2.4.1. Tình hình bảo đảm an ninh mạng ở Việt Nam
Mơi trường Internet tại Việt Nam hiện có nhiều yếu tố gây mất an tồn như khơng có cơ chế định danh người dùng, khó kiểm sốt các giao tiếp và thiếu sự phối hợp, giám sát giữa các tổ chức quản lý Internet. Điều này dẫn tới sự bùng nổ của các hành vi: viết và phát tán virus máy tính, tấn cơng website, lấy cắp tài khoản …,
mang lại nhiều nguy cơ rủi ro giao dịch cho Internet banking.
Trong thời gian qua, vấn đề an ninh mạng đang ngày càng được quan tâm, thu hút sự chú ý của các tổ chức, cá nhân trong nước. Nhiều hoạt động diễn ra nhằm nâng cao nhận thức của các ngân hàng, các doanh nghiệp, các cơ quan quản lý như: diễn liên quan đến vấn đề an ninh và bảo mật mạng thông tin ngân hàng... Tại các diễn đàn này, có sự tham gia của những tên tuổi hàng đầu về an ninh mạng trên thế giới như Sophos, Juniper Networks, Nortel, Microsoft, