chương trình Firewall Tường lửa File Tệp tin Hacker (Tin tặc) Người thâm nhập vào phần cứng, phần mềm, hay mạng máy tính để thay đổi hệ thống ID Tên truy cập ID-theft Ăn cắp thông tin nhận dạng MAS Ngân hàng trung ương Singapore MIM- Man in Phương thức công mạng máy tính qua trung gian Middle OTPOne Mật mã sử dụng lần time password Password Mật mã truy cập Phishing, Pharming Một hoạt động phạm tội dùng kĩ thuật lừa đảo PIN- Personal Nhận dạng cá nhân Indentificatio n Number Token Thiết bị điện tử sinh mật ngẫu nhiên Trojan Một loại phần mềm độc hại USB Thẻ nhớ Virus Những chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác (ổ đĩa, máy tính, tệp tin,…) VNCERT Trung tâm ứng cứu khẩn cấp máy tính Việt Nam Website Trang web, trang mạng LỜI MỞ ĐẦU Cuộc cách mạng công nghệ thông tin có tác động to lớn đến kinh tế giới Thành cách mạng ảnh hưởng sâu sắc đến phương thức sản xuất, phân phối, tiêu dùng nói chung làm thay đổi liên tục sản phẩm, dịch vụ áp dụng quản lý- kinh doanh ngân hàng thương mại nói riêng Ngày nay, việc xây dựng chiến lược kinh doanh ngân hàng thường gắn liền với xây dựng chiến lược phát triển ứng dụng công nghệ thông tin Internet banking thành việc ứng dụng công nghệ thông tin lĩnh vực ngân hàng Thông qua Internet banking, rào cản hay giới hạn không gian thời gian thực bị phá vỡ, từ đó, ngân hàng thỏa mãn khách hàng với nhiều dịch vụ chất lượng cao, tiện lợi, nhanh chóng tiết kiệm, đặc biệt giao dịch tốn Tuy nhiên, tiện ích Internet banking lại kèm với rủi ro giao dịch bao gồm không sẵn sàng hệ thống nguy an ninh mạng Rủi ro giao dịch tạo nên tâm lí e ngại cho ngân hàng thương mại khách hàng, nguyên nhân cản trở phát triển dịch vụ Internet banking Việt Nam Việt Nam trình hội nhập với kinh tế giới, tài ngân hàng lĩnh vực có tốc độ hội nhập nhanh Những tiện ích mà Internet banking dịch vụ trực tuyến khác mang lại thực công cụ cạnh tranh hữu hiệu cho ngân hàng nước chạy đua với ngân hàng nước ngày thâm nhập sâu thị trường Việt Nam Do đó, việc nghiên cứu triển khai nhanh chóng, đồng giải pháp để hạn chế rủi ro giao dịch, thúc đẩy dịch vụ Internet banking phát triển ngân hàng thương mại Việt Nam thực trở nên cấp thiết hết Sau thời gian tìm hiểu thực trạng rủi ro giao dịch hoạt động Internet banking ngân hàng thương mại Việt Nam, nhận thức tính cấp thiết vấn đề này, nhóm lựa chọn đề tài: “Quản trị rủi ro giao dịch Internet banking ngân hàng thương mại Việt Nam” Cấu trúc báo cáo bao gồm 03 chương: Chương 1: Internet banking quản trị rủi ro giao dịch Internet banking Chương 2: Thực trạng quản trị rủi ro giao dịch hoạt động Internet banking ngân hàng thương mại Việt Nam Chương 3: Giải pháp nhằm tăng cường công tác quản trị rủi ro giao dịch hoạt động Internet banking ngân hàng thương mại Việt Nam Đây đề tài nên trình nghiên cứu cịn nhiều sai sót Nhóm thực mong nhận góp ý q thầy để nghiên cứu hồn thiện Nhóm thực xin chân thành cảm ơn giúp đỡ quý thầy q trình hồn thiện báo cáo CHƯƠNG 1: INTERNET BANKING VÀ QUẢN TRỊ RỦI RO GIAO DỊCH TRONG INTERNET BANKING (Rút gọn chương này, tối đa 10 trang) I NHỮNG VẤN ĐỀ CƠ BẢN VỀ INTERNET BANKING Khái niệm ngân hàng điện tử Internet banking 1.1 Khái niệm ngân hàng điện tử Ngân hàng điện tử hay gọi ngân hàng trực tuyến, hiểu “khả khách hàng truy cập từ xa vào ngân hàng nhằm thu thập thông tin, thực giao dịch tài dựa tài khoản đăng kí trước ngân hàng” Các dịch vụ ngân hàng điện tử áp dụng Việt Nam bao gồm: dịch vụ ngân hàng qua mạng Internet (Internet banking), dịch vụ ngân hàng nhà (Home banking); dịch vụ ngân hàng tự động qua điện thoại (Phone banking); dịch vụ ngân hàng qua điện thoại di động (Mobile banking); dịch vụ Kiosk ngân hàng 1.2 Khái niệm Internet banking Internet banking kênh phân phối sản phẩm dịch vụ ngân hàng thương mại Hệ thống cho phép khách hàng truy cập tài khoản giao dịch thông tin chung sản phẩm dịch vụ ngân hàng thông qua máy tính cá nhân hay thiết bị thơng minh khác Internet banking sử dụng môi trường truyền thông Internet, cung cấp thông tin thực giao dịch tức thời (online) Để sử dụng Internet banking, khách hàng cần có máy tính, thiết bị truy cập mạng Khách hàng, thơng qua trình duyệt web, gọi thực chương trình máy chủ Internet máy tính để truy cập vào tài khoản thực giao dịch với ngân hàng Phần mềm Internet banking thực nằm máy chủ ngân hàng dạng trang chủ Mỗi trang chủ ngân hàng coi cửa sổ giao dịch Mỗi cú nhấp chuột đơn giản vào đường liên kết thích hợp tạo kết nối với trình duyệt yêu cầu trang web thực yêu cầu giao dịch tài khách hàng Sản phẩm dịch vụ Internet banking bao gồm sản phẩm bán buôn cho khách hàng doanh nghiệp sản phẩm bán lẻ cho khách hàng cá nhân Về bản, Internet banking cung cấp sản phẩm dịch vụ kênh phân phối khác ngân hàng thương mại như: quản lí tiền mặt, điện chuyển tiền, giao dịch toán bù trừ tự động, xuất trình tốn hóa đơn… cho khách hàng doanh nghiệp; truy vấn số dư tài khoản, chuyển khoản, tra cứu thông tin giao dịch, xin cấp tín dụng, hoạt động đầu tư… cho khách hàng cá nhân Với Internet banking ngân hàng cịn kết hợp với doanh nghiệp bán hàng qua mạng để xây dựng cổng tốn qua mạng, hình thức tốn nhanh chóng, tiện lợi động lực thúc đẩy thương mại điện tử toán không dùng tiền mặt phát triển Các cấp độ Internet banking Cho đến nay, sản phẩm Internet banking chia thành ba cấp độ: 2.1 Cấp độ cung cấp thông tin (Informative) Đây cấp độ thấp Internet banking, hình thức này, ngân hàng cung cấp thông tin sản phẩm dịch vụ ngân hàng trang web, tồn thơng tin lưu trữ máy chủ (server) hoàn toàn độc lập với hệ thống liệu ngân hàng Rủi ro tương đối thấp khơng có liên kết máy chủ Internet banking mạng nội ngân hàng Ngân hàng tự cung cấp dịch vụ Internet banking thuê đơn vị khác Mặc dù rủi ro cho ngân hàng, máy chủ hay trang web bị cơng, trang web ngân hàng có nguy bị thay sửa đổi Rủi ro đáng quan tâm loại hình Internet banking khả bị cơng hình thức từ chối dịch vụ hay thay đổi nội dung 2.2 Cấp độ trao đổi thơng tin (Communicative) Hình thức Internet banking cho phép số tương tác hệ thống ngân hàng khách hàng Các tương tác giới hạn thư điện tử, truy vấn thông tin tài khoản, xin cấp tín dụng, hay cập nhật liệu (thay đổi tên địa chỉ) Hình thức có rủi ro cao hình thức thơng tin máy chủ Internet banking kết nối với mạng nội ngân hàng Do đó, cần có biện pháp kiểm sốt thích hợp để ngăn ngừa, theo dõi cảnh báo truy cập trái phép hệ thống máy tính mạng nội ngân hàng Việc kiểm sốt virus cơng quan trọng nhiều so với hình thức thơng tin 2.3 Cấp độ giao dịch (Transactional) Internet banking cấp độ cho phép khách hàng thực giao dịch với ngân hàng Đây hình thức Internet banking có rủi ro cao cần kiểm sốt chặt chẽ máy chủ kết nối với mạng nội ngân hàng đơn vị gia cơng phần mềm Khách hàng thực giao dịch, bao gồm truy cập tài khoản, toán hóa đơn, chuyển tiền Ưu nhược điểm Internet Banking 3.1 Ưu điểm Internet banking a) Ưu điểm khách hàng  Tiện lợi: Internet banking giúp cho khách hàng liên lạc với ngân hàng cách nhanh chóng, thuận tiện để thực số nghiệp vụ ngân hàng thời điểm (24 ngày, ngày tuần) nơi đâu Điều đặc biệt có ý nghĩa khách hàng có thời gian để đến văn phòng trực tiếp giao dịch với ngân hàng, doanh nghiệp nhỏ vừa, khách hàng cá nhân có số lượng giao dịch với ngân hàng không nhiều, số tiền lần giao dịch khơng lớn Đây lợi ích mà giao dịch ngân hàng kiểu truyền thống khó đạt  Nhanh chóng: Internet banking cho phép khách hàng thực xác nhận giao dịch với độ xác cao nhanh vài giây  Tiết kiệm chi phí: chi phí cho giao dịch qua mạng nhiều so với giao dịch trực tiếp chi nhánh ngân hàng khách hàng khơng phải tốn chi phí lại khơng phải trả phí dịch vụ cho ngân hàng  Chính xác: khách hàng truy cập thao tác máy tính, khơng phải tùy thuộc vào thái độ phục vụ khác nhân viên ngân hàng b) Ưu điểm ngân hàng  Tiết kiệm chi phí: ngân hàng tiết kiệm chi phí tổ chức trang bị cho văn phịng giao dịch, khơng phải th nhân viên giao dịch trực tiếp Đồ thị 1: Chi phí đầu tư cho việc phục vụ 01 khách hàng (Nguồn: Theo báo cáo Hiện đại hóa cơng nghệ ngân hàng quản trị nội - Công ty hệ thống thông tin FPT)  Mở rộng phạm vi địa lí: Internet banking cho phép ngân hàng tiếp cận khách hàng xa trụ sở ngân hàng Trên thực tế, có nhiều ngân hàng cung cấp sản phẩm dịch vụ mạng mà khơng cần văn phịng giao dịch  Giúp cung cấp sản phẩm đa dạng cho khách hàng: nhờ có Internet banking khách hàng dễ dàng tiếp cận nhiều sản phẩm dịch vụ tài ngân hàng sẵn có qua mạng 3.2 Nhược điểm Internet banking a) Nhược điểm khách hàng  Mất thời gian đăng kí tự nghiên cứu sản phẩm: để đăng kí giao dịch Internet banking với ngân hàng, khách hàng phải cung cấp tên truy cập (ID) kí vào mẫu đơn chi nhánh ngân hàng Khách hàng gặp khó khăn truy cập trang web ngân hàng lần đầu, phải bỏ thời gian công sức để nghiên cứu trước sử dụng dịch vụ  Thiếu tin tưởng: nhiều người, trở ngại lớn Internet banking để an tâm sử dụng kênh phân phối Sẽ có hồi nghi thành cơng giao dịch, cách thao tác bàn phím máy tính… Cách tốt in biên nhận giao dịch giữ lại với chứng từ ngân hàng giao dịch cập nhật trang thông tin cá nhân hay kê ngân hàng  Thiếu thông tin cập nhật: qua Internet banking khách hàng nhận thông tin không đầy đủ qua cán chuyên trách ngân hàng Khách hàng hội trao đổi thơng tin với bạn hàng, nắm bắt tình hình mới, cập nhật nơi giao dịch ngân hàng b) Nhược điểm ngân hàng  Vốn đầu tư lớn: để xây dựng hệ thống Internet banking đòi hỏi phải có lượng vốn đầu tư ban đầu lớn để lựa chọn công nghệ đại, định hướng, ngồi cịn có chi phí cho hệ thống dự phịng, chi phí bảo trì, trì phát triển hệ thống, đổi công nghệ sau  Rủi ro: Internet banking chưa đựng nhiều rủi ro, đặc biệt rủi ro giao dịch Đây lí cản trở khách hàng ngân hàng thương mại đến với dịch vụ Những tiền đề phát triển Internet banking 4.1 Sự hiểu biết chấp nhận công chúng Khách hàng thường quen với cách giao dịch trực tiếp tốn tiền mặt Thay đổi thói quen khách hàng điều đơn giản Hơn nữa, Internet banking kênh phân phối mới, muốn sử dụng phải tìm hiểu nên khơng dễ để thuyết phục khách hàng sử dụng Do đó, hiểu biết công chúng Internet banking lợi ích dịch vụ điều cần thiết Các ngân hàng cần phải có chiến dịch phổ biến làm cho khách hàng hiểu rõ ưu điểm hướng dẫn họ sử dụng dịch vụ 4.2 Kết cấu hạ tầng công nghệ thông tin truyền thông Để phát triển Internet banking trước tiên cần phải có kết cấu hạ tầng cơng nghệ thông tin truyền thông phát triển Internet banking cung cấp dựa rộng khắp, phổ biến mạng Internet Những tiến nhanh chóng ngành công nghệ thông tin truyền thông thời gian qua tạo tiền đề cho hoạt động Internet banking Kết cấu hạ tầng công nghệ thông tin truyền thông phát triển giúp tạo thuận tiện, xác, nhanh chóng an tồn hệ thống mạng Một khách hàng từ bỏ thói quen giao dịch trực tiếp chấp nhận phương thức giao dịch qua Internet, hiểu rõ ưu điểm, có đủ kiến thức kĩ để thực giao dịch mong muốn sử dụng dịch vụ Internet Banking phụ thuộc vào thuận tiện, nhanh chóng, xác an tồn mà dịch vụ bảo đảm 4.3 Hệ thống cung ứng sản phẩm dịch vụ tốn trực tuyến Internet banking khơng thể phát triển khơng có hệ thống cung ứng hàng hóa, dịch vụ tốn trực tuyến Hàng hóa bao gồm hàng hóa thơng thường hàng hóa điện tử tài liệu điện tử, ảnh nhạc Tương tự, dịch vụ dịch vụ truyền thống khách sạn đặt vé, dịch vụ điện tử phân tích thị trường dạng điện tử Chính phát triển hệ thống thúc đẩy Internet banking phát triển 4.4 Khuôn khổ pháp lý chuẩn mực cho Internet banking Internet banking hình thức cung ứng dịch vụ ngân hàng mới, địi hỏi khn khổ pháp lí Internet banking triển khai hiệu an tồn cơng nhận mặt pháp lí Do cần phải xây dựng hồn thiện khn khổ pháp lí chuẩn mực cho Internet banking 4.5 Nguồn nhân lực công nghệ thơng