Cấp quản lý cần có định hướng phát triển công nghệ thông tin cho ngành ngân hàng, trên cơ sở đó các ngân hàng xây dựng hệ thống công nghệ thông tin, phát triển các dịch vụ, tiện ích để cung cấp cho khách hàng của mình.
Ngân hàng Nhà nước nên xây dựng các chuẩn mực trong cung cấp Internet banking dựa trên các chuẩn mực quốc tế (chẳng hạn như các nguyên tắc BASEL về quản lý rủi ro trong hoạt động ngân hàng điện tử…) và khuyến khích các ngân hàng thương mại áp dụng chuẩn mực này. Tạo lập đề án thanh tra giám sát hoạt động Internet banking tại các ngân hàng dựa trên các chuẩn mực đã được xây dựng, tiến hành cấp chứng nhận cho những ngân hàng nào đáp ứng được các chuẩn mực. Biện pháp này sẽ giúp cho khách hàng đánh giá được mức độ an toàn trong hoạt động Internet banking của từng ngân hàng và củng cố lòng tin của họ khi sử dụng dịch vụ này.
3.1.4. Hiện đại hóa cơ sở hạ tầng cơng nghệ thơng tin
Cần có biện pháp đầu tư xây dựng hạ tầng truyền thông mạnh, nâng cao chất lượng dịch vụ Internet, tăng tốc độ đường truyền, tránh tình trạng nghẽn mạch, đảm bảo tính bảo mật đường truyền cao. Xây dựng hạ tầng cơ sở về thông tin: trung tâm chứng thực (CA), hạ tầng thanh toán điện tử, cổng thanh toán…, tạo điều kiện khuyến khích các nhà cung cấp giải pháp an ninh mạng phát triển. Việc đầu tư này đòi hỏi tiềm lực về tài chính và nguồn nhân lực chất lượng cao. Trong điều kiện nguồn lực tài chính của chính phủ cịn hạn chế như hiện nay, nhà nước nên xã hội
hóa việc đầu tư cho công nghệ thông tin và truyền thông, khuyến khích các tổ chức, cá nhân tham giao vào đầu tư cơ sở hạ tầng và cung cấp dịch vụ cho lĩnh vực này. Một khi có sự tham gia của yếu tố tư nhân, có sự cạnh tranh giữa các nhà đầu tư, các nhà cung cấp dịch vụ thì sẽ giúp hạn chế độc quyền viễn thông, hiện đại hóa hạ tầng hệ thống thơng tin và nâng cao chất lượng dịch vụ mạng cũng như các dịch vụ bảo mật.
Các cơ quan quản lý cũng cần phối hợp với các học viện, trường đại học, tổ chức tín dụng, viện nghiên cứu cơng nghệ trong đào tạo và nghiên cứu khoa học về an tồn thơng tin trong lĩnh vực tài chính ngân hàng để có được đội ngũ cán bộ được đào tạo bài bản và những nghiên cứu mang tính ứng dụng cao.
3.1.5. Tăng cường hợp tác quốc tế trên lĩnh vực an ninh mạng
Ngày nay quy mô cũng như khả năng lan rộng các nguy cơ mất an tồn thơng tin khơng chỉ gói gọn trong phạm vi một quốc gia. Tội phạm mạng có thể thực hiện hành vi phạm tội đối với ngân hàng ở các nước khác. Do đó cần có sự hợp tác quốc tế trên lĩnh vực anh ninh mạng, cụ thể là:
- Tổ chức hoặc tham gia các hội nghị về an ninh mạng trong khu vực và trên thế giới để tìm hiểu, cập nhật kiến thức về an ninh mạng cũng như đạt được một cái nhìn thống nhất với các quốc gia khác về lĩnh vực này.
- Phối hợp với cơ quan quản lý của các nước trong khu vực và trên thế giới để xây dựng khung chung đảm bảo an ninh mạng và bảo vệ hạ tầng thông tin trọng yếu.
- Hợp tác giữa các tổ chức xây dựng chuẩn quốc tế, các chính phủ liên quan tới an ninh mạng nhằm xây dựng văn hoá an ninh mạng, các tiêu chuẩn kỹ thuật, cảnh báo và phản ứng nhanh trước các sự kiện an ninh mạng
- Xây dựng chiến lược an ninh mạng quốc gia căn cứ trên khung pháp lý chung và các tiêu chuẩn chung đã được xây dựng
- Các cơ quan quản lý cần phối hợp chặt chẽ với các tổ chức bảo mật của các nước để có thể xử lý sớm và triệt để bọn tội phạm mạng, ngăn chặc mối đe doạ từ thư rác, phần mềm độc hại…
- Tăng cường các mối quan hệ hợp tác với các nước nhằm xây dựng mối quan hệ với các ngân hàng, các tổ chức quốc tế quản lý an ninh mạng, từ đó tận dụng sự hỗ trợ về vốn, cơng nghệ, trao đổi về lĩnh vực an tồn thơng tin, đào tạo kỹ thuật và phổ biến kiến thức cho các cán bộ liên quan của Ngân hàng nhà nước và các ngân hàng thương mại.
