BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TPHCM [[[ \\\ PHẠM HUỆ PHƯƠNG GIẢI PHÁP BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG THỰC HIỆN DỊCH VỤ VIETINBANK AT HOME TẠI NGÂN HÀNG TMCP CÔNG THƯƠNG VIỆT NAM Chuyên ngành: Kinh tế Tài – Ngân hàng Mã số: 60.31.12 LUẬN VĂN THẠC SĨ KINH TẾ Người hướng dẫn khoa học TS LÊ THÀNH LÂN TP Hồ Chí Minh – Năm 2010 DANH MỤC CÁC TỪ VIẾT TẮT ACB Ngân hàng thương mại cổ phần Á Châu BDS Branch Dillivery System Kênh phân phối giao dịch trực tiếp hệ thống Incas chi nhánh Ngân hàng TMCP Công Thương Việt Nam CTK Chủ Tài Khoản INCAS Incombank Advance System Hệ thống đại hóa Ngân hàng TMCP Cơng thương Việt Nam KTT Kế Tốn Trưởng KTV Kế Toán Viên NHNN Ngân hàng Nhà nước NHTM Ngân hàng thương mại Sacombank Ngân hàng thương mại cổ phần Sài Gịn Thương Tín TMCP Thương mại cổ phần VBH Dịch vụ VietinBank at Home Vietinbank VietNam joint stock Commercial Bank for Industry and Trade Ngân hàng thương mại cổ phần Công thương Việt Nam DANH MỤC CÁC BẢNG BIỂU VÀ HÌNH Hình 2.1: Hệ thống tổ chức Ngân hàng TMCP Cơng thương VN 25 Hình 2.2: Thẻ RSA xác thực mã pin chương trình Vietinbank at home 26 Hình 2.3: Màn hình chức người sử dụng 34 Hình 2.4: Màn hình vấn tin tài khoản khách hàng 34 Hình 2.5: Màn hình vấn tin lịch sử giao dịch tài khoản khách hàng .35 Hình 2.6: Màn hình mẫu Lệnh chi 37 Hình 2.7: Định dạng in lệnh chi 39 Hình 2.8: Thống kê giao dịch bị lỗi .40 Hình 2.9: Thống kê giao dịch ngày 41 Hình 2.10: Mẫu email nhận từ hệ thống .42 Hình 2.11: Màn hình xử lý chứng từ 43 Hình 2.12: Màn hình Trang chủ giao dịch viên chi nhánh 44 Hình 2.13: Thống kê tình hình sử dụng dịch vụ Vietinbank at Home khách hàng.48 MỤC LỤC PHẦN MỞ ĐẦU CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ 1.1 Giới thiệu chung ngân hàng điện tử 1.1.1 Thương mại điện tử 1.1.2 Dịch vụ ngân hàng điện tử .2 1.2 Các yếu tố cần thiết cho ngân hàng điện tử 1.2.1 Hạ tầng sở công nghệ thông tin truyền thông 1.2.2 Nguồn nhân lực 1.2.3 Chứng từ điện tử - Chứng thư điện tử 1.2.4 Hệ thống cung ứng sản phẩm, dịch vụ 1.2.5 Bảo mật an tồn thơng tin 1.2.6 Hành lang pháp lý quy định điều chỉnh 1.2.7 Khả chấp nhận rủi ro người sử dụng 1.3 Các sản phẩm ngân hàng điện tử 1.3.1 Dịch vụ ngân hàng nhà (home-banking) 1.3.2 Dịch vụ ngân hàng tự động qua điện thoại (Phone-banking) 1.3.3 Dịch vụ ngân hàng qua ĐTDĐ (Mobile-banking) .10 1.3.4 Internet banking 11 1.3.5 Kiosk ngân hàng 12 1.4 Lợi ích rủi ro q trình ứng dụng dịch vụ ngân hàng điện tử 12 1.4.1 Các lợi ích mang lại 12 1.4.1.1 Lợi ích ngân hàng 13 1.4.1.2 Lợi ích khách hàng .13 1.4.2 Rủi ro trong hoạt động kinh doanh ngân hàng 14 1.4.3 Cách nhận diện loại rủi ro .15 1.5 Rủi ro an tồn bảo mật thơng tin dịch vụ ngân hàng điện tử 16 1.5.1 Xác định rủi ro an tồn bảo mật thơng tin 16 1.5.2 Vai trị cơng tác bảo mật an tồn thơng tin .17 1.6 Các phương án kiểm soát rủi ro 18 1.7 Một số thay đổi quy trình nghiệp vụ điện tử hóa cơng nghệ ngân hàng .19 Kết luận chương .22 CHƯƠNG 2: THỰC TRẠNG VỀ BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG DỊCH VỤ VIETINBANK AT HOME TẠI HỆ THỐNG NGÂN HÀNG TMCP CÔNG THƯƠNG VIỆT NAM 2.1 Sơ lược trình hình thành phát triển NHTMCP Công thương Việt Nam .23 2.2 Cơ cấu tổ chức, máy quản lý NHTMCP Công thương VN 24 2.3 Tổng quan Vietinbank at home .25 2.3.1 Khái quát dịch vụ 25 2.3.2 Ý nghĩa số thuật ngữ 26 2.3.3 Đối tượng sử dụng 27 2.3.4 Điều kiện sử dụng 27 2.3.5 Các tiện ích Vietinbank at home 28 2.3.6 Từ Internet Banking đến Vietinbank at home 28 2.4 Quy trình thực dịch vụ Vietinbank