MỤC LỤC
Đó là những rủi ro mà hậu quả của nó có thể có lợi, nhưng cũng có thể sẽ mang đến sự tổn thất ( sự thay đổi về thị hiếu khách hàng có thể phù hợp với sản phẩm mà doanh nghiệp đang kinh doanh hay không, sự thay đổi về công nghệ kĩ thuật có phù hợp với khả năng tài chính của doanh nghiệp hay không, sự thay đổi đó có quá nhanh hay không? ..). Rủi ro tĩnh là những rủi ro, mà hậu quả của nó chỉ liên quan đến sự xuất hiện tổn thất hay không, chứ không có khả năng sinh lời, và không chịu sự ảnh hưởng của những thay đổi trong nền kinh tế. Như vậy, về định nghĩa chính thống, rủi ro chính là sự kiện mà kết quả hiện tại hoặc tương lai có khả năng khác biệt đáng kể so với mức dự kiến từ trước, hay còn gọi là mức kỳ vọng.
Quản trị rủi ro là quá trình nhận dạng, đo lường, đối phó và kiểm soát rủi ro, nhằm ngăn ngừa, hạn chế những tổn thất do rủi ro gây ra. Quản trị rui ro là một hoạt động cần thiết không chỉ trong hoạt động kinh doanh mà còn trong tất cả các lĩnh vực đời sống hằng ngày. Quản trị rủi ro hiệu quả sẽ giữ các hoạt động ổn định, chủ động hơn và tránh được nhiều thiệt hại nhờ đã dự kiến từ trước.
- Một lỗ hổng an ninh có thể dẫn đến những trách nhiệm pháp lý do bọn lừa đảo cố tình tạo ra cho ngân hàng, việc để lọt những trường hợp tiếp cận ngoài thẩm quyền có thể dẫn đến những thiệt hại trực tiếp hoặc gây ra các trách nhiệm pháp lý cho khách hàng và các rắc rối khác. - Ngân hàng còn có thể phải gánh chịu những rủi ro có liên quan đến hành vi lừa đảo của chính những nhân viên của mình: các nhân viên ngân hàng hoàn toàn có thể nắm được những dữ liệu của quy trình xác nhận nhằm mục đích truy cập vào các tài khoản của khách hàng hoặc ăn cắp các thẻ lưu trữ giá trị. Chẳng hạn như, nếu một ngân hàng hoạt động toàn cầu bị tổn hại nghiêm trọng về danh tiếng do các hoạt động kinh doanh ngân hàng điện tử và tiền điện tử của nó gây nên thì cần phải lưu tâm đến an ninh của các hệ thống của những ngân hàng khác.
Những tổn thất lớn do nhầm lẫn của một ngân hàng khác cũng có thể khiến các khách hàng của ngân hàng có các sản phẩm, dịch vụ NHĐT giống hoặc tương tự nghi ngờ vào sản phẩm và dịch vụ của ngân hàng đó, cho dù bản thân ngân hàng không gặp các trường hợp tương tự như ngân hàng kia. Hoạt động NHĐT lại thực hiện “gián tiếp” qua các kênh điện tử chứ không qua tiếp xúc trực tiếp giữa ngân hàng với khách hàng nên việc áp dụng các phương pháp truyền thống trong phòng tránh và phát hiện các hoạt động tội phạm với hoạt động ngân hàng điện tử sẽ không đạt hiệu quả cao như trước. Ngoài ra, các ngân hàng tham gia vào hoạt động kinh doanh ngân hàng điện tử có thể thực hiện các khoản tín dụng thông qua những kênh không phải là truyền thống và cũng có thể mở rộng thị trường của mình vượt ra ngoài những ranh giới địa lý.
Qua khảo sát người ta thấy rằng nhiều năm qua các ngân hàng gặp phải các loại rủi ro tương tự trong hoạt động ngân hàng quốc tế và đáng chú ý là những rủi ro này lại có quan hệ cùng chiều với sự mở rộng hoạt động ngân hàng và tiền điện tử xuyên quốc gia. Những vấn đề đó có thể đặt ngân hàng vào trạng thái rủi ro nhất định như việc không tuân thủ luật và quy định của các quốc gia khác, kể cả luật bảo vệ người tiêu dùng, các quy định về báo cáo và ghi chép sổ sách, các nguyên tắc bảo mật cá nhân và luật chống rửa tiền.
(ii) Xây dựng các cơ chế uỷ quyền và báo cáo cơ bản, bao gồm cả kế hoạch xử lý những trường hợp sự cố có thể ảnh hưởng đến sự an toàn hay uy tín của ngân hàng (ví dụ như mạng lưới bị xâm nhập, vi phạm an ninh của nhân viên hay lạm dụng nghiêm trọng các thiết bị máy tính). (iii) Lưu ý đến mọi yếu tố rủi ro đặc thù liên quan đến việc đảm bảo tính an ninh, hoàn chỉnh và luôn sẵn sàng của các sản phẩm và dịch vụ ngân hàng điện tử, đồng thời, yêu cầu bên đối tác mà ngân hàng thuê những hệ thống và ứng dụng cơ bản cũng phải áp dụng các biện pháp tương tự. Để kiểm soát được an ninh đối với các hoạt động ngân hàng điện tử, Hội đồng quản trị và ban lãnh đạo cần đảm bảo rằng ngân hàng có một quy trình kiểm soát an ninh toàn diện, bao gồm cả các chính sách và quy trình thủ tục, trong đó lưu ý đến mọi mối đe doạ từ trong và ngoài ngân hàng để ngăn ngừa và có biện pháp xử lý kịp thời khi xảy ra sự cố.