3.2. Giải Pháp Đối Với Các Ngân Hàng Thương Mại.
3.2.1. Giải pháp chung
3.2.1.1. Có chiến lược đầu tư hợp lý cho hạ tầng cơ sở và công nghệ bảo mật
để đảm bảo tính liên tục cho hệ thống, các ngân hàng thương mại phải không
ngừng đầu tư phát triển hạ tầng kĩ thuật mạng, xây dựng một kết cấu hạ tầng công nghệ thông tin hiện đại, nâng cấp mở rộng đường truyền với băng thông rộng, dung lượng lớn, tốc độ cao, hạn chế tối đa tình trạng nghẽn mạch làm ảnh hưởng đến chất lượng dịch vụ.
Các ngân hàng thương mại cũng cần có sự đầu tư hợp lý, nhằm đạt được một giải pháp tổng thể toàn diện, mang tính hệ thống cho việc cung cấp dịch vụ qua Internet banking, tránh tình trạng đầu tư vá víu, thiếu chỗ nào bổ sung chỗ đó. Trong đó, vấn đề bảo đảm an tồn thơng tin cũng như tính sẵn sàng liên tục của hệ thống phải được đặt lên hàng đầu vì các yếu tố này sẽ quy định sự sống còn cho Internet banking của ngân hàng.
Tùy vào cấp độ Internet banking mà ngân hàng cung cấp, các nguy cơ rủi ro giao dịch và tùy vào mức độ nhạy cảm của thông tin mà ngân hàng sẽ quyết định mức đầu tư cho Internet banking và cho công tác bảo mật. An ninh bảo mật trên mạng Internet và trong Internet banking là một vấn đề phức tạp. Đầu tư như thế nào, sử dụng công nghệ nào và lựa chọn nhà cung cấp giải pháp nào là vấn đề không phải ngân hàng nào cũng có đủ khả năng để giải quyết. Do đó, trước khi đầu tư cho hoạt động này các ngân hàng nên tham khảo ý kiến của các chuyên gia, các nhà tư vấn chuyên nghiệp để có được những quyết định đầu tư hợp lý và hiệu quả.
Ngồi ra, do mơi trường Internet là môi trường đầy biến động, tội phạm mạng ngày càng tinh vi, phức tạp và thay đổi, công nghệ bảo mật cũng phải không ngừng được đầu tư cải tiến và đổi mới cho phù hợp.
3.2.1.2. Nâng cao trình độ nguồn nhân lực
Các ngân hàng cần có chính sách thu hút, đào tạo và đãi ngộ hợp lý để có được một đội ngũ nhân viên có trình độ cao trong lĩnh vực anh ninh bảo mật và Internet banking. Đây sẽ là lực lượng nòng cốt của ngân hàng nhằm giúp phát triển dịch vụ này một cách an toàn và hiệu quả.
Ngoài ra, ngân hàng cũng cần tăng cường các khóa đào tạo về Internet banking và vấn đề bảo mật thơng tin cho tồn thể nhân viên, đặc biệt là nhân viên của các phịng, ban có liên quan, để đảm bảo cho các nhân viên này có những hiểu biết cần thiết và luôn được cập nhật, bổ sung kiến thức mới, theo kịp công nghệ hiện đại.
Để việc đào tạo và tái đào tạo được thực hiện liên tục, kịp thời và ít tốn kém, nhân viên có thể tham gia các khóa học tập trung được hướng dẫn bởi các chuyên gia hoặc qua hệ thống intranet, email của ngân hàng. Bên cạnh các khóa học tổ chức tại ngân hàng, các ngân hàng thương mại cũng cần tạo điều kiện để nhân viên có thể tham gia các khóa học do các đơn vị bên ngoài tổ chức để có thể học hỏi kinh nghiệm từ các tổ chức, các ngân hàng bạn. Nếu có điều kiện, các ngân hàng cũng nên tổ chức cử cho nhân viên đi thực tập, nghiên cứu tại các ngân hàng ngồi nước hoặc tham gia các khóa học dài hạn tại nước ngồi.
Các ngân hàng cũng có thể tranh thủ sự hỗ trợ kỹ thuật của các đối tác chiến lược để học hỏi kinh nghiệm cũng như mời các chuyên gia nước ngoài tư vấn trong việc đầu tư và sử dụng các cơng nghệ bảo mật, đảm bảo an tồn thơng tin.
Sau quá trình đào tạo và làm việc thực tế, các nhân viên của ngân hàng phải có những hiểu biết nhất định về các rủi ro giao dịch trong Internet banking và các biện pháp hạn chế. Các ngân hàng cần có biện pháp kiểm tra để đảm bảo yêu cầu này thông qua các kỳ thi sát hạch định kỳ, đặc biệt là đối với các cán bộ và nhân viên trong các phòng ban liên quan.
3.2.2. Giải pháp phòng ngừa rủi ro giao dịch.
3.2.2.1. Xây dựng hệ thống Internet banking hướng đến các mục tiêu cụ thể nhằm hạn chế rủi ro giao dịch. hạn chế rủi ro giao dịch.
Khi xây dựng hệ thống Internet banking, các ngân hàng cần đặt mối quan tâm hàng đầu vào các mục tiêu cụ thể là bảo đảm bí mật và tồn vẹn dữ liệu, hệ thống sẵn sàng liên tục, khả năng xác thực khách hàng và giao dịch, và bảo vệ khách hàng.
Bảo đảm bí mật dữ liệu: Bảo đảm bí mật dữ liệu nghĩa là bảo vệ các thông tin nhạy cảm không bị theo dõi và truy cập bất hợp pháp. Các ngân hàng nên đánh giá các yêu cầu an ninh đối với hệ thống Internet banking của ngân hàng và chọn áp dụng phương thức mã hóa phù hợp với yêu cầu bảo mật và toàn vẹn dữ liệu. Ngoài ra, ngân hàng chỉ nên lựa chọn các thuật mã hóa đáp ứng các tiêu chuẩn quốc tế và đã được cộng đồng mã hóa kiểm tra kĩ lưỡng; hoặc được các cơ quan có thẩm quyền, các nhà cung cấp giải pháp an ninh nổi tiếng hay các tổ chức chính phủ cơng nhận. Yếu tố quan trọng nhất của mã hóa dữ liệu là bảo vệ và giữ bí mật các khóa mã hóa được sử dụng, dù cho đó là khóa chính, khóa riêng hay khóa chung. Tất cả các khóa phải được tạo, lưu trữ, phân phối hoặc thay đổi dưới sự kiểm sốt nghiêm ngặt để khơng ai có thể biết được khóa hay các thành phần tạo nên khóa. Tần số thay đổi khóa cũng phụ thuộc vào mức độ nhạy cảm của thơng tin.
Tồn vẹn dữ liệu: Tồn vẹn dữ liệu là sự chính xác, đáng tin cậy và đầy đủ của các thông tin được xử lý, lưu trữ và truyền tải giữa ngân hàng với các khách hàng của mình. Hệ thống Internet banking cần đạt được sự toàn vẹn tương ứng với loại dịch vụ và mức độ phức tạp của dịch vụ cung cấp. Các ngân hàng nên lắp đặt các hệ thống giám sát để nhận được cảnh báo về các hoạt động khả nghi đe dọa tính tồn vẹn của dữ liệu hay về các giao dịch trực tuyến bất thường.
Sự sẵn sàng và liên tục của hệ thống: Các yếu tố quan trọng giúp duy trì sự sẵn sàng liên tục của hệ thống là: đủ công suất, hoạt động chắc chắn, phản hồi nhanh và khơi phục nhanh khi có sự cố. Các ngân hàng cần đảm bảo đủ nguồn lực và năng lực về phần cứng, phần mềm và các nguồn lực khác để có thể cung cấp một dịch vụ đáng tin cậy.
Xử lý giao dịch qua Internet cần đến nhiều kết cấu liên hệ thống và mạng phức tạp. Tồn bộ hệ thống có thể khơng hoạt động chỉ vì một kết cấu phần cứng hoặc một module phần mềm không hoạt động hay bị hỏng. Do đó, các ngân hàng
cần lưu trữ các kết cấu phần cứng hay phần mềm dự phòng của hệ thống mạng cần thiết để có thể khơi phục hệ thống nhanh chóng khi gặp sự cố.
Các ngân hàng cũng cần đưa ra những quy trình cũng như cơng cụ để theo dõi thường xuyên hoạt động của hệ thống, theo dõi quy trình xử lý của máy chủ, dung lượng truyền tải, thời gian giao dịch và công suất của hệ thống để đảm bảo dịch vụ Internet banking luôn sẵn sàng và liên tục.