tin Hệ thống Internet banking địi hỏi lực lượng lớn lao động đào tạo tốt công nghệ thông tin truyền thông để cung cấp ứng dụng cần thiết, đáp ứng yêu cầu hỗ trợ chuyển giao tri thức thích hợp Thiếu kĩ để làm việc Internet làm việc với phương tiện đại, hạn chế khả sử dụng tiếng Anh- ngôn ngữ Internet trở ngại cho việc phát triển Internet banking II RỦI RO GIAO DỊCH TRONG INTERNET BANKING Khái niệm rủi ro rủi ro giao dịch Internet banking 1.1 Khái niệm rủi ro 10 hàng đánh giá mức độ an toàn hoạt động Internet banking ngân hàng củng cố lòng tin họ sử dụng dịch vụ 1.5 Tăng cường hợp tác quốc tế lĩnh vực an ninh mạng Ngày quy mô khả lan rộng nguy an tồn thơng tin khơng gói gọn phạm vi quốc gia Tội phạm mạng thực hành vi phạm tội ngân hàng quốc gia khác Do cần có hợp tác quốc tế lĩnh vực an ninh mạng, cụ thể là: - Tổ chức tham gia hội nghị an ninh mạng khu vực giới để tìm hiểu, cập nhật kiến thức an ninh mạng đạt nhìn thống với quốc gia khác lĩnh vực - Phối hợp với quan quản lí nước khu vực giới để xây dựng khung chung đảm bảo an ninh mạng bảo vệ hạ tầng thông tin trọng yếu - Hợp tác tổ chức xây dựng chuẩn quốc tế, phủ liên quan tới an ninh mạng nhằm xây dựng văn hóa an ninh mạng, tiêu chuẩn kĩ thuật, cảnh báo, phản ứng nhanh trước kiện an ninh mạng - Xây dựng chiến lược an ninh mạng quốc gia khung pháp lí chung tiêu chuẩn chung xây dựng - Các quan quản lí cần phối hợp chặt chẽ với tổ chức bảo mật nước để xử lí sớm triệt để bọn tội phạm mạng, ngăn chặn mối đe dọa từ thư rác, phần mềm độc hại… Nhóm giải pháp ngân hàng thương mại Nhóm giải pháp đảm bảo an tồn thơng tin 2.1 Có chiến lược đầu tư hợp lí cho hạ tầng sở công nghệ bảo mật Để đảm bảo tính liên tục cho hệ thống, ngân hàng thương mại phải không ngừng đầu tư phát triển hạ tầng kĩ thuật mạng, xây dựng kết cấu hạ tầng công nghệ thông tin đại, nâng cấp mở rộng đường truyền với băng thông 43 rộng, dung lượng lớn, tốc độ cao, hạn chế tối đa tình trạng nghẽn mạch làm ảnh hưởng đến chất lượng dịch vụ Tùy vào cấp độ Internet banking mà ngân hàng cung cấp, nguy rủi ro giao dịch tùy vào mức độ nhạy cảm thông tin mà ngân hàng định mức đầu tư cho Internet banking cho cơng tác bảo mật hợp lí Ngồi ra, mơi trường Internet mơi trường đầy biến động, tội phạm mạng ngày tinh vi, phức tạp thay đổi, công nghệ bảo mật phải không ngừng đầu tư cải tiến đổi cho phù hợp Với kiểu công trực tuyến, nghe (sniffers), đoán mật (Guessing password), vét cạn (Brute force), gọi ngẫu nhiên (Random dialing),…các chuyên gia khuyến cáo ngân hàng nên dụng phần mềm quét tiêu diệt virus theo phiên để hỗ trợ 2.2 Cải thiện hệ thống Internet banking hướng đến mục tiêu cụ thể nhằm hạn chế rủi ro giao dịch Khi xây dựng hệ thống Internet banking, ngân hàng cần đặt mối quan tâm hàng đầu vào mục tiêu cụ thể đảm bảo bí mật tồn vẹn liệu, hệ thống sẵn sàng liên tục, khả xác thức khách hàng giao dịch, bảo vệ khách hàng + Bảo đảm bí mật liệu: Bảo đảm bí mật liệu nghĩa bảo vệ thông tin nhạy cảm không bị theo dõi truy cập bất hợp pháp Các ngân hàng nên đánh giá yêu cầu an ninh hệ thống Internet banking ngân hàng chọn áp dụng phương thức mã hóa phù hợp với yêu cầu bảo mật toàn vẹn liệu Ngoài ra, ngân hàng nên lựa chọn thuật mã hóa đáp ứng tiêu chuẩn quốc tế cộng đồng mã hóa kiểm tra kĩ lưỡng; quan có thẩm quyền, nhà cung cấp giải pháp an ninh tiếng hay tổ chức phủ cơng nhận + Tồn vẹn liệu: Tồn vẹn liệu xác, đáng tin cậy đầy đủ thông tin xử lí, lưu trữ truyền tải ngân hàng với khách hàng Hệ thống Internet banking cần đạt toàn vẹn tương ứng với loại dịch vụ mức độ phức tạo dịch vụ cung cấp Các ngân hàng nên lắp đặt 44 hệ thống giám sát để nhận cảnh báo hoạt động khả nghi đe dọa tính tồn vẹn liệu hay giao dịch trực tuyến thất thường + Sự sẵn sàng liên tục hệ thống: Các yếu tố quan trọng giúp trì sẵn sàng liên tục hệ thống là: đủ công suất, hoạt động chắn, phản hồi nhanh khôi phục nhanh có cố Các ngân hàng cần đảm bảo đủ nguồn lực lực phần cứng, phần mềm nguồn lực khác để cung cấp dịch vụ đáng tin cậy Xử lí giao dịch qua Internet cần đến nhiều kết cấu liên hệ thống mạng phức tạp Toàn hệ thống khơng hoạt động kết cấu phần cứng module phần mềm không hoạt động hay bị hỏng Do đó, ngân hàng cần lưu trữ kết cấu phần cứng hay phần mềm dự phịng hệ thống mạng cần thiết để khơi phục hệ thống nhanh chóng gặp cố + Xác thực khách hàng giao dịch: Để tránh công gian lận mạng, ngân hàng nên áp dụng phương thức xác thực hai nhân tố truy nhập giao dịch cho tất hình thức Internet banking Xác thực hai nhân tố giúp chống lại trò lừa đảo trực tuyến, phần mềm gián điệp, phần mềm độc hại, cơng trung gian trị gian lận hay xâm phạm bất hợp pháp Internet nhằm vào ngân hàng khách hàng, từ bảo mật liệu tài khoản khách hàng chi tiết giao dịch nâng cao tin tưởng vào Internet banking + Bảo vệ khách hàng: Các ngân hàng cần bảo đảm khách hàng nhận dạng xác thực trước phép truy cập thông tin nhạy cảm hay chức ngân hàng trực tuyến Ngân hàng cần có biện pháp để giảm thiểu nguy bị công qua trung gian (MIM) Để bảo vệ khách hàng, ngân hàng không nên cung cấp phần mềm cho khách hàng thông qua Internet trừ có đủ khả đảm bảo an ninh cho khách hàng, có nghĩa là, khách hàng phải kiểm tra nguồn gốc tính tồn vẹn phần mềm tải xác thực chữ kí số ngân hàng kèm với phần mềm 45 nhờ vào chứng nhận số ngân hàng cung cấp; ngược lại, ngân hàng kiếm tra tính xác thực toàn vẹn phần mềm mà khách hàng sử dụng 2.3 Xây dựng quy tắc tập quán bảo mật cho ngân hàng Các quy tắc tập quán bảo mật giúp giảm thiểu rủi ro nguy đe dọa từ bên lẫn bên hệ thống Internet banking Khi nguyên tắc tập quán áp dụng tuân thủ chặt chẽ giúp ngân hàng bảo vệ tính xác thực bí mật liệu Tập quán bảo mật thường kết hợp công cụ phần cứng phần mềm, thủ tục hành chức quản lí nhân giúp xây dựng hệ thống hoạt động an toàn Những quy tắc, tập quán thủ tục coi sách quy trình an ninh bảo mật ngân hàng An ninh mạng xét cho phụ thuộc vào nhóm nhỏ nhân viên có kĩ năng, người phải kiểm tra kĩ lưỡng nhiệm vụ việc tiếp cận hệ thống họ Các ngân hàng cần phải đưa tiêu chuẩn chọn lựa nghiêm ngặt xem xét toàn diện định nhân vào vị trí vận hàng bảo mật cho hệ thống Internet banking Các nhân viên phụ trách việc triển khai, trì vận hành trang web phải huấn luyện đầy đủ nguyên tắc tập quán bảo mật Ba số quy tắc việc bảo vệ hệ thống là: không để (những cơng việc thủ tục quan trọng phải thực hai người người làm người kiểm tra); tách biệt nhiệm vụ (công việc trách nhiệm phải tách biệt nhiều nhóm thực hiện); kiểm soát tiếp cận hệ thống (quyền tiếp cận hệ thống phải dựa trách nhiệm mức độ cần thiết để hồn thành cơng việc) Nhìn chung, để bảo đảm an toàn cho hệ thống Internet banking, ngân hàng cần có tập quán bảo vệ an ninh sau: - Triển khai hệ thống mạng với phần mềm hệ thống firewall thiết kế với độ an toàn cao nhất, phù hợp với yêu cầu bảo mật Cập nhật, sửa chữa 46 nâng cấp hệ thống theo khuyến cáo nhà cung cấp Thay đổi tất mật cho hệ thống sau cài đặt - Cài đặt firewall mạng nội bên khu vực khác địa lí - Lắp đặt thiết bị ngăn chặn dị tìm xâm phạm trái phép - Thuê chuyên gia an ninh độc lập đánh giá điểm mạnh điểm yếu trình ứng dụng Internet banking, hệ thống mạng trước cài đặt lần hàng năm sau cài đặt Việc đánh giá tốt không báo trước cho nhân viên có trách nhiệm vận hành hệ thống có hoạt động liên quan đến Internet banking - Xây dựng quy trình theo dõi mạng hệ thống sử dụng máy quét mạng, thiết bị dị tìm truy nhập trái phép cảnh báo an ninh - Cài đặt phần mềm diệt virus - Thường xuyên theo dõi cấu hình mạng kiểm tra tồn vẹn liệu - Duy trì việc theo dõi an ninh kiểm toán hệ thống Thuê chuyên gia bảo mật hay nhân viên kiểm tốn nội có kĩ để kiểm tốn hệ thống - Phân tích liệu theo dõi an ninh hệ thống để tìm truyền tải liệu nỗ lực xâm nhập đáng ngờ - Lập kế hoạch quản lí giải cố - Kiểm tra kế