1.4. Các chỉ tiêu về rủi ro và hạn chế rủi ro trong dịch vụ Internet
1.4.2.8. Rủi ro thanh khoản
Là rủi ro phát sinh khi ngân hàng khơng có khả năng để đáp ứng các nghĩa vụ nợ khi đến hạn thanh tốn. Rủi ro thanh khoản có thể là đáng kể đối với các ngân hàng phát triển mạnh hệ thống Internet Banking nếu họ không thể đảm bảo các quỹ của mình đủ để trang trải và giải quyết nhu cầu tại bất kỳ thời điểm nào Hơn nữa, việc này có thể ảnh hƣởng đến danh tiếng của ngân hàng.
1.4.2.9. Rủi ro thị trƣờng
Là rủi ro do thua lỗ các khoản mục trên bảng cân đối kế toán do sự thay đổi giá thị trƣờng, bao gồm cả tỷ giá hối đoái Các ngân hàng chấp nhận ngoại tệ trong thanh tốn trên Internet Banking có thể có loại rủi ro này.
1.4.3. Rủi ro đối với khách hàng 1.4.3.1. Rủi ro tài chính 1.4.3.1. Rủi ro tài chính
Rủi ro tài chính đƣợc định nghĩa là khả năng khách hàng bị mất tiền do lỗi khi khách hàng thực hiện các giao dịch của mình thơng qua hệ thống internet hoặc khách hàng bị lạm dụng tài khoản ngân hàng. Theo nghiên cứu của Kuisma et al (2007), nhiều khách hàng sợ mất tiền trong khi thực hiện giao dịch, chuyển tiền qua Internet do các giao dịch này thiếu sự đảm bảo, khơng thơng qua các thủ tục chính thức và khách hàng khơng nhận đƣợc biên lai Do đó, khách hàng thƣờng gặp khó khăn trong yêu cầu ngân hàng bồi thƣờng khi xảy ra lỗi giao dịch.
1.4.3.2. Rủi ro bảo mật
Cũng nhƣ ngân hàng, các khách hàng cũng bị các rủi ro bảo mật nhƣ bị các cuộc tấn công thông tin mạng và dữ liệu giao dịch hoặc kẻ gian truy cập trái phép vào tài khoản bằng việc xác thực bị sai hoặc bị lỗi. Hay bị lừa đảo, bị cài phần mềm theo dõi password Khách hàng cũng có thể bị lộ các thơng tin cá nhân quan trọng, các thông tin liên quan đến dịng tiền, thẻ tín dụng,… từ đó có thể gây tổn thất lớn cho khách hàng.
Một vài kinh nghiệm giúp khách hàng giao dịch Internet banking an toàn:
- Cảnh giác với bất kỳ e-mail nào yêu cầu bạn cung cấp thông tin cá nhân nhƣ mật khẩu của bạn, số hộ chiếu,…
- Cẩn thận với các đƣờng link đƣợc cung cấp, phải đảm bảo nó dẫn đến một trang web hợp lệ.
- Cẩn thận với địa chỉ ngƣời gửi e-mail để chắc chắn rằng nó là một tài khoản e-mail hợp lệ. Chỉ mở e-mail chỉ khi bạn biết ngƣời gửi, đặc biệt cẩn thận khi mở email với file đính kèm
- Nhanh chóng thơng báo cho các tổ chức tài chính nếu bạn nghi ngờ có bất cứ gian lận gì.
- Sử dụng một mật khẩu mạnh- nghĩa là một mật khẩu đủ phức tạp để các hacker khơng dễ dàng đốn ra
- Thay đổi mã PIN / mật khẩu thƣờng xuyên.
- Không truy cập các trang web đáng ngờ
- Nên cảnh giác với lừa đảo qua e-mail. Nó có thể xuất hiện từ một doanh nghiệp đáng tin cậy hoặc một ngƣời bạn, nhƣng thực sự nó lừa bạn tải về một virus hoặc truy cập vào một trang web lừa đảo và tiết lộ các thông tin nhạy cảm của bạn
- Hãy chắc chắn rằng máy tính của bạn có phần mềm chống virus mới nhất. Cài đặt một tƣờng lửa cá nhân để giúp ngăn chặn các truy cập trái phép vào máy tính của bạn.
