5. Kết cấu của đề tài
3.1 Giải pháp đối với ACB
3.1.2.6 An toàn tronggiao dịch Online
Internet Banking là dịch vụ ngân hàng điện tử dùng để truy vấn thông tin tài khoản và thực hiện các giao dịch chuyển khoản, thanh toán qua mạng Internet. Internet Banking cho phép khách hàng thực hiện giao dịch trực tuyến mà không cần đến Ngân hàng. Chỉ cần một chiếc máy vi tính hoặc điện thoại di động có kết nối Internet và mã truy cập do Ngân hàng cung cấp, khách hàng đã có thể thực hiện các giao dịch với Ngân hàng mọi lúc mọi nơi một cách an toàn. Đây được coi là một bước đột phá trong hoạt động của ngành ngân hàng.
Đối với ACB, dịch vụ ngân hàng điện từ đã ra đời từ năm 2010, nhưng tiện ích TTQT Online mới được đưa vào ứng dụng từ giữa năm 2012. Đây là một lợi thế cạnh tranh đáng kể cho ACB vì hầu như các Ngân hàng thương mại trong nước chưa cung cấp được dịch vụ này cho khách hàng. Dựa trên cơ sở dữ liệu TTQT tập trung và dựa trên chương trình Workflow ln chuyển cơng việc giữa trung tâm và kênh phân phối thì TTTT có thể nhận yêu cầu từ khách hàng thông qua internet banking, xử lý và phản hồi kết quả cho kênh phân phối. Thực hiện quy trình này không những tạo điều kiện thuận lợi cho khách hàng không cần tới ngân hàng mà cịn giảm bớt cơng việc không cần thiết cho kênh phân phối. Song song với những tiện ích đó, vấn đề bảo mật nhằm tăng tính an tồn trong giao dịch cho khách hàng cần được ACB quan tâm nhiều hơn.
Một số các giải pháp cụ thể cho việc tăng cường an ninh trong giao dịch trực tuyến :
An ninh đăng nhập: Tất cả thông tin khách hàng được chuyển tải từ tài khoản
ngân hàng trực tuyến, khi kết nối với Internet và máy tính cá nhân cần được mã hóa mạnh bằng cơng nghệ mã hóa 128 bit. Đây là mức mã hóa cao nhất nhằm bảo mật thông tin trực tuyến của khách hàng
Nhập bằng bàn phím ảo khi đăng nhập : Bàn phím ảo được hiển thị trên màn
hình máy tính của khách hàng với bảng chữ cái được sắp xếp ngẫu nhiên. Vị trí các ký tự trên bàn phím ảo ln thay đổi mỗi lần sử dụng, vì vậy sẽ bảo vệ khách hàng khỏi phần mềm gián điệp và chương trình Trojan
Dùng biểu tượng Pad Lock và chứng chỉ số VeriSign: Các chứng chỉ số sẽ giúp khách hàng xác định các trang web trái phép. Chúng cung cấp cho khách hàng bằng chứng về tính xác thực khi phiên giao dịch được mã hóa. Điều này được thực hiện bởi tổ chức cấp chứng chỉ số VeriSign. Đối với trang web được cấp chứng chỉ số, khách hàng sẽ thấy một biểu tượng “ổ khóa đóng” ở dưới cùng của màn hình Internet Banking. Khi nhấp chuột vào ổ khóa, khách hàng sẽ thấy chứng nhận VeriSign xác thực cho trang web
Giao thức bảo mật SSL : EVSSL là giao thức bảo mật trực tuyến để đảm bảo
khách hàng ln an tâm. Đây là tính năng bảo mật trực tuyến, thanh địa chỉ sẽ thay đổi sang màu xanh, đây là dấu hiệu cho biết khách hàng đang truy cập đúng trang web của ACB. Tính năng này được hỗ trợ bởi các trình duyệt web phiên bản mới nhất
Nhiều bức tường lửa : cần thiết phải trang bị nhiều bức tường lửa để ngăn
chặn việc truy cập trái phép vào hệ thống mạng trực tuyến của ngân hàng. ACB cần phải thường xuyên giám sát những bức tường lửa và liên tục cập nhật để ngăn chặn việc xâm nhập trái phép
Ngồi ra cịn một số giải pháp được Trung tâm an ninh mạng BKIS hướng dẫn cho các ngân hàng dựa trên 7 lỗ hổng trong giao dịch trực tuyến thường gặp:
Bảng 3.1 Mô tả bảy lổ hổng trong giao dịch trực tuyến và cách khắc phục
Nguy cơ/lỗ hổng
Rủi ro Biện pháp khắc phục
Xử lý dữ liệu đầu vào
- Khách hàng có thể bị lấy cắp thông tin. Hacker lấy được tên, mật khẩu của khách hàng chỉ bằng một số chuỗi thao tác đơn giản. Lỗi này thường xảy ra ở những module tự phát triển của ngân hàng
- Hacker có thể thực thi được một đoạn mã độc trên máy tính của người dùng từ việc
- Kiểm soát tốt dữ liệu đầu vào
lợi dụng tính năng chuyển tiền qua website - Hacker có thể tấn cơng trực tiếp vào hệ thống hosting nhờ lơi dụng tính năng “góp ý – khiếu nại” trên website
- Kiểm tra kỹ phần mở rộng file của khách hàng đính kèm
- Phân quyền chặt chẽ trên hosting
Xử lý logic - Dữ liệu trong hệ thống có thể bị lấy cắp khi hacker lợi dụng quá trình xác nhận
thông tin - Kiểm tra session và tài
khoản tương ứng - Hacker lừa người sử dụng để chuyển tiền
cho chúng bằng cách click vào link có chứa đoạn mã thực hiện lệnh chuyển tiền Mơi trường
và hệ điều hành
- Do không đồng bộ các tiến trình nên có thể những chức năng thừa vẫn được kích hoạt và hacker lợi dụng điều này
- Nắm bắt tình hình an ninh mạng thường xuyên - Kiểm tra thường xuyên và liệt kê về an ninh thông tin, loại bỏ các chức năng không cần thiết
Quy trình vận hành
- Lộ số tài khoản, lộ thơng tin cá nhân, vơ hiệu hóa tài khoản
- Thực thi tiêu chuẩn ATTT ISO 27001