hoạch giải cố lập trước với cố cụ thể - Cài đặt cơng cụ phân tích để giúp phân tích chất hạn chế cơng - Triển khai trì kế hoạch khắc phục cố bảo đảm tính liên tục hệ thống dựa vào yêu cầu công nghệ thông tin, nhu cầu hoạt động kinh doanh - Áp dụng biện pháp xác thực hai nhân tố truy nhập cho hệ thống Internet banking OTP cụ thể hay chữ kí điện tử cho giao dịch có giá trị cao mức định trước khách hàng chọn hay ngân hàng quy định trước 47 - Triển khai phương thức mã hóa mạnh để bảo vệ PIN, mật liệu nhạy cảm khác 2.4 Quản lí chặt chẽ q trình triển khai kiểm tra hệ thống công nghệ cung cấp dịch vụ Nhiều hệ thống hoạt động khơng thiết kế tốt kiểm tra kĩ Ngân hàng cần phải tìm lỗi hệ thống sớm giai đoạn thiết kế kiểm tra Ban quản trị cần phê chuẩn phương pháp kiểm tra quy định phải kiểm tra kiểm tra Các kiểm tra nên bao gồm logic kinh doanh, kiểm sốt an tồn vận hành hệ thống nhiều ngữ cảnh điều kiện Cần phải kiểm tra tổng thể trước thực sửa chữa nâng cấp hệ thống Dựa phân tích rủi ro ngân hàng, cần kiểm tra chặt chẽ trình ứng dụng cụ thể biện pháp đảm bảo an ninh cho trình ứng dụng thơng qua việc kết hợp biện pháp: kiểm tra mã nguồn mở (source code review), kiểm tra ngoại lệ (exception testing) kiểm tra tuân thủ (compliance review) để tìm đoạn mã nguồn bị sai lỗ hổng hệ thống gây vấn đề an ninh, xâm nhập cố Nhóm giải pháp nâng cao khả cung cấp dịch vụ ngân hàng 2.5 Bảo đảm khả khơi phục trì tính liên tục hệ thống Cần xác định ưu tiên việc khắc phục cố, kiểm tra thực tập thủ tục dự phòng để giảm thiểu việc gián đoạn hoạt động hệ thống công việc kinh doanh ngân hàng Kế hoạch khắc phục thủ tục xử lí có cố cần đánh giá thường xuyên cập nhật cóc thay đổi hoạt động kinh doanh, hệ thống mạng Ngân hàng cần thiết lập địa điểm dự phòng tách biệt khỏi điểm vận hành hệ thống với khả phục hồi nhanh để khôi phục hệ thống quan trọng tiếp tục hoạt động kinh doanh có cố xảy điểm hoạt động Phải thường xuyên xem xét, cập nhật kiểm tra việc chuẩn bị xử lí tình huống, khắc phục cố trì hoạt động để đảm bảo tính hiệu lực để bảo đảm 48 nhân viên phụ trách xử lí tình khẩn cấp thực thủ tục khắc phục cố cần thiết Ngân hàng cần có kế hoạch hành động để xử lí hạn chế công vào Internet banking Khả khơi phục hoạt động nhanh chóng hiệu sau công phải phần quan trọng quy trình khơi phục hệ thống trì hoạt động 2.6 Quản lý quy trình gia công sản phẩm dịch vụ Internet banking Hầu hết ngân hàng cung cấp Internet banking thường thuê nhà cung cấp dịch vụ, công ty gia công phần cứng phần mềm, công ty viễn thông… (gọi chung nhà cung cấp dịch vụ) để gia cơng phần hay tồn hệ thống Internet banking hệ thống Core banking Lý thay đổi nhanh chóng cơng nghệ hay nội ngân hàng khơng có khả tiếp cận Dù cho th gia cơng Internet banking lí ngân hàng phải bảo đảm đơn vị thuê cung cấp dịch vụ với khả hoạt động, công suất, độ tin cậy mức độ an toàn hệ thống đáp ứng yêu cầu cung cấp dịch vụ qua Internet banking ngân hàng Thuê bên thứ ba gia công Internet banking khơng có nghĩa ngân hàng giảm bớt trách nhiệm Ban quản trị phải hiểu đầy đủ rủi ro liên quan đến việc thuê gia công hệ thống Internet banking Trước định nhà cung cấp dịch vụ, cần xem xét kĩ để xác định lực, độ tin cậy, hồ sơ tình hình tài nhà cung cấp dịch vụ Cần có điều khoản quy định đầy đủ cẩn thận văn vai trò, mối quan hệ, nghĩa vụ trách nhiệm bên Trong hợp đồng cung cấp dịch vụ cần quy định mục tiêu hoạt động, mức dịch vụ, tính sẵn sàng liên tục, độ tin cậy, tuân thủ, kiểm tra, an ninh hệ thống, kế hoạch dự phòng, khả khơi phục có cố phương tiện dự trữ Ngân hàng nên yêu cầu nhà cung cấp dịch vụ thực sách, thủ tục kiểm sốt an ninh hệ thống tương tự áp dụng thân ngân hàng Ngân hàng cần thường xuyên xem xét theo dõi tập quán 49 quy trình an ninh nhà cung cấp dịch vụ Cần thiết lập quy trình theo dõi việc cung cấp dịch vụ, độ tin cậy hoạt động khả xử lí nhà cung cấp dịch vụ để đo lường