1.5. Cơ sở hạ tầng cho phát triển dịch vụ Internet banking của các Ngân hàng thƣơng mại thƣơng mại
Một trong những yếu tố dẫn đến thành công của dịch vụ Internet banking là phải xây dựng một cơ sở hạ tầng hiện đại ở một mức nhất định Cơ sở này dựa trên tiến bộ của cơng nghệ máy tính, cơng nghệ thơng tin viễn thông.
1.5.1. Cơ sở hạ tầng viễn thông
Internet (Inter-network) là một mạng máy tính rất rộng lớn kết nối các mạng máy tính khác nhau nằm rải rộng khắp tồn cầu. Một mạng (network) là một nhóm
máy tính kết nối nhau, các mạng này lại liên kết với nhau bằng nhiều loại phƣơng tiện, tốc độ truyền tin khác nhau Nhƣ vậy, internet là mạng của các mạng máy tính. Các mạng liên kết với nhau dựa trên bộ giao thức nhƣ là ngôn ngữ giao tiếp) TCP/IP (Transmission Control Protocol – Internet Protocol): giao thức điều khiển truyền dẫn. Giao thức này cho phép mọi máy tính liên kết, giao tiếp với nhau theo một ngơn ngữ máy tính thống nhất.
Để sử dụng đƣợc email, truy cập trang web, máy tính của bạn phải đƣợc kết nối với máy chủ của dịch vụ Internet. Hiện có các hình thức kết nối thơng dụng sau:
- Kết nối dial-up: Còn gọi là kết nối quay số Đây là hình thức kết nối đầu tiên và thƣờng dùng cách đây 7 năm Tốc độ đƣờng truyền Internet của loại kết nối này rất thấp và phụ thuộc vào tốc độ giới hạn của modem, thƣờng chỉ từ 56 Kbps trở xuống Để sử dụng kết nối này, cần có một modem và đƣờng dây điện thoại Sau đó quay số kết nối của nhà cung cấp dịch vụ Internet mà không cần phải làm hợp đồng đăng ký sử dụng Khi đang kết nối, điện thoại bàn nhà xem nhƣ bận.
- Kết nối ADSL: Đây là hình thức kết nối Internet đƣờng truyền tốc độ cao, nhanh gấp nhiều lần so với kết nối dial-up, đƣợc sử dụng phổ biến. Mặc dù xài chung một đƣờng dây nhƣng điện thoại bàn vẫn không bị bận khi đang truy cập Internet Đặc biệt, có thể sử dụng cùng đƣờng truyền để chia sẻ kết nối Internet với các máy tính khác hoặc thiết lập kết nối mạng Wifi nhờ thiết bị thu phát Wifi.
- Kết nối không dây 3G: Kiểu kết nối có tốc độ tƣơng đối đƣợc phát triển bởi các nhà cung cấp dịch vụ điện thoại di động Viettel, Mobile đi kèm là thiết bị phát sóng 3G nhƣ: Dcom, HDSPA... Tuy nhiên nhƣợc điểm của loại hình này là chỉ kết nối đƣợc mạng khi ở đó có sóng của nhà cung cấp mạng.
- Kết nối cáp quang FTTH (Fiber To The Home): có thể hiểu là "Cáp quang đến tận nhà" Đây là dịch vụ truy cập Internet bằng cáp quang đ rất phổ biến ở các nƣớc khác đƣợc dùng thay cho các đƣờng truyền cáp đồng ADSL từ trƣớc đến nay Điểm khác biệt giữa truy cập FTTH và ADSL, là FTTH có
tốc độ nhanh hơn gấp nhiều lần (khoảng 66 lần DSL tiêu chuẩn, 100 Mbps so với 1,5 Mbps) , và có tốc độ tải lên và tải xuống nhƣ nhau, trong khi ADSL có tốc độ tải lên ln nhỏ hơn tốc độ tải xuống. FTTH nhanh hơn do sử dụng cơng nghệ truyền dẫn quang (fiber - sóng ánh sáng), không bị nhiễu đƣờng truyền nên tốc độ luôn ổn định và nhanh.