at home hệ thống NHTMCP Công Thương VN 29 2.4.1 Cơ sở pháp lý điều chỉnh hoạt động cung cấp sử dụng Vietinbank at home 29 2.4.2 Các yêu cầu phía khách hàng 30 2.4.2.1 Yêu cầu sở hạ tầng 31 2.4.2.2 Đăng ký sử dụng dịch vụ 31 2.4.2.3 Vai trò người dùng chức Vietinbank at home 31 2.4.2.4 Các trạng thái giao dịch .33 2.4.2.5 Đăng nhập vào hệ thống 33 2.4.2.6 Chức thực giao dịch phi tài .34 2.4.2.7 Chức thực giao dịch tài 36 2.4.2.8 Chức báo cáo thống kê in chứng từ .38 2.4.2.9 Chức hỗ trợ .41 2.4.3 Về phía ngân hàng .42 2.5 So sánh tiện ích Vietinbank at home NHTMCP Công thương VN dịch vụ Homebanking NHTMCP khác .45 2.6 Thực trạng bảo mật an toàn thông tin dịch vụ Vietinbank at home NHTMCP Công thương Việt Nam .46 2.7 Nguyên nhân chủ yếu chưa phát triển mạnh dịch vụ Vietinbank at home 49 2.7.1 Các nguyên nhân khách quan .49 2.7.2 Các nguyên nhân chủ quan 50 2.8 Kinh nghiệm quốc tế học cho Việt Nam bảo mật an tồn thơng tin 51 Kết luận chương .55 CHƯƠNG 3: GIẢI PHÁP BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG TRIỂN KHAI DỊCH VỤ VIETINBANK AT HOME 3.1 Định hướng phát triển NHTMCP Công thương VN dịch vụ ngân hàng điện tử 57 3.2 Các giải pháp bảo mật an tồn thơng tin triển khai dịch vụ Vietinbank at home .59 3.2.1 Giải pháp quản lý tổ chức 59 3.2.2 Giải pháp công nghệ 62 3.2.2.1 Kiểm soát truy cập 62 3.2.2.2 Xây dựng hệ thống phòng chống phát xâm nhập 63 3.2.2.3 Thực chế mã hoá thơng tin, xây dựng sở hạ tầng khóa cơng khai PKI 64 3.2.2.4 Xây dựng qui trình, kế hoạch dự phịng phục hồi hệ thống đảm bảo tính liên tục hệ thống dịch vụ Vietinbank at Home 65 3.2.2.5 Thường xun dị tìm, phát lỗ hổng hệ thống, thiết lập hệ thống cung cấp vá lỗ hổng bảo mật 66 3.2.3 Giải pháp giáo dục đào tạo 67 3.2.4 Giải pháp từ phía khách hàng .68 Kết luận chương .70 KẾT LUẬN 71 PHẦN MỞ ĐẦU Lý chọn đề tài Các khái niệm giao dịch điện tử, toán điện tử, ngân hàng điện tử xuất lâu, từ cuối kỷ 20 Tuy nhiên, khái niệm, lý thuyết chung chung ban đầu nước ta, giao dịch toán qua phương tiện điện tử dừng lại mức sơ bộ, hệ thống toán điện tử chưa triển khai rộng rãi để trở nên thông dụng Tuy nhiên, vài thập niên sau, việc hội nhập giới giúp ngành công nghệ thông tin nước ta phát triển nhanh vũ bão, đồng thời mở thời đại kỷ nguyên công nghệ cho ngành ngân hàng Việt Nam – thời đại ngân hàng điện tử Sự tiến minh chứng việc đời giao dịch toán điện tử đặc biệt hàng loạt dịch vụ ngân hàng điện tử Trong xu toàn cầu hóa nay, nhằm đáp ứng tối đa nhu cầu ngày đa dạng phong phú khách hàng, hệ thống ngân hàng nước ta bước đổi cơng nghệ theo hướng đại hóa, tự động hóa Hầu hết ngân hàng trang bị cho hệ thống cơng nghệ thơng tin đại, cung cấp nhiều sản phẩm, dịch vụ điện tử ATM, Internetbanking, Homebanking mang đến cho người tiêu dùng tiện ích cơng nghệ hữu dụng Sự kiện dịch vụ ngân hàng điện tử nghiên cứu triển khai diện rộng, với phát triển bùng nổ công nghệ với mức độ ngày cao phức tạp mang đến cho ngành ngân hàng cho dịch vụ ngân hàng điện tử nguy cơ, rủi ro tiềm ẩn Đề tài “Giải pháp bảo mật an tồn thơng tin thực dịch vụ Vietinbank at home Ngân hàng TMCP Công thương Việt Nam” với mong muốn giới thiệu tiện ích đồng thời cảnh báo rủi ro tiềm tàng để từ có giải pháp hợp lý để “Vietinbank at home” thật dịch vụ cơng nghệ cao đem lại nhiều tiện ích an tồn cho khách hàng theo mục tiêu: “Tin cậy, Hiệu quả, Hiện đại” Mục tiêu nghiên cứu Trên sở lý luận dịch vụ ngân hàng điện tử, đề tài nghiên cứu trình triển khai, thực dịch vụ “Vietinbank at home” Ngân hàng TMCP Công thương Việt Nam rủi ro tiềm ẩn, từ đưa giải pháp khắc phục để dịch vụ ngày hoàn thiện Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu dịch vụ “Vietinbank at home” Phạm vi nghiên cứu Ngân hàng TMCP Công thương Việt Nam Kết cấu luận văn Ngoài phần mở đầu kết luận, nội dung luận văn trình bày qua chương sau: Chương 1: Tổng quan bảo mật an tồn thơng tin dịch vụ ngân hàng điện tử Chương 2: Thực trạng bảo mật an tồn thơng tin dịch vụ “Vietinbank at home” Ngân hàng TMCP Công thương Việt Nam Chương 3: Giải pháp bảo mật an tồn thơng tin triển khai dịch vụ “Vietinbank at home” Ý nghĩa khoa học thực tiễn đề tài nghiên cứu Việc nghiên cứu đề tài nhằm nêu bật lên tiện ích rủi ro, nguy tiềm ẩn nhóm dịch vụ ngân hàng điện tử nước ta dịch vụ “Vietinbank at home” Ngân hàng TMCP Công thương Việt Nam Đây không đơn cung ứng sản phẩm cho khách hàng mà cịn thành cơng nghệ nước ta, góp phần giảm bớt ách tắc, chậm trễ quầy ngân hàng lượng giao dịch toán khách hàng ngày tăng cao Do hạn chế thời gian nghiên cứu, tài liệu thu thập trình độ hiểu biết, luận văn khơng tránh khỏi thiếu sót Kính mong Q Thầy Cơ độc giả quan tâm, tham gia đóng góp ý kiến q báu hồn thiện cơng trình CHƯƠNG I TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ 1.1 Giới thiệu chung ngân hàng điện tử Khi công nghệ giới bước vào giai đoạn tự động hóa, máy tính điện tử bước xâm nhập vào lĩnh vực đời sống xã hội Nhiều thuật ngữ đời bổ sung cho kho tàng ngôn ngữ nhân loại như: ngân hàng điện tử, giao dịch điện tử, thương mại điện tử, hải quan điện tử, phủ điện tử… Trong kinh tế, hoạt động ngân hàng xếp vào nhóm thương mại dịch vụ, trước phân tích ngân hàng điện tử, cần nói qua khái niệm thương mại điện tử 1.1.1 Thương mại điện tử Thuật ngữ thương mại điện tử đời làm thay đổi số khái niệm phổ biến từ trước đến Chúng ta hiểu cách đơn giản, thương mại điện tử trình mua bán sản phẩm dịch vụ thực thông qua mạng điện tử, phổ bíến mạng Internet Thơng qua hệ thống mạng, người ta thiết lập giao dịch tốn, mua bán sản phẩm từ hàng hóa đến dịch vụ, kể dịch vụ ngân hàng Theo truyền thống, giao dịch thương mại diễn hai bên mua bán gặp thị trường, cụ thể chợ, để trao đổi, lựa chọn, mặc giá trị, sau giao nhận toán Dần dần, với khối lượng trao đổi lớn hay với đối tượng trao đổi đặc biệt, trung gian xuất làm cầu nối hai bên mua bán 58 hạn, chia bước ngắn hạn thể nghị quyết, định phê duyệt quy hoạch hay đề án cấp lãnh đạo Trong lĩnh vực tài - tiền tệ - ngân hàng, định hướng đạo nhà nước lại chậm so với thực tiễn Riêng hình thái tiền tệ, giới chuyển từ hình thái bút tệ sang hình thái tiền điện tử Khi Việt Nam thức gia nhập tổ chức W.T.O, xu hội nhập nhanh chóng lơi hệ thống ngân hàng nước theo trào lưu giới Việc triển khai ứng dụng dịch vụ ngân hàng điện tử hệ tất yếu, khó cưỡng lại Nền tảng pháp lý cho hoạt động này, phân tích phần trên, chưa bao quát, đồng kín kẽ Định hướng thống Nhà nước chưa rõ ràng, cụ thể, mối quan tâm lớn Chính phủ đẩy mạnh tốn khơng dùng tiền mặt, nhằm hạn chế tâm lý chuộng tiền mặt giao dịch kinh tế Quyết định số 291/2006/QĐ-TTg ngày 29/12/2006 Thủ tướng phủ phê duyệt đề án tốn khơng dùng tiền mặt giai đoạn 2006 – 2010 định hướng đến năm 2020 Việt Nam, có đề cập đến vài ý ngắn rời rạc dịch vụ ngân hàng điện tử Tại Điều 2, Mục 5: “Nhóm đề án phát triển hệ thống toán bao gồm đề án thành phần (Ngân hàng Nhà nước Việt Nam chủ trì, phối hợp với Bộ, ngành liên quan xây dựng thực từ năm 2007 đến năm 2010): a Hoàn thiện phát triển hệ thống toán liên ngân hàng; b Xây dựng trung tâm toán bù trừ tự động phục vụ cho giao dịch bán lẻ; c Xây dựng trung tâm chuyển mạch thẻ thống nhất; 59 d Kết nối hệ thống toán bù trừ toán chứng khoán với hệ thống toán liên ngân hàng quốc gia.” Phát triển sở hạ tầng kỹ thuật nhằm tạo điều kiện thuận lợi cho việc toán khách hàng, trọng phát triển sản phẩm dịch vụ ngân hàng đại, ứng dụng công nghệ tin học tiên tiến… Đối với giao dịch điện tử, chưa đủ sở để ngân hàng tổ chức triển khai kênh giao dịch điện tử chưa tạo chế tổng hợp điều chỉnh hoạt động thương mại điện tử ngành ngân hàng Như vậy, theo tinh thần Quyết định 291/2006/QĐ-TTg, thời điểm năm 2006, dịch vụ ngân hàng điện tử bao gồm: nghiệp vụ toán bù trừ, liên ngân hàng việc phát hành toán thẻ ATM Bối cảnh chung đất nước chưa thuận lợi để tiến xa Đến cuối năm 2010, Chính phủ chưa thay đổi định hướng Thiếu quy hoạch tổng thể Nhà nước, dịch vụ ngân hàng điện tử chắn thiếu sở pháp lý tảng điều chỉnh hoạt động Dù theo lộ trình ấn định, từ năm 2011, chi nhánh ngân hàng nước ngồi đối xử bình đẳng, tổ chức tín dụng trog nước phải chịu áp lực cạnh tranh lớn nghiệp vụ ngân hàng, kể dịch vụ ngân hàng điện tử, nơn nóng Hội đồng quản trị Ban điều hành Ngân hàng TMCP Công thương Việt Nam muốn đẩy mạnh dịch vụ Vietinbank at Home vấp phải thái độ dè dặt xã hội 3.2 Các giải pháp bảo mật an tồn thơng tin triển khai Vietinbank at Home 3.2.1 Giải pháp quản lý tổ chức 60 Hội đồng quản trị Ban điều hành Vietinbank phải xây dựng chế giám sát rủi ro liên quan đến hoạt động ngân hàng điện tử, bao gồm việc xây dựng trách nhiệm giải trình, sách biện pháp kiểm soát quản lý rủi ro Với tính chất đặc thù, dịch vụ ngân hàng điện tử có khả tác động khơng nhỏ đến mức độ chịu rủi ro ngân hàng Lãnh đạo ngân hàng cần đánh giá kết kinh doanh ngân hàng qua việc phân tích lợi/hại nhằm xác định chiến lược phù hợp, đảm bảo qui trình quản trị rủi ro dịch vụ ngân hàng điện tử tích hợp vào phương thức quản trị rủi ro tổng thể ngân hàng Các chiến lược, sách lược qui trình quản trị rủi ro cần đảm bảo có khả giải rủi ro nảy sinh từ dịch vụ ngân hàng điện tử tương lai, bao gồm việc: - Xây dựng hành lang pháp lý hoạt động ngân hàng bao gồm quy chế, sách, tiêu chuẩn an tồn bảo mật thơng tin - Xây dựng chế quản lý toàn tài nguyên rủi ro xảy cho loại tài nguyên - Xây dựng chế quản lý kiểm sốt an tồn thơng tin với quy trình quản trị hệ thống ứng dụng phần mềm quản lý - Xây dựng mức độ chấp nhận rủi ro cụ thể dịch vụ ngân hàng điện tử mức phân bổ dự phòng rủi ro nghiệp vụ ngân hàng - Xây dựng chế báo cáo phân công quyền hạn bao gồm thủ tục báo cáo theo cấp bậc trường hợp xử lý tình có ảnh hưởng đến an tồn, hiệu uy tín ngân hàng (như việc xâm nhập hệ thống, vi phạm nguyên tắc an toàn nhân viên việc sử dụng sai mục đích nghiêm trọng thiết bị máy tính) 61 - Xử lý yếu tố liên quan đến việc đảm bảo an ninh, toàn vẹn sẵn sàng dịch vụ sản phẩm Vietinbank at Home Yêu cầu bên thứ ba mà ngân hàng thuê cài đặt hệ thống hay ứng dụng quan trọng phải trù liệu biện pháp xử lý tương tự - Thực việc phân tích rủi ro đảm bảo tương thích hệ điều hành ngân hàng triển khai dịch vụ ngân hàng điện tử phạm vi quốc tế Mạng Internet hỗ trợ nhiều cho việc cung cấp dịch vụ sản phẩm ngân hàng vùng, lãnh thổ, vượt qua giới hạn địa lý quốc gia Trong tương lai, khả triển khai dịch vụ ngân hàng điện tử vượt biên giới quốc gia trở thành thực gặp tranh chấp pháp lý Mạng điện tử vốn khơng có biên giới, bị giới hạn theo công suất trạm phát Vấn đề nhiễu sóng trạm phát khác thường dẫn đến tranh chấp phải xử lý Nếu bước sóng phát khơng có biên giới, quốc gia có chủ quyền biên giới địa lý rõ rệt Mỗi quốc gia thể chủ quyền qua văn hóa, phong tục, tập qn, chế độ trị, kinh tế, xã hội riêng biệt khác Họ hỗ trợ hay ngăn cản việc triển khai dịch vụ ngân hàng điện tử nước khác phần hay toàn lãnh thổ họ Họ có quyền bắt buộc dịch vụ phải phù hợp với quy định sở tại, qua yêu cầu phải cấp phép thực Thuật ngữ chuyên môn gọi chung rủi ro quốc gia cần phải lường trước cẩn thận Giấy phép thường kết nhiều bước trao đổi, đàm phán dài lâu khó nhọc từ hiệp ước quốc tế cấp lãnh đạo quốc gia, đến nghị định thư cấp Chính phủ, cấp Bộ, cấp địa phương, cấp ngành… cuối 62 hợp đồng kinh tế doanh nghiệp (ngân hàng) trước người tiêu dùng thực hưởng tiện ích dịch vụ mang lại 3.2.2 Giải pháp cơng nghệ 3.2.2.1 Kiểm sốt truy cập Ngân hàng triển khai biện pháp cần thiết để xác thực danh tính cấp phép cho khách hàng thực giao dịch qua mạng Internet Cơ chế kiểm sốt xác thực người sử dụng có nhiều bước trước cho phép truy cập vào hệ thống Trong dịch vụ ngân hàng điện tử, việc liên hệ, xác nhận giao dịch yêu cầu truy cập cụ thể hồn tồn đáng Do đó, Vietinbank cần sử dụng biện pháp đáng tin cậy để xác minh nhân thân để cấp phép cho khách hàng nhận dạng cấp phép cho khách hàng cũ có nhu cầu thực giao dịch điện tử Xác thực khách hàng trình truy gốc tài khoản vấn đề quan trọng việc giảm rủi ro bị đánh cấp tên mã truy cập, sử dụng tài khoản gian lận rửa tiền Việc ngân hàng khơng có khả xác thực khách hàng cách hiệu dẫn tới trường hợp kẻ bất lương xâm nhập hệ thống ngân hàng điện tử gây tổn thất tài uy tín gian lận, rị rỉ thơng tin mật hành động phạm tội (bẻ khóa) Do vậy, điều quan trọng ngân hàng phải quy định phương thức phù hợp đảm bảo xác thực người phép đăng nhập hệ thống thông qua mã số nhận dạng cá nhân (mã PIN), mật khẩu, thẻ sinh mã dùng lần RSA, áp dụng phương pháp chứng thực sinh trắc học kỹ thuật số PalmSecure (thiết bị kiểm tra tĩnh mạch lòng bàn tay) cho khách hàng thực giao dịch Các phương pháp sử dụng nhiều yếu tố, có nghĩa sử dụng kết hợp hai công nghệ kỹ thuật số sinh trắc học để chứng thực 63 Phương pháp chứng thực sử dụng nhiều yếu tố nói chung có mức độ bảo mật cao 3.2.2.2 Xây dựng hệ thống phòng chống phát xâm nhập Các vấn đề phát sinh từ kiện bất ngờ, bao gồm công từ bên bên ngồi ảnh hưởng đến hoạt động hệ thống dịch vụ ngân hàng điện tử Ngân hàng phải xây dựng hệ thống phòng chống phát xâm nhập nhằm đảm bảo việc trì hoạt động kinh doanh, kiểm sốt rủi ro, giữ uy tín hạn chế thiệt hại liên quan đến việc gián đoạn cung ứng dịch vụ Vietinbank at Home Do đó, ngân hàng áp dụng kỹ thuật phù hợp nhằm loại trừ mối đe dọa từ bên bên hệ thống ngân hàng điện tử như: - Triển khai tường lửa (Firewall) vùng ngân hàng lõi (core banking), vùng ngân hàng điện tử chi nhánh, tạo vùng biên khối để hạn chế giám sát luồng thông tin đơn vị, ngăn chặn kết nối bất hợp pháp Firewall sử dụng triển khai hiệu với sách kết nối khắt khe nhằm đảm bảo an toàn hệ thống - Sử dụng phần mềm quét virus tất điểm quan trọng truy cập vào hệ thống (ví dụ: máy chủ truy cập từ xa, máy chủ proxy thư điện tử) hệ thống máy trạm đầu cuối (terminal) - Sử dụng phần mềm phát chống đột nhập công cụ đánh giá an ninh khác nhằm định kỳ thăm dò, kiểm tra mạng, máy chủ nhằm phát nhược điểm lỗi sách kiểm soát an ninh - Kiểm tra xâm nhập hệ thống từ nội từ bên - Xây dựng chuỗi mệnh lệnh rõ ràng, áp dụng cho hoạt động nội lẫn thuê ngoài, nhằm đảm bảo triển khai đối phó khẩn trương 64 kiện quan trọng xảy Ngồi ra, cần xây dựng tuyến liên lạc nội với cấp quản lý, bao gồm việc thông báo cho Hội đồng Quản trị trường hợp cần thiết 