II. CÁC GIẢI PHÁP TĂNG CƯỜNG CÔNG TÁC QUẢN TRỊ RỦI RO GIAO DỊCH TRONG INTERNET BANKING
2. Nhóm giải pháp đối với các ngân hàng thương mại Nhóm giải pháp đảm bảo an toàn thông tin
2.3. Xây dựng mới các quy tắc và tập quán bảo mật cho ngân hàng
Các quy tắc và tập quán bảo mật có thể giúp giảm thiểu rủi ro do các nguy cơ đe dọa từ bên ngoài lẫn bên trong đối với hệ thống Internet banking. Khi những nguyên tắc và tập quán này được áp dụng và tuân thủ chặt chẽ sẽ giúp ngân hàng bảo vệ tính xác thực và bí mật dữ liệu.
Tập quán bảo mật thường là sự kết hợp giữa các công cụ phần cứng và phần mềm, các thủ tục hành chính và các chức năng quản lí nhân sự giúp xây dựng hệ thống và hoạt động an toàn. Những quy tắc, tập quán và thủ tục này được coi là chính sách và quy trình an ninh bảo mật của các ngân hàng.
An ninh mạng xét cho cùng phụ thuộc vào một nhóm nhỏ nhân viên có kĩ năng, những người này phải được kiểm tra kĩ lưỡng về nhiệm vụ và việc tiếp cận hệ thống của họ. Các ngân hàng cần phải đưa ra những tiêu chuẩn chọn lựa nghiêm ngặt và xem xét toàn diện khi chỉ định nhân sự vào các vị trí vận hàng và bảo mật cho hệ thống Internet banking. Các nhân viên phụ trách việc triển khai, duy trì và vận hành các trang web phải được huấn luyện đầy đủ về các nguyên tắc và tập quán bảo mật. Ba trong số các quy tắc cơ bản nhất trong việc bảo vệ hệ thống là: không để một mình (những công việc và thủ tục quan trọng phải được thực hiện bởi ít nhất hai người hoặc là một người làm và một người kiểm tra); tách biệt nhiệm vụ (công việc và trách nhiệm phải được tách biệt và được nhiều nhóm thực hiện); và kiểm soát tiếp cận hệ thống (quyền tiếp cận hệ thống phải dựa trên trách nhiệm và mức độ cần thiết để hoàn thành công việc).
Nhìn chung, để bảo đảm an toàn cho hệ thống Internet banking, ngân hàng cần có những tập quán bảo vệ an ninh sau:
- Triển khai hệ thống mạng với các phần mềm hệ thống và firewall được thiết kế với độ an toàn cao nhất, phù hợp với yêu cầu bảo mật. Cập nhật, sửa chữa và
nâng cấp hệ thống theo khuyến cáo của nhà cung cấp. Thay đổi tất cả mật khẩu cho hệ thống mới ngay sau khi cài đặt.
- Cài đặt firewall giữa mạng nội bộ và bên ngoài cũng như giữa các khu vực khác nhau về địa lí.
- Lắp đặt thiết bị ngăn chặn và dò tìm các xâm phạm trái phép
- Thuê các chuyên gia an ninh độc lập đánh giá điểm mạnh và điểm yếu của các trình ứng dụng Internet banking, hệ thống và mạng trước khi cài đặt lần đầu tiên và ít nhất hàng năm sau khi cài đặt. Việc đánh giá này tốt nhất là không báo trước cho các nhân viên có trách nhiệm vận hành hệ thống và có hoạt động liên quan đến Internet banking.
- Xây dựng các quy trình theo dõi mạng và hệ thống trong đó sử dụng máy quét mạng, thiết bị dò tìm các truy nhập trái phép và các cảnh báo về an ninh.
- Cài đặt phần mềm diệt virus
- Thường xuyên theo dõi cấu hình mạng và kiểm tra sự toàn vẹn dữ liệu
- Duy trì việc theo dõi an ninh và kiểm toán hệ thống. Thuê các chuyên gia bảo mật hay các nhân viên kiểm toán nội bộ có kĩ năng để kiểm toán hệ thống.
- Phân tích dữ liệu theo dõi an ninh hệ thống để tìm ra những truyền tải dữ liệu và những nỗ lực xâm nhập đáng ngờ.
- Lập kế hoạch quản lí và giải quyết sự cố.
- Kiểm tra kế hoạch giải quyết sự cố đã lập trước đó với từng sự cố cụ thể.
- Cài đặt các công cụ phân tích để giúp phân tích bản chất và hạn chế các cuộc tấn công
- Triển khai và duy trì kế hoạch khắc phục sự cố và bảo đảm tính liên tục của hệ thống dựa vào yêu cầu công nghệ thông tin, nhu cầu hoạt động và kinh doanh
- Áp dụng biện pháp xác thực hai nhân tố khi truy nhập cho hệ thống Internet banking và một OTP cụ thể hay chữ kí điện tử cho mỗi giao dịch có giá trị cao hơn mức định trước do khách hàng chọn hay do ngân hàng quy định trước.
- Triển khai phương thức mã hóa mạnh để bảo vệ PIN, mật khẩu và các dữ liệu nhạy cảm khác.