tuân thủ hợp đồng thỏa thuận lực đơn vị Ngân hàng cần yêu cầu nhà cung cấp dịch vụ triển khai xây dựng sách dự phịng cố, quy định vai trị trách nhiệm họ việc ghi lại, trì kiểm tra kế hoạch dự phòng thủ tục khắc phục cố Cần xem xét, cập nhật thử nghiệm kế hoạch thường xuyên phù hợp với điều kiện công nghệ yêu cầu hoạt động thay đổi thường xuyên Ngân hàng nên có kế hoạch dự phòng cho trường hợp cố xấu nhà cung cấp dịch vụ tiếp tục hoạt động hay cung cấp dịch vụ yêu cầu Trong trường hợp này, ngân hàng phải tìm giải pháp nhà cung cấp khác để tiếp tục hoạt động 2.7 Nâng cao nhận thức an ninh mạng khách hàng Khách hàng có tin tưởng vào Internet banking hay không phụ thuộc nhiều vào hiểu biết tuân thủ yêu cầu an ninh thực giao dịch Do đó, ngân hàng cần phổ biến kiến thức bảo đảm an ninh mạng cho khách hàng Các ngân hàng phổ biến kiến thức cho khách hàng thông qua đào tạo trực tuyến qua website hay phương tiện truyền thông khác Khi áp dụng công cụ hay chức mới, đặc biệt công cụ hay chức liên quan đến việc bảo đảm an toàn, toàn vẹn liệu xác thực, ngân hàng cần phải thông báo hướng dẫn khách hàng để họ sử dụng quy cách Phổ biến kiến thức thông báo kịp thời giúp khách hàng hiểu yêu cầu an ninh thực bước cần thiết giao dịch việc báo cáo lại cho ngân hàng cố an ninh Để nâng cao nhận thức an tồn thơng tin khách hàng, ngân hàng nên khuyến cáo khách hàng phải bảo vệ thông tin truy cập (PIN), thẻ sinh mã (security token), thông tin cá nhân, liệu mật khác Các hướng dẫn việc bảo vệ thông tin cá nhân nên thể rõ ràng trang web truy cập (chẳng hạn 50 như: PIN phải thay đổi thường xuyên hay PIN phải giữ bí mật không tiết lộ cho ai…) Ngân hàng cần khuyến khích khách hàng thực biện pháp phòng ngừa như: cài đặt phần mềm chống virus, chống phần mềm gián điệp firewall, cập nhật chương trình diệt virus firewall thường xuyên, lưu dự phịng dự liệu quan trọng, khơng cài đặt phần mềm hay chạy chương trình khơng rõ nguồn gốc… Các biện pháp phòng ngừa khuyến cao không đổi mà cần cập nhật tới khách hàng thay đổi theo thời gian theo cách dễ tiếp nhận 2.8 Nâng cao trình độ nguồn nhân lực Các ngân hàng cần có sách thu hút, đào tạo đãi ngộ hợp lí để có đội ngũ nhân viên có trình độ cao lĩnh vực an ninh bảo mật Internet banking Đây lực lượng nòng cốt ngân hàng nhằm giúp phát triển dịch vụ cách an toàn hiệu Ngoài ra, ngân hàng cần tăng cường khóa đào tạo Internet banking vấn đề bảo mật thơng tin cho tồn thể nhân viên, đặc biệt nhân viên phịng ban có liên quan, để đảm bảo cho nhân viên có hiểu biết cần thiết cập nhật, bổ sung kiến thức mới, theo kịp cơng nghệ đại Các ngân hàng tranh thủ hỗ trợ kĩ thuật đối tác chiến lược để học hỏi kinh nghiệm mời chuyên gia nước tư vấn việc đầu tư sử dụng công nghệ bảo mật, đảm bảo an tồn thơng tin 51 KẾT LUẬN Với 23 triệu người sử dụng Internet nay, tiềm phát triển dịch vụ Internet banking thị trường Việt Nam lớn Do tiện ích ưu điểm vượt trội, dịch vụ ứng dụng rộng rãi giới nhiều năm Tuy nhiên, Việt Nam, dịch vụ Internet banking giai đoạn sơ khai, chưa phát huy hết lợi tiềm phát triển Một cản trở cho phát triển dịch vụ vấn đề rủi ro giao dịch Từ yêu cầu thực tế, luận văn tập trung giải vấn đề sau Thứ nhất, nêu bật tiện ích ưu điểm dịch vụ Internet banking khách hàng thân ngân hàng thương mại, đồng thời phân tích điều kiện cần thiết để phát triển dịch vụ Internet banking, từ cho thấy Việt Nam hội đủ điều kiện để phát triển dịch vụ Chương đưa nhìn khái quát vấn đề rủi ro giao dịch tác hại rủi ro giao dịch Internet banking, làm rõ cần thiết phải hạn chế rủi ro nhằm giúp cho dịch vụ Internet banking phát triển phát huy mạnh Thứ hai, phân tích thực trạng phát triển dịch vụ Internet banking, rủi ro giao dịch vấn đề an ninh bảo mật, rút mặt tồn để có giải pháp nhằm hạn chế rủi ro Thứ ba, xuất phát từ mặt tồn vấn đề quản lí rủi ro giao dịch, đưa giải pháp cụ thể cho thân ngân hàng thương mại kiến nghị