3.2.2.3 Thực chế mã hố thơng tin, xây dựng sở hạ tầng khóa cơng khai PKI Trong sở hạ tầng khóa cơng khai (PKI), bên có cặp khóa cá nhân/cơng khai Khóa cá nhân giữ bí mật, dành cho người sử dụng Tất bên sử dụng khóa cơng khai Khóa cá nhân tạo chữ ký điện tử tài liệu cặp khóa thiết kế để thơng điệp mã khóa khóa cá nhân, đọc sử dụng khóa cịn lại Ngày nay, ngân hàng bắt đầu sử dụng kỹ thuật khác nhằm thiết kế chế khơng khước từ đảm bảo tính chất bảo mật toàn vẹn giao dịch ngân hàng điện tử chứng nhận số sử dụng sở hạ tầng khóa cơng khai (PKI) Một ngân hàng phát hành chứng nhận số cho khách hàng đối tác, phép riêng họ nhận dạng/xác thực, giảm rủi ro không khước từ thực giao dịch Mặc dù số quốc gia có quy định quyền khách hàng từ chối giao dịch thực hiện, số quốc gia khác lại qui định chữ ký điện tử có hiệu lực pháp lý Khi công nghệ tiếp tục phát triển, kỹ thuật ngày có xu hướng chấp nhận rộng rãi Để giải vấn đề này, ngân hàng cần triển khai phù hợp với tính chất loại hình giao dịch Vietinbank at Home đảm bảo rằng: - Hệ thống ngân hàng điện tử thiết kế nhằm giảm số lượng người sử dụng cấp phép giao dịch, khơng có ý định thực hiện, khách hàng hiểu rõ rủi ro liên quan đến giao dịch mà họ thực 65 - Tất bên tham gia giao dịch xác thực, sử dụng cần trì kiểm sốt kênh giao tiếp chứng thực - Dữ liệu giao dịch tài cần bảo vệ chống lại tùy tiện thay đổi cần phát tùy tiện thay đổi xảy 3.2.2.4 Xây dựng qui trình, kế hoạch dự phòng phục hồi hệ thống đảm bảo tính liên tục hệ thống dịch vụ Vietinbank at Home Để bảo vệ ngân hàng trước rủi ro tác nghiệp, rủi ro pháp lý rủi ro khác, dịch vụ ngân hàng điện tử cần cung cấp sở quán, thông suốt kịp thời theo kỳ vọng khách hàng Để thực điều này, ngân hàng cần có khả cung cấp dịch vụ ngân hàng điện tử cho người sử dụng từ nguồn sơ cấp (là ứng dụng hệ thống nội ngân hàng) từ nguồn thứ cấp (là ứng dụng hệ thống nhà cung cấp dịch vụ) Việc trì hoạt động liên tục phụ thuộc vào hệ thống dự phịng nhằm tránh cơng từ chối dịch vụ kiện dẫn tới việc gián đoạn kinh doanh Việc trì hoạt động liên tục hệ thống ứng dụng ngân hàng điện tử đóng vai trị quan trọng, to lớn trường hợp có nhu cầu giao dịch cao, vào lúc cao điểm Ngoài ra, yêu cầu cung cấp dịch vụ liên tục (24giờ X 7ngày) cho thấy cần thiết hệ thống dự phịng, để trì kinh doanh ngân hàng Ngân hàng đại phải trì hoạt động liên tục, đảm bảo chu chuyển vốn không ngừng nghỉ Chúng ta quen thuộc với phương châm “The city never sleeps” (Thành phố không ngủ) hay “The sun never sets” (Mặt trời không lặn) Chúng ta hiểu điều thành thực không câu sáo rỗng đầy phô trương 66 Tất nhiên ngân hàng phải xử lý hàng loạt hệ lụy liên quan đến Luật lao động bố trí ca kíp, thiết kế hệ thống tự động (Auto banking) dạng ngân hàng điện tử Để cung cấp dịch vụ ngân hàng điện tử cách liên tục theo kỳ vọng khách hàng, Vietinbank cần đảm bảo: - Phân tích lực hệ thống ngân hàng điện tử khả nâng cấp tương lai dựa phát triển tổng thể thị trường tỷ lệ khách hàng tiềm chấp nhận sử dụng dịch vụ Vietinbank at Home - Xây dựng khả xử lý giao dịch Vietinbank at Home đặc biệt khả chịu sức ép lúc cao điểm cần kiểm tra đánh giá định kỳ khả - Có phương án dự phịng, đưa qui trình phục hồi thay khả xử lý Vietinbank at Home, phục hồi thông tin hỗ trợ giao dịch bao gồm biện pháp cần áp dụng để khôi phục lại hệ thống ứng dụng quan trọng Vietinbank at Home trường hợp gián đoạn kinh doanh phải kiểm tra thử nghiệm thường xun 3.2.2.5 Thường xun dị tìm, phát lỗ hổng hệ thống, thiết lập hệ thống cung cấp vá lỗ hổng bảo mật Các lỗ hổng bảo mật