Xác thực khách hàng và giao dịch: Để tránh các cuộc tấn công và gian lận trên mạng, các ngân hàng nên áp dụng phương pháp xác thực hai nhân tố khi truy cập và giao dịch cho tất cả các hình thức Internet banking. Xác thực hai nhân tố giúp chống lại các trò lừa đảo trực tuyến, phần mềm gián điệp, phần mềm độc hại, tấn công trung gian và các trò gian lận hay các xâm nhập bất hợp pháp trên Internet nhắm vào các ngân hàng và khách hàng, từ đó bảo mật dữ liệu tài khoản của khách hàng và các chi tiết giao dịch cũng như nâng cao sự tin tưởng vào Internet banking.
Các ngân hàng cũng cần yêu cầu khách hàng nhắc lại nhân tố xác thực thứ 2 (chẳng hạn mật mã sử dụng một lần - OTP) đối với những giao dịch giá trị cao hay khi có yêu cầu thay đổi những dữ liệu quan trọng (chẳng hạn địa chỉ văn phòng hay nhà của khách hàng, email, số điện thoại, và các thông tin liên lạc khác) trong một lần truy cập. Một quá trình xác thực cùng với giao thức mã hóa của nó phải nguyên vẹn trong suốt quá trình tương tác với khách hàng. Trong trường hợp có sự can thiệp, quá trình sẽ dừng lại. Cần thơng báo cho khách hàng các trường hợp có sự can thiệp như vậy khi giao dịch được nối lại hoặc bằng email, điện thoại hay các phương tiện khác. Có thể đáp ứng các yêu cầu về xác thực thông qua việc sử dụng các giao thức mã hóa mạnh như TripleDES, AES,RC4, IDEA, RSA, ECC, OATH và RFC 2104 HMAC.
Bảo vệ khách hàng: Các ngân hàng cần bảo đảm khách hàng được nhận dạng và xác thực trước khi được phép truy cập những thông tin nhạy cảm hay các chức năng ngân hàng trực tuyến. Ngân hàng cũng cần có các biện pháp để giảm thiểu nguy cơ bị tấn công qua trung gian (MIM).
Để bảo vệ khách hàng, các ngân hàng không nên cung cấp các phần mềm cho khách hàng thơng qua Internet trừ khi có đủ khả năng đảm bảo an ninh cho
khách hàng, có nghĩa là khách hàng phải kiểm tra được nguồn gốc và tính tồn vẹn của phần mềm được tải về và xác thực chữ ký số của ngân hàng đi kèm với phần mềm nhờ vào chứng nhận số do ngân hàng cung cấp. Ngược lại, ngân hàng cũng có thể kiểm tra tính xác thực và tồn vẹn của phần mềm mà khách hàng sử dụng.
3.2.2.2. Xây dựng các quy tắc và tập quán bảo mật cho ngân hàng
Các quy tắc và tập quán bảo mật có thể giúp giảm thiểu rủi ro do các nguy cơ đe dọa từ bên ngoài lẫn bên trong đối với hệ thống Internet banking. Khi những nguyên tắc và tập quán này được áp dụng và tuân thủ chặt chẽ sẽ giúp ngân hàng bảo vệ tính xác thực và bí mật dữ liệu.
Tập quán bảo mật thuờng là sự kết hợp giữa các công cụ phần cứng và phần mềm, các thủ tục hành chính và các chức năng quản lý nhân sự giúp xây dựng hệ thống và hoạt động an toàn. Những quy tắc, tập quán và thủ tục này được coi là chính sách và quy trình an ninh bảo mật của các ngân hàng.
An ninh mạng xét cho cùng phụ thuộc vào một nhóm nhỏ nhân viên có kĩ năng, những người này phải được kiểm tra kĩ lưỡng về nhiệm vụ và việc tiếp cận hệ thống của họ. Các ngân hàng cần phải đưa ra những tiêu chuẩn chọn lựa nghiêm ngặt và xem xét toàn diện khi chỉ định nhân sự vào các vị trí vận hành và bảo mật cho hệ thống Internet banking. Các nhân viên phụ trách việc triển khai, duy trì, và vận hành các trang web phải được huấn luyện đầy đủ về các nguyên tắc và tập quán bảo mật. Ba trong số các quy tắc căn bản nhất trong việc bảo vệ hệ thống là: khơng để một mình (những cơng việc và thủ tục quan trọng phải được thực hiện bởi ít nhất hai nguời hoặc là một người làm và một người kiểm tra); tách biệt nhiệm vụ (công việc và trách nhiệm phải đuợc tách biệt và được nhiều nhóm thực hiện); và kiểm soát