với cấp quản lí vĩ mơ, tạo nên hệ thống giải pháp đồng bộ, góp phần hạn chế rủi ro giao dịch, giúp cho Internet banking phát triển xứng tầm với tiềm điều kiện phát triển Việt Nam Sự phát triển khoa học công nghệ mang lại ngày nhiều tiện ích cho khách hàng thân ngân hàng thương mại Việt Nam Tuy nhiên, kèm với tiện ích lại tiềm ẩn rủi ro Rủi ro giao dịch Internet banking 52 tránh ngày phức tạp với trình độ phát triển cơng nghệ thông tin truyền thông Cách tốt lúc phải chấp nhận tồn rủi ro có giải pháp thiết thực để hạn chế Để làm điều đó, khơng địi hỏi nỗ lực thân ngân hàng mà cần đến tham gia khách hàng hỗ trợ tích cực cấp quản lí liên quan 53 TÀI LIỆU THAM KHẢO Tiếng Việt 1) Ngô Văn Dũng (2010), Một số kinh nghiệm việc xây dựng thực thi sách bảo mật Việt Nam, Security world 2010 CSO workshop 2) Phạm Anh Tuấn (2010), Xây dựng niềm tin cho khách hàng với chiến lược đảm bảo an ninh thông tin hiệu quả, Security world 2010 CSO workshop 3) Thiếu tướng, TS Nguyễn Viết Thế (2010), Thực trạng an ninh mạng Việt Nam năm 2009 dự báo xu hướng an ninh mạng năm 2010, Security World 2010 4) TS Trần Nguyên Vũ (2010), Một cách tiếp cận xây dựng kiến trúc tổng thể an ninh thông tin hạ tầng chứng thực ngành tài chính, Security World 2010 5) Bộ Công thương (2010), Báo cáo thương mại điện tử Việt Nam, www.moit.gov.vn 6) TS Võ Văn Khang (2009), Một số cảnh báo kinh nghiệm thực tế an ninh thông tin từ giao dịch web email, www.security.org.vn 7) Thiếu tướng, TS Nguyễn Viết Thế (2008), Toàn cảnh an ninh mạng năm 2007 dự báo an ninh mạng năm 2008, Tổng cục kỹ thuật Bộ công an, Hội thảo Triển lãm "Thế giới An ninh Bảo mật năm 2008” 8) TS Vũ Quốc Khánh (2008), An ninh mạng Việt Nam- Những thách thức xu hướng an toàn an ninh mạng giai đoạn 2008- 2010, www.vncert.gov.vn 9) Bộ Công thương (2007), Ứng dụng công nghệ thông tin hoạt động quan nhà nước ngành công nghiệp thương mại, www.moit.gov.vn 10)Chính phủ (2007), Nghị định 26/2007/NĐ-CP- quy định chi tiết thi hành Luật giao dịch điện tử chữ kí số dịch vụ chứng thực chữ kí số, www.thuvienphapluat.vn 11)Chính phủ (2006), Nghị định 57/2006/NĐ-CP- nghị định thương mại điện tử, www.thuvienphapluat.vn 12)Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XI (2005), Luật Giao dịch điện tử, www.thuvienphapluat.vn 13)TS Nguyễn Nam Hải- KS Đào Thị Hồng Vân- TS Phạm Ngọc Thúy (2003), Chứng thực thương mại điện tử, Nhà xuất khoa học kỹ thuật Hà Nội 2003 54 14)Chính phủ (2002), Quyết định 44/2002/QĐ-TTg- Quy định việc sử dụng chứng từ điện tử làm chứng từ kế toán để hạch toán toán vốn tổ chức cung ứng dịch vụ toán, www.thuvienphapluat.vn 15)Website ngân hàng trang báo mạng khác… Tiếng Anh 1) Elaine Lee (2008), Analysis of ICT Security market in Asia Pacific up to year 2011 2) Get safe online (2008), UK internet security: state of the nation, Get safe online’s report, London 3) Margaret Tan (2006), Factors influencing the adoption of internet banking 4) Moneytary Authority of Singapore (2008), Internet banking and technology risk management guidelines, Singapore 5) Sophos (2009), Sophos security threat report 2009, www.sophos.com/sophos/docs/eng/marketing_material/, Washington 6) Sophos (2010), Sophos security threat report 2010, www.sophos.com/sophos/docs/eng/marketing_material/, Washington 55 ... trạng quản trị rủi ro giao dịch hoạt động Internet banking ngân hàng thương mại Việt Nam Để giải toán quản trị rủi ro giao dịch Internet banking, ngân hàng thương mại Việt Nam tập trung giải... Khái niệm rủi ro Internet banking Rủi ro Internet banking kiện xảy ý muốn trình sử dụng dịch vụ Internet banking ngân hàng Có nhiều dạng rủi ro, như: rủi ro tín dụng, rủi ro giao dịch, rủi ro lãi... dụng ngân hàng 30 3.2 Ngân hàng Quốc tế Việt Nam VIBank Mỗi ngân hàng có chiến lược phát triển Internet banking nói chung quản trị rủi ro giao dịch nói riêng Trong Đơng Á bank quản trị rủi ro giao