thường xuyên xuất tất khâu, từ trình xử lý liệu đầu vào, môi trường hệ thống lỏng lẻo, sách bảo mật ngân hàng Nhằm đảm bảo đối phó với kiện bất thường xảy lỗ hổng bảo mật, Vietinbank cần: - Xây dựng qui trình đánh giá bảo mật độc lập an ninh mạng triển khai hệ thống áp dụng tiêu chuẩn an ninh mạng cách đồng 67 - Theo dõi phận hỗ trợ kỹ thuật hoạt động hỗ trợ khách hàng Việc đánh giá thường xuyên khiếu nại khách hàng giúp xác định lỗ hổng hệ thống an ninh, từ có biện pháp khắc phục - Xây dựng hệ thống Vietinbank at Home hồn chỉnh mơ giống với mơi trường thực tế để tiến hành thử nghiệm bảo mật, phát lỗ hổng khả khai thác lỗ hổng tin tặc (hacker) Xin lưu ý đối đầu tin tặc chuyên gia chịu trách nhiệm an toàn hệ thống chưa đến hồi kết Tin tặc khơng có ý đồ xấu, cố sức bẻ khóa an tồn để tự khẳng định tài năng, sau kẻ khác lợi dụng lỗ hỏng vừa tạo để xâm nhập làm chuyện xấu, để lại hậu nặng nề 3.2.3 Giải pháp giáo dục đào tạo - Xây dựng đào tạo đội ngũ cán công nhân viên Vietinbank nghiệp vụ ngân hàng công nghệ thông tin Bảo đảm cho nguồn nhân lực hệ thống Vietinbank cập nhật kiến thức mới, tiếp cận tiến khoa học kỹ thuật công nghệ mới, đặc biệt cơng nghệ ngân hàng, góp phần nâng cao an toàn hệ thống, đem lại cho khách hàng nhiều dịch vụ với chất lượng, độ tin cậy ngày cao - Với nỗ lực chuẩn hoá hạ tầng, phân vùng kiểm soát truy cập mạng, kiểm soát cửa ngõ, phân vùng quan trọng thường xuyên giám sát, phản ứng kịp thời cán kỹ thuật, nguy xâm nhập truyền thống ngăn chặn đẩy lùi, đảm bảo vận hành thơng suốt tồn hệ thống Tất nhiên, cịn nhờ việc tăng cường giáo dục, đào tạo, thường xuyên kiểm tra, nhắc nhở cán nhân viên cần thiết phải bảo mật biện pháp, quy định bảo mật ngân hàng Các quy định, yêu cầu bảo mật người sử dụng, quy trình cho 68 đội ngũ cán cơng nghệ thơng tin rà sốt/chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật - Xây dựng quy trình bảo mật theo chuẩn ISO 9001:2008, đưa bảo mật an tồn thơng tin trở thành phần hữu quy trình dịch vụ Khi nhân viên ngân hàng, dù phận nào, làm khâu nào, hiểu tầm quan trọng vấn đề bảo mật an tồn thơng tin cho khách hàng biện pháp mà họ cần thực để đạt tới mục đích chất lượng dịch vụ nâng cao, giúp khách hàng hài lòng, yên tâm đưa bảo mật trở thành lợi cạnh tranh cho ngân hàng 3.2.4 Giải pháp từ phía khách hàng Vấn đề bảo mật an tồn thơng tin khơng thực từ phía ngân hàng mà cịn phải thực từ phía khách hàng – người trực tiếp sử dụng sản phẩm dịch vụ Vietinbank at Home Tuy nhiên nay, hầu hết cá nhân sử dụng sản phẩm Vietinbank at Home chưa nhận thức quan tâm mức đến vấn đề Nhận thức phía người sử dụng quan trọng, góp phần làm giảm đáng kể rủi ro giao dịch thông qua Internet - Vietinbank cần triển khai bước phù hợp nhằm thông báo với khách hàng sử dụng dịch vụ Vietinbank at Home riêng tư bảo mật thông tin khách hàng - Hướng dẫn khách hàng cần thiết phải bảo vệ mật khẩu, mã số nhận dạng cá nhân (PIN) liệu cá nhân liệu ngân hàng - Cung cấp cho khách hàng thông tin tổng quát an ninh máy tính cá nhân, bao gồm lợi ích sử dụng phầm mềm chống virus, kiểm soát truy cập máy tính tường lửa cá nhân kết nối Internet tĩnh 69 Về phía khách hàng, người dùng cần quan tâm tới an toàn máy tính cá nhân Hầu hết máy tính cá nhân bị xâm nhập qua lỗ hổng bảo mật, máy tính chạy phần mềm Windows Nếu tin tặc (hacker) xâm nhập máy tính người dùng, kiểm sốt tồn máy tính truy cập tài khoản ngân hàng qua Internet Để giảm thiểu rủi ro, máy tính cá nhân nên cài đặt phần mềm hãng cơng ty có uy tín, tường lửa tối thiểu, phần mềm chặn virus mật đủ khó