II. CÁC GIẢI PHÁP TĂNG CƯỜNG CÔNG TÁC QUẢN TRỊ RỦI RO GIAO DỊCH TRONG INTERNET BANKING
2. Nhóm giải pháp đối với các ngân hàng thương mại Nhóm giải pháp đảm bảo an toàn thông tin
2.2. Cải thiện hệ thống Internet banking hướng đến các mục tiêu cụ thể nhằm hạn chế rủi ro giao dịch
nhằm hạn chế rủi ro giao dịch
Khi xây dựng hệ thống Internet banking, các ngân hàng cần đặt mối quan tâm hàng đầu vào các mục tiêu cụ thể là đảm bảo bí mật và toàn vẹn dữ liệu, hệ thống sẵn sàng liên tục, khả năng xác thức khách hàng và giao dịch, và bảo vệ khách hàng.
+ Bảo đảm bí mật dữ liệu: Bảo đảm bí mật dữ liệu nghĩa là bảo vệ các thông tin nhạy cảm không bị theo dõi và truy cập bất hợp pháp. Các ngân hàng nên đánh giá các yêu cầu an ninh đối với hệ thống Internet banking của ngân hàng và chọn áp dụng phương thức mã hóa phù hợp với yêu cầu bảo mật và toàn vẹn dữ liệu. Ngoài ra, ngân hàng chỉ nên lựa chọn các thuật mã hóa đáp ứng các tiêu chuẩn quốc tế và đã được cộng đồng mã hóa kiểm tra kĩ lưỡng; hoặc được các cơ quan có thẩm quyền, các nhà cung cấp giải pháp an ninh nổi tiếng hay các tổ chức chính phủ công nhận.
+ Toàn vẹn dữ liệu: Toàn vẹn dữ liệu là sự chính xác, đáng tin cậy và đầy đủ các thông tin được xử lí, lưu trữ và truyền tải giữa ngân hàng với các khách hàng của mình. Hệ thống Internet banking cần đạt được sự toàn vẹn tương ứng với loại dịch vụ và mức độ phức tạo của dịch vụ cung cấp. Các ngân hàng nên lắp đặt các
hệ thống giám sát để nhận được cảnh báo về các hoạt động khả nghi đe dọa tính toàn vẹn của dữ liệu hay về các giao dịch trực tuyến thất thường.
+ Sự sẵn sàng và liên tục của hệ thống: Các yếu tố quan trọng giúp duy trì sự sẵn sàng liên tục của hệ thống là: đủ công suất, hoạt động chắc chắn, phản hồi nhanh và khôi phục nhanh khi có sự cố. Các ngân hàng cần đảm bảo đủ nguồn lực và năng lực về phần cứng, phần mềm và các nguồn lực khác để có thể cung cấp một dịch vụ đáng tin cậy.
Xử lí giao dịch qua Internet cần đến nhiều kết cấu liên hệ thống và mạng phức tạp. Toàn bộ hệ thống có thể không hoạt động chỉ vì một kết cấu phần cứng hoặc một module phần mềm không hoạt động hay bị hỏng. Do đó, các ngân hàng cần lưu trữ các kết cấu phần cứng hay phần mềm dự phòng của hệ thống mạng cần thiết để có thể khôi phục hệ thống nhanh chóng khi gặp sự cố.
+ Xác thực khách hàng và giao dịch: Để tránh các cuộc tấn công và gian lận trên mạng, các ngân hàng nên áp dụng phương thức xác thực hai nhân tố khi truy nhập và giao dịch cho tất cả các hình thức Internet banking. Xác thực hai nhân tố giúp chống lại các trò lừa đảo trực tuyến, phần mềm gián điệp, phần mềm độc hại, tấn công trung gian và các trò gian lận hay các xâm phạm bất hợp pháp trên Internet nhằm vào các ngân hàng và khách hàng, từ đó bảo mật dữ liệu tài khoản của khách hàng và các chi tiết giao dịch cũng như nâng cao sự tin tưởng vào Internet banking.
+ Bảo vệ khách hàng: Các ngân hàng cần bảo đảm khách hàng được nhận dạng và xác thực trước khi được phép truy cập những thông tin nhạy cảm hay các chức năng ngân hàng trực tuyến. Ngân hàng cũng cần có các biện pháp để giảm thiểu nguy cơ bị tấn công qua trung gian (MIM).
Để bảo vệ khách hàng, các ngân hàng không nên cung cấp các phần mềm cho khách hàng thông qua Internet trừ khi có đủ khả năng đảm bảo an ninh cho khách hàng, có nghĩa là, khách hàng phải kiểm tra được nguồn gốc và tính toàn vẹn của phần mềm được tải về và xác thực chữ kí số của ngân hàng đi kèm với phần mềm
nhờ vào chứng nhận số do ngân hàng cung cấp; ngược lại, ngân hàng cũng có thể kiếm tra tính xác thực và toàn vẹn của phần mềm mà khách hàng sử dụng.