Các ứng dụng trên mạng Internet: Email, Audio/Video Conferencing: hội nghị từ xa, FTP (File Transfer Protocol): truyền gửi tập tin giữa các máy tính, World Wide Web, Telnet: đăng nhập và điều khiển một máy tính từ một máy khác.
World Wide Web hay Web là một dịch vụ tích hợp, sử dụng đơn giản và có hiệu quả nhất trên Internet Đó là một tệp văn bản có chứa ngơn ngữ lập trình siêu văn bản, cho phép nhúng các tài liệu, âm thanh, hình ảnh, văn bản… Thƣơng mại điện tử trong đó có dịch vụ Internet Banking là một ứng dụng của World Wide Web.
Để phát triển Thƣơng mại điện tử trong đó có Internet Banking cần phải có:
- Hạ tầng kỹ thuật Internet phải đủ nhanh, mạnh đảm bảo truyền tải các thơng tin.
- Chi phí kết nối Internet phải rẻ để đảm bảo số ngƣời dùng Internet lớn.
- Phải có cơ sở thanh tốn điện tử an tồn bảo mật, rộng khắp.
- Phải có hệ thống an toàn bảo mật cho các giao dịch, chống xâm nhập trái phép, chống virus, chống thối thác.
1.5.2. Cơ sở hạ tầng cơng nghệ
1.5.2.1. Công nghệ phần mềm lõi Core-banking
Công nghệ phần mềm lõi Core banking là điều kiện cần để thực hiện dịch vụ Internet banking.
Core banking là một là một hệ thống các phân hệ nghiệp vụ cơ bản của ngân hàng nhƣ tiền gửi, tiền vay, khách hàng…thơng qua đó ngân hàng phát triển thêm nhiều dịch vụ, sản phẩm và quản lý nội bộ chặt chẽ, hiệu quả hơn Về bản chất đây là hệ thống phần mềm tích hợp các ứng dụng tin học trong quản lý thông tin, tài sản, giao dịch, quản trị rủi ro… trong hệ thống ngân hàng. Về đặc điểm, core banking chính là hạt nhân tồn bộ hệ thống thơng tin của một hệ thống ngân hàng. Hệ thống
thông tin ở đây bao gồm thông tin về tiền, tài sản thế chấp, giao dịch, giấy tờ, sổ sách kế toán, dữ liệu máy tính và hệ thống thông tin. Tất cả các giao dịch đƣợc chuyển qua hệ thống core banking và trong một khoảng thời gian cực kì ngắn vẫn quy trì hoạt động đồng thời xử lý thông tin trong suốt thời gian hoạt động Cơ sở dữ liệu của ngân hàng đƣợc quản lý tập trung theo quan hệ và module: tiền gửi, thanh toán quốc tế, chuyển tiền, tài trợ thƣơng mại, cho vay, thẩm định, nguồn vốn,…Để nâng cấp hệ thống cơng nghệ thơng tin của ngân hàng có thể thay đổi module theo nghiệp vụ ngân hàng hoặc thay đổi theo giải pháp phần mềm. Hầu hết các hệ thống Core banking hiện đại đều hoạt động không ngừng 24x7 để cung cấp Internet
banking, những giao dịch toàn cầu … Lợi ích của ứng dụng core banking: tính bảo mật thơng tin cao hơn, hạch tốn
sổ sách chứng từ kế toán thuận tiện hơn, có thể thực hiện tới 1.000 giao dịch/giây, quản trị tới 50 triệu tài khoản khách hàng và hỗ trợ thực hiện giao dịch qua hệ thống 24h/ngày.
