Trong môi trường mà lãi suất không phải là phương tiện có thể giúp các ngân hàng cạnh tranh với nhau khi mà trần lãi suất tiền gửi VN đồng là 14%/năm và USD là 2%/năm thì việc tranh với nhau khi mà trần lãi suất tiền gửi VN đồng là 14%/năm và USD là 2%/năm thì việc ngân hàng đó có đủ an toàn để khách hàng tin tưởng hay không chính là yếu tố quyết định. Khách hàng quan tâm trước hết đến hệ thống các tính năng và hệ thống bảo mật của ngân hàng đó. Thật không đơn giản khi phải đảm bảo sự cân đối thông minh những yêu cầu mâu thuẫn nhau này. Nhưng, việc có một tổ hợp tốt giữa tiện ích, tính năng và sự bảo vệ sẽ hỗ trợ đảm bảo ngân hàng có ưu thế nhất định trước các đối thủ và tìm tổ hợp đó là việc quan trọng sống còn cho một ngân hàng hiện đại đang phải chịu các sức ép cạnh tranh khốc liệt.
1.Thực trạng an ninh bảo mật trong hệ thống ngân hàng hiện nay.
Tính đến tháng 4 năm 2010, tại Việt Nam có 80% ngân hàng đã và đang triển khai hệ thống ngân hàng điện tử (eBank). Trong đó, 100% các hệ thống mà Bkis đã khảo sát, đánh giá tồn tại lỗ hổng an ninh mạng..Những con số đáng giật mình nêu trên được ông Nguyễn Minh Đức, Giám đốc Bộ phận An ninh mạng của Bkis (Bkis Security) công bố, 14/4/2010, tại Hà Nội.
Chia sẻ thêm về những mối đe doạ đối với giao dịch ngân hàng trực tuyến ở nước ta, ông Nguyễn Minh Đức còn cho biết: Từ năm 2008 – 2011, Bkav thống kê được ít nhất 22 ngân hàng bị sự cố về an ninh an toàn thông tin, trong đó có sự cố về Internet Banking, thanh toán ngân hàng trực tuyến. Có rất nhiều lỗ hổng tương đối đơn giản đã được cảnh báo cho ngân hàng nhưng sau một thời gian vẫn chưa được sửa chữa, lại tiếp tục bị hacker lợi dụng tấn công.
Ở Việt Nam nhiều năm gần đây đã xuất hiện những hiện tượng như : trộm cắp thông tin cá nhân để mua hàng trên mạng , dùng thẻ tín dụng giả để thanh toán khi giao dịch hay chỉnh sửa thông tin hệ thống tại ngân hàng … Đây là những mánh khóe kiếm tiền mới của nhóm tội phạm công nghệ cao . Một số ví dụ điển hình như vụ Nguyến Chí Toàn ( 27 tuổi, quận Bình Thạnh ) là kĩ sư cung cấp , lắp đặt , bảo trì hệ thống quản trị thẻ ATM, đã lợi dụng quyền hạn truy cập vào hệ thống , thay đổi cơ sở dữ liệu của ngân hàng MHB, sau 114 lần rút thẻ đã chiếm đoạt số tiền 329 triệu đồng …
Trong suốt những năm qua, giá trị giao dịch ngân hàng của người tiêu dùng ở Việt Nam tương đối nhỏ, và mới chỉ xảy ra một vài trường hợp mất mát số tiền không đáng kể nên giới tội phạm mạng chưa thực sự “để mắt”. Nhưng vài năm tới, Việt Nam ngày càng phát triển kinh tế, giao dịch trực tuyến ngân hàng với giá trị lớn, thậm chí hàng tỷ USD sẽ ngày càng nhiều. Khi đó, hacker sẽ không dửng dưng bỏ qua những “miếng mồi ngon” như vậy.
Thực tế trên thế giới, ngay cả những nước có công nghệ tiên tiến, hiện đại như Anh, Mỹ,.. cũng đã xảy ra những vụ “hô biến” tiền tỷ mà đặc biệt hacker là người Việt.
Điển hình là vụ: “7 viên kim cương”: Nhóm hacker gồm 7 người đã hack một lúc hàng ngàn tài khoản thẻ tín dụng ở nước ngoài, để rồi mua 7 viên kim cương về chia nhau.
Tiếp nữa là vụ các đối tượng đã xâm nhập vào hệ thống mạng của một ngân hàng tại Anh lấy cắp thông tin của 100.000 thẻ tín dụng trị giá 6 triệu bảng Anh. Và dấu vết để lại có liên quan đến hacker Việt.
Như vậy ta thấy, ngay cả với những nước có công nghệ bảo mật tiên tiến cũng không thoát khỏi sự tấn công của giới tội phạm mạng. Cho nên, Việt Nam sẽ là những miếng mồi lớn cho hacker.