mật dùng lần cho giao dịch liên quan đến chuyển tiền cung cấp thiết bị riêng biệt (Token card) Thiết bị giúp người dùng an toàn giao dịch trực tuyến, người dùng lưu ý bảo quản, phải báo cho nhà cung cấp khóa tài khoản Khi gặp tượng đáng ngờ xuất cửa sổ thơng báo (popup) dai dẳng, máy tính kết nối chậm đáng kể, khởi động lặp lặp lại, chuột hay bàn phím bị treo thơng điệp cảnh báo lạ, người dùng nên dừng tất việc làm, ngắt kết nối Internet, quét virus máy tính phần mềm độc hại 70 KẾT LUẬN CHƯƠNG Trong điều kiện nay, để phát triển dịch vụ ngân hàng điện tử, hầu hết ngân hàng phải thực số bước thích hợp theo giải pháp cụ thể Chương đưa giải pháp giảm thiểu rủi ro dịch vụ ngân hàng điện tử, đặc biệt vấn đề an tồn bảo mật thơng tin dịch vụ Vietinbank at home ngân hàng TMCP Công Thương Việt Nam Các giải pháp hỗ trợ cho hoạt động ngân hàng điện tử tương thích với mức độ nguy rủi ro phương thức quản trị rủi ro phù hợp với Vietinbank, góp phần đảm bảo tính an toàn, khả thi Vietinbank at home, đưa sản phẩm Vietinbank at home tiếp cận khách hàng cách an tồn, nhanh chóng, xác hiệu Có thể nói, Vietinbank at home phát huy tối đa hiệu ứng dụng Vietinbank giải pháp đề xuất thực đồng trình triển khai phát triển 71 KẾT LUẬN Công nghệ ngày phát triển với cạnh tranh ngân hàng tạo điều kiện cho khách hàng tiếp cận ngày nhiều sản phẩm dịch vụ ngân hàng thông qua kênh cung cấp dịch vụ điện tử gọi chung dịch vụ ngân hàng điện tử Ngồi lợi ích mang đến, phát triển nhanh chóng loại hình dịch vụ chứa nhiều rủi ro, bật vấn đề bảo mật an tồn thơng tin Dịch vụ Vietinbank at home kết tất yếu trình phát triển công nghệ thông tin ngân hàng Dịch vụ đóng góp vai trị quan trọng mang lại nguồn lợi nhuận cao nhóm dịch vụ ngân hàng điện tử Vietinbank Trên sở vận dụng tổng hợp phương pháp nghiên cứu khoa học, từ lý luận sở dịch vụ ngân hàng điện tử đề cập chương 1, luận văn trình bày cụ thể tình hình thực triển khai dịch vụ Vietinbank at home ngân hàng TMCP Cơng Thương Việt Nam Từ nêu lên vấn đề nóng bỏng dịch vụ ngân hàng điện tử nói chung Vietinbank at home nói riêng - vấn đề bảo mật an tồn thơng tin Trên phân tích nhận định chương 2, chương nêu lên giải pháp bảo mật an tồn thơng tin Tuy nhiên giải pháp mang tính thời điểm, khơng có tính trường cửu giải pháp nhanh chóng lỗi thời trước tốc độ thay đổi công nghệ sáng kiến dịch vụ khách hàng Do đề tài nêu lên vấn đề an tồn bảo mật thơng tin sản phẩm Vietinbank at home, nhằm tăng cường tính an tồn hiệu dịch vụ ngân hàng điện tử hệ thống Vietinbank, bảo toàn động cần thiết trình triển khai thực tế xuất phát từ tốc độ thay đổi lĩnh vực công nghệ thông tin 72 Mặc dù có nhiều nỗ lực cơng tác tìm tịi nghiên cứu, kinh nghiệm thân kiến thức hạn chế sản phẩm dịch vụ công nghệ mẻ này, đề tài nghiên cứu không tránh khỏi thiếu sót Kính mong nhận đóng góp Q Thầy Cô, đồng nghiệp quan, độc giả quan tâm đến vấn đề Xin chân thành cảm ơn./ ... bảo mật an tồn thơng tin dịch vụ ngân hàng điện tử Chương 2: Thực trạng bảo mật an tồn thơng tin dịch vụ ? ?Vietinbank at home? ?? Ngân hàng TMCP Công thương Việt Nam Chương 3: Giải pháp bảo mật an. .. mật an tồn thơng tin thực dịch vụ Vietinbank at home Từ nêu lên thành tựu mặt hạn chế dịch vụ liên quan 23 CHƯƠNG THỰC TRẠNG VỀ BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG DỊCH VỤ VIETINBANK AT HOME TẠI... Dịch vụ ngân hàng nhà (home- banking) Trong tiếng Anh, ? ?home? ?? “nh? ?, “banking” ? ?dịch vụ ngân hàng? ?? Home- banking kênh phân phối dịch vụ ngân hàng điện t? ?, cho phép khách hàng thực hầu hết giao dịch