Ngân hàng cần phải quy định cụ thể về trình tự, thủ tục thiết lập quyền ưu tiên uỷ quyền và các biện pháp xác nhận thích hợp, các biện pháp kiểm soát truy cập ảo và thực, an ninh cơ sở hạ tầng đầy đủ để đảm bảo duy trì được những giới hạn và hạn chế cần thiết đối với hoạt động của người sử dụng trong - ngoài ngân hàng và tích hợp dữ liệu của các giao dịch, bản ghi và thông tin. Ngoài ra, cần đảm bảo chắc chắn phải cú phương phỏp kiểm toỏn rừ ràng đối với tất cả mọi giao dịch ngân hàng điện tử, đồng thời, những biện pháp bảo mật nội dung các thông tin quan trọng của hoạt động ngân hàng điện tử cũng cần phải phù hợp với mức độ nhạy cảm của những thông tin này. Vấn đề này đặc biệt quan trọng với hoạt động ngân hàng điện tử vì tính phức tạp của việc xác minh nhận dạng và quyền của các bên trong giao dịch, nguy cơ biến đổi hoặc chiếm đoạt các thông tin giao dịch điện tử và nguy cơ người sử dụng ngân hàng điện tử quả quyết rằng giao dịch đã bị sửa đổi một cách gian lận.
Sự ra đời của hoạt động ngân hàng điện tử đặt ra những thử thách mới về an ninh đối với các ngân hàng vì hoạt động này làm tăng rủi ro thông tin chuyển qua mạng hoặc lưu trữ ở cơ sở dữ liệu sẽ bị các bên không có thẩm quyền hoặc không phù hợp tiếp cận hoặc sử dụng theo những cách mà khách hàng đã cung cấp thông tin đó không mong muốn. Các cơ chế phản ứng hiệu quả trong trường hợp xảy ra sự cố cũng là một điều hết sức cần thiết để giảm thiểu rủi ro hoạt động, rủi ro pháp lý và rủi ro uy tín phát sinh từ những biến cố ngoài dự kiến, bao gồm cả những trường hợp tấn công từ trong hay từ ngoài ngân hàng mà có thể ảnh hưởng đến việc hệ thống và dịch vụ ngân hàng điện tử.
Giai đoạn 2Hỗ trợ khách hàngGiám sátKiểm toánMật mãAn toàn vật lýXác nhận giao dịchMã hoá và bảo mậtPhát hiện và phòng chống virusChữ ký số và CAThiết bị sinh trắc họcTường lửaNhà cung cấp phần mềmNhà cung cấp dịch vụ Internet. Vấn đề an ninh trong hoạt động NHĐT không chỉ được xem xét đơn giản là việc ứng dụng các phần mềm và phần cứng vào quản lý, mà yêu cầu các giải pháp an ninh liên tục phù hợp với chính sách an ninh đã được thiết lập. Ngay từ trước khi triển khai dịch vụ, các ngân hàng phải đảm bảo khả năng xử lý các sự cố an ninh thông qua việc đáp ứng các yêu cầu về vận hành và cơ sở hạ tầng của Ngân hàng Trung Ương BNM như yêu cầu về quyền ưu tiên và biện pháp xác thực, kiểm soát tiếp cận logic và vật lý, kiểm soát người dùng nội bộ và bên ngoài thông qua các thiết bị phát hiện xâm nhập trái phép, tường lửa, đảm bảo sự nguyên vẹn của dữ liệu giao dịch, bản ghi và thông tin.
Bên cạnh đó, Chính phủ Malaysia cũng ý thức được tầm nhu cầu quản lý các vấn đề an ninh ICT thông qua việc thành lập Cơ quan An ninh mạng lưới Quốc Gia (1998) và Trung tâm Đối ứng khẩn cấp và bảo mật ICT Quốc Gia hỗ trợ các ngân hàng ứng phó kịp thời khi xảy ra sự cố. Riêng ngân hàng này sử dụng chương trình Vison Plus nó có khả năng xử lý các dịch vụ ngân hàng và báo cáo chi tiết tình trạng khách hàng bằng cách cho điểm khách hàng, ngân hàng này xử lý đăng ký thẻ ghi nợ 47.000 đơn/tháng và 5.300 đơn/tháng với thẻ tín dụng khác, hiện ngân hàng này đang quản lý 2 triệu thẻ đang hoạt động. Hiện Chính phủ Singapore có 1 kho dữ liệu và một kho Back Up dữ liệu khi có sự cố chỉ sau 4 giờ là mọi ngân hàng lại hoạt động bình thường, ngoài ra sự kết nối trực tuyến với hệ thống máy chủ ở Hongkong và Thailand cũng là một điểm ưu việt của hệ thống ngân hàng tại đây.