2. Hệ thống bảo mật dữ liệu
a) Công nghệ bảo mật trong nội bộ ngân hàng
Ra đời cách đây khoảng 5 năm, tiêu chuẩn bảo mật PCI DSS (Payment Card Indutry Data Security Standard) được hình thành từ các tổ chức cung cấp thẻ tín dụng quốc tế hàng đầu trên thế giới như Visa, MasterCard, American Express (AMEX)( độc quyền phát hành và thanh toán
thẻ tín dụng quốc tế mang thương hiệu American Express tại thị trường Việt Nam là Vietcombank), JCB International và Discover. Đây là các thành viên của Hội đồng Tiêu chuẩn Bảo mật - PCI Security Standards Council, viết tắt là PCI SSC.
Tiêu chuẩn PCI DSS được phát triển nhằm hỗ trợ các tổ chức thanh toán thẻ bảo vệ dữ liệu của khách hàng, chống lại việc xâm nhập và sử dụng dữ liệu khi chưa được phép. PCI DSS sẽ giúp các doanh nghiệp hạn chế các lỗ hổng bảo mật và rủi ro bị đánh cắp thông tin; đồng thời tăng cường bảo vệ dữ liệu lưu trên thẻ. Tiêu chuẩn này được áp dụng cho tất cả các tổ chức có lưu trữ, xử lý hoặc truyền tải dữ liệu lưu trữ trên thẻ, các tổ chức này bắt buộc phải bảo vệ dữ liệu lưu trên thẻ khi họ thực hiện giao dịch.
Theo ông Euegene Chai, Giám đốc Phát triển Kinh doanh của Vectra Information Security, đơn vị tư vấn về PCI DSS: Tiêu chuẩn PCI DSS đề cập đến các nhóm vấn đề cùng 12 yêu cầu về bảo mật. Đó là các vấn đề như: Xây dựng và duy trì hệ thống bảo mật; Bảo vệ dữ liệu thẻ thanh toán; Theo dõi và đánh giá hệ thống… Các doanh nghiệp có thể mất khoảng 2-4 năm cho việc đánh giá hệ thống, xử lý các vấn đề bảo mật, triển khai tiêu chuẩn PCI DSS...
Ở Việt Nam, Techcombank, Vietcombank đã bắt đầu ứng dụng công nghệ cho phép khách hàng thanh toán qua điện thoại di động.
Trong sử dụng dịch vụ ngân hàng điện tử, điểm quan trọng nhất là đảm bảo tính an toàn bảo mật cho khách hàng. Điều này đã được giải quyết với các ngân hàng đưa vào ứng dụng công nghệ bảo mật tiên tiến OTP, đây là công nghệ tiêu chuẩn quốc tế với tính năng bảo mật kép và mật khẩu chỉ sử dụng một lần.
b ) Công nghệ bảo mật trong giao dịch.
(1) Thẻ chip (thẻ thông minh): là loại thẻ nhựa có gắn chip điện tử, có thể lưu trữ các thông tin quan trọng, được mã hóa với độ bảo mật cao trong thương mại điện tử và di động hơn rất nhiều các loại thẻ từ khác. Trong năm 2005, Ngân hàng Ngoại thương (Vietcombank) (đang chiếm 51% thị phần thẻ thanh toán nội địa Việt Nam) là ngân hàng đầu tiên tuyên bố sẽ thay thế dần công nghệ thẻ vạch từ sang công nghệ chip.
(2) Công nghệ xác thực bằng CHỮ KÝ ĐIỆN TỬ: là thuật ngữ chỉ mọi phương thức khác nhau để một cá nhân, đơn vị có thể "ký tên" vào một dữ liệu điện tử, thể hiện sự chấp thuận và xác nhận tính nguyên bản của nội dung dữ liệu đó.
• PIN (Personal Identification Number): là loại mã số nhận dạng cá nhân, được các ngân hàng thương mại ứng dụng nhiều nhất vào cổng rút tiền tự động ATM.
• Chữ ký số: Chữ ký số là công nghệ bảo mật dựa trên nền tảng hạ tầng mã hóa công khai (Public Key Infrastructure - PKI), chính thức đưa vào sử dụng năm 2008 và cung cấp các khả năng bảo mật như: xác thực, mã hóa, toàn vẹn dữ liệu, chống từ chối. Chữ ký số có giá trị pháp lý tương đương chữ ký tay trong các giao dịch điện tử, đóng vai trò quan trọng trong các trường hợp xảy ra tranh chấp. Hệ thống chữ ký số đã và được Ngân hàng Nhà nước Việt Nam cũng như các ngân hàng thương mại ứng dụng trong giao dịch điện tử, thanh toán điện tử ngân hàng; bù trừ điện tử; thông tin tín dụng; thông tin quản lý; thị trường mở, v.v… Ngoài ra, còn được ứng dụng trong các hoạt động liên ngân hàng (như chuyển khoản, thanh toán,…).
(1) Công nghệ xác thực bằng thẻ sinh mã dùng 1 lần RSA: sử dụng thẻ bảo mật sinh mã dùng một lần SecurId của công ty RSA - một công nghệ bảo mật tiên tiến và cực kỳ an toàn. Với mã số duy nhất cho mỗi thẻ và được thay đổi sau từng phút, người dùng có thể yên tâm trước mọi thủ đoạn ăn cắp mật khẩu của tội phạm.
(2) Công nghệ xác thực bằng vân tay: Theo đó, khách hàng đăng ký xác thực bằng dấu vân tay của mình khi đến giao dịch rút tiền trực tiếp tại quầy sẽ đưa
ngón tay vào đầu đọc vân tay để
(3) Hệ thống nhận dạng chủ tài khoản hoặc người được ủy quyền. Hệ thống sẽ cho kết quả chính xác trong vòng 2 giây, mẫu vân tay của khách hàng được lưu giữ dưới dạng số hóa và gắn với tất cả tài khoản của khách hàng. Hiện nay, Ngân hàng Thương mại Cổ phần Á Châu là ngân hàng đầu tiên ở Việt Nam sử dụng dịch vụ này kể từ ngày 14-2-2011.
(4) Công nghệ xác thực bằng tĩnh mạch lòng bàn tay (Palm Vein) Công nghệ nhận dạng tĩnh mạch lòng bàn tay PalmSecure của Fujitsu sử dụng một thiết bị nhỏ có khả năng quét và ghi lại mạch máu lòng bàn tay. Sau khi hình ảnh tĩnh mạch được ghi nhận và đăng ký, không ai khác ngoài chính bản thân khách hàng có thể truy nhập các thông tin của họ. Sơ đồ tĩnh mạch là duy nhất không có sự trùng lặp giống nhau kể cả giữa những cặp sinh đôi cùng trứng. Trên thực tế mỗi bàn tay có một sơ đồ tĩnh mạch duy nhất. Được đánh giá tốt nhất về độ chính xác, độ ổn định, tính tiện lợi, khả năng ứng dụng,... Từ cuối năm 2004, ngay sau khi Fujitsu nghiên cứu phát triển thành công sản phẩm PalmSecure, trên 40 ngân hàng lớn nhất của Nhật bản đã đưa vào ứng dụng cho các hệ thống ATM, User Access, Teller, Access Control,… có ngân hàng như Tokyo Mitsubishi Bank đã áp dụng công nghệ PalmSecure cho toàn bộ hệ thống ATM / Kiosk / Teller của họ từ năm 2004. IncomBank đã thử nghiệm áp dụng công nghệ này cho hệ thống kiosk điện tử của mình tại một số chi nhánh trong năm 2006 và trở thành ngân hàng đầu tiên tại Việt Nam sử dụng công nghệ này. Các khách hàng của hệ thống này có thể tự mình giao dịch trên màn hình cảm ứng một cách dễ dàng và bảo mật. Sau khi thử nghiệm thành công, IncomBank đã quyết định triển khai mở rộng hệ thống kiosk điện tử dùng công nghệ PalmSecure trong năm 2007.
Thành phần ít được bảo vệ nhất của ngân hàng là chỗ làm việc của người dùng - đại diện khách hàng - tổ chức bên ngoài ngân hàng. Nhân viên ngân hàng không biết vị trí làm việc này có được trang bị phần mềm diệt virus không, được cập nhật với tần suất nào, chính sách bảo mật ra sao, khách hàng có sử dụng phần mềm bản quyền không, có thể tin tưởng vào sự an toàn trong công việc của họ không… Thông thường, các ngân hàng đòi hỏi ngặt nghèo với khách hàng về trang bị bảo mật chỗ làm việc vẫn dùng giao dịch với các hệ thống ngân hàng cũng như phải thực hiện hàng loạt biện pháp kiểm tra hệ điều hành về trạng thái cập nhật các bản vá lỗi… Nhưng, để làm những việc này, phải xây dựng hệ thống an ninh thông tin. đòi hỏi trình độ nhất định ở nhóm nhân viên công nghệ thông tin phục vụ khách hàng… Tiếc là không phải tổ chức nào cũng có được những chuyên gia như thế.
Tính bức xúc của nhiệm vụ giảm thiểu rủi ro cho khách hàng tăng cao đặc biệt vì nhiều khách hàng không thực hiện các đòi hỏi của ngân hàng về bảo mật vị trí làm việc dùng để kết nối ngân hàng từ xa; khi có sự cố thì họ muốn quy các thiệt hại lên ngân hàng. Dĩ nhiên, yếu tố này từ quan điểm kinh doanh được đánh giá như 1 nguy cơ tiềm năng nên ngân hàng phải nhận được từ khách hàng cam kết thực hiện mọi đòi hỏi bảo mật khi làm việc từ xa với tài khoản của mình. Việt Nam còn "có một rủi ro tiềm ẩn" là chưa có một hành lang pháp lý buộc các ngân hàng phải tuân thủ khi cung cấp dịch vụ Internet Banking cho khách hàng. Chúng ta chưa có quy định cụ thể về việc cung cấp dịch vụ Internet Banking, do đó có thể dẫn đến việc một số ngân hàng không quan tâm đầu tư cho bảo mật, gây ra các rủi ro lớn cho khách hàng