Ngồi ra, nhờ có core banking mà việc quản lý nội bộ chặt chẽ, hiệu quả hơn Trƣớc đây, khi các ngân hàng chƣa có core hiện đại hoặc dùng core lỗi thời, việc quản lý khách hàng rất rải rác và vô cùng bất tiện cho khách hàng. Tiền gửi ở đâu, phải đến đó, khơng thể rút ở điểm giao dịch khác, mặc dù các điểm này đều trong cùng hệ thống một ngân hàng. Thậm chí khách hàng muốn giao dịch ở bao nhiêu điểm thì phải mở bấy nhiêu tài khoản. Với sự ra đời của core banking hiện đại, khách hàng chỉ cần có một mã duy nhất ở ngân hàng là có thể giao dịch với rất nhiều sản phẩm, và ở bất cứ điểm giao dịch trong cùng hoặckhông trong cùng một hệ thống.
Tuy nhiên, yêu cầu của việc triển khai core banking cịn có khơng ít khó khăn Một core banking hiện đại phải đáp ứng việc quản lý chặt chẽ, đầy đủ, vận hành nhanh và đáp ứng tính “mở” khi Ngân hàng muốn triển khai thêm một số dịch vụ khác nữa Mobile Banking, Internet Banking, ATM … chính vì vậy ngồi việc địi hỏi một lƣợng vốn lớn để đầu tƣ triển khai Core Banking – thƣờng rất đắt đỏ, trung bình từ 1 triệu USD trở lên, thì cịn nhiều nhân tố khác trong việc triển khai hệ thống công nghệ thông tin hiện đại.
NGƢỜI DÙNG MÁY CHỦ WEB MÁY CHỦ ỨNG DỤNG HỆ THỐNG NGÂN HÀNG CỔNG THANH TOÁN Bảo mật (1) Bảo mật (2) Bảo mật (3) Bảo mật (5) Bảo mật (4) 1.5.2.2. Cơng nghệ bảo mật
Hình 1.2: Hệ thống bảo mật cơ bản của dịch vụ Internet Banking
Một đặc điểm rất quan trọng trong bất kỳ giải pháp Internet Banking nào là phải đảm bảo đƣợc tính bảo mật và an toàn trong giao dịch Điều này phụ thuộc vào nhiều yếu tố khác nhau và với sự tiến bộ của cơng nghệ, các ngân hàng có thể lựa chọn các giải pháp bảo mật khác nhau cho giải pháp Internet Banking của mình. Nhƣng phải đảm bảo 4 yếu tố bảo mật cần thiết cho hệ thống dịch vụ Internet Banking của mình là: xác thực, mã hóa, tồn vẹn và chống chối bỏ.
Hình 1.2 là hệ thống bảo mật cơ bản của dịch vụ Internet Banking, gồm nhiều thành phần bảo mật khác nhau nhƣ bảo mật hạ tầng mạng, bảo mật hệ thống, bảo mật dữ liệu, bảo mật cho ngƣời dùng.
Bƣớc 1: khi khách hàng đăng nhập vào dịch vụ Internet Banking, ngân hàng
sẽ cần bảo mật tránh bị đánh cắp thông tin và tránh xen ngang, bảo mật toàn vẹn dữ liệu, và chứng thực doanh nghiệp - tránh giả mạo website. Bằng cách sử dụng user name, password và giao thức HTTPS.
- User name và password đƣợc ngân hàng cung cấp khi khách hàng đăng ký dịch vụ Internet Banking và đƣợc lƣu trữ trên hệ thống cơ sở dữ liệu của ngân hàng, nếu khách hàng đăng nhập sai user name và password sẽ bị từ chối hoặc không thể truy cập Tuy nhiên phƣơng thức này không bảo mật lắm vì rất dể lộ các thông tin này, hơn nữa thông tin cặp username và password nhập vào đƣợc gửi đi xác thực trong tình trạng plain text (ký tự văn bản thuần), tức khơng đƣợc mã hóa và có thể bị chặn bắt trên đƣờng truyền, thậm chí ngay trong quá trình nhập vào; lộ password do đặt quá đơn giản (dạng „123456‟, „abc123‟ v v hoặc dễ đoán tên/ ngày sinh của ngƣời thân...) nên các ngân hàng phải sử dụng với giao thức HTTPS.
- HTTPS là HTTP ( Hypertext Transfer Protocol - Giao thức chuyển đổi ngôn ngữ siêu văn bản) sử dụng SSL. Nó là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet. Giao thức HTTPS thƣờng đƣợc dùng trong các giao dịch nhạy cảm cần tính bảo mật cao.
- SSL (Secure Sockets Layer), một tiêu chuẩn an ninh cơng nghệ tồn cầu tạo ra một liên kết đƣợc mã hóa giữa máy chủ web và trình duyệt. Liên kết này đảm bảo tất cả các dữ liệu trao đổi giữa máy chủ web và trình duyệt ln đƣợc bảo mật và an toàn.
- Khác với HTTP, HTTPS sẽ hỗ trợ việc xác thực tính chính danh của các Website mà khách hàng truy nhập thông qua việc kiểm tra xác thực bảo mật (security certificate). Các xác thực bảo mật này đƣợc cung cấp và xác minh bởi các CA (Certificate Authority) có uy tín. Với các xác thực từ CA, khách hàng có thể biết rằng mình đ truy nhập đúng vào Website cần truy nhập chứ không phải một Website giả danh bất kỳ nào khác. Bên cạnh đó, các phiên
kết nối giữa trình duyệt của khách hàng đến Server đều sẽ đƣợc mã hóa. Điều này sẽ giúp che giấu địa chỉ IP của khách hàng và những thông tin nhập liệu về tài khoản của bạn trên Website khỏi sự nhịm ngó của các hacker. HTTPS không đem đến sự an toàn 100%. Tuy vậy, đây là biện pháp bảo mật hữu hiệu thay vì việc sử dụng giao thức HTTP truyền thống vốn đầy rủi ro sẵn có.
- Ví dụ: khi chúng ta gửi 1 gói tin trong đó có kèm user và password. Khi dùng giao thức HTTP thì gói tin này sẽ từ souce đi thẳng vào internet đến server và đến đích Điều này tức, dữ liệu đƣợc gởi đi sẽ khơng đƣợc mã hóa, và nếu hacker bắt đƣợc gói tin mà ta gửi đi, họ sẽ dễ dàng lấy đƣợc thông tin bên trong.
Bƣớc 2, bƣớc 3, bƣớc 4: khi thông tin đƣợc gửi về máy chủ xử lý, cũng nhƣ
gửi từ ngân hàng tới các cổng thanh toán, ngân hàng cần bảo mật phòng chống xâm nhập hệ thống bằng các thiết bị bảo mật tƣờng lửa của các nhà cung cấp uy tín hiện nay nhƣ Cisco, WatchGuard, Exinda hay thiết bị bảo mật thƣ điện tử chuyên dụng của h ng O2Micro‟s SifoML
- Tƣờng lửa đƣợc xem nhƣ một bức rào chắn giữa máy tính (hoặc mạng cục bộ - local network) và một mạng khác nhƣ Internet , điều khiển lƣu lƣợng truy cập dữ liệu vào ra. Nếu khơng có tƣờng lửa, các luồng dữ liệu có thể ra vào mà khơng chịu bất kì sự cản trở nào. Cịn với tƣờng lửa đƣợc kích hoạt, việc dữ liệu có thể ra vào hay không sẽ do các thiết lập trên tƣờng lửa quy định.
- Một tƣờng lửa có thể lọc các lƣu lƣợng Internet nguy hiểm nhƣ hacker, các loại sâu, và một số loại virus trƣớc khi chúng có thể gây ra trục trặc trên hệ thống Ngồi ra, tƣơờng lửa có thể giúp cho máy tính của ngân hàng tránh tham gia các cuộc tấn công vào các máy tính khác mà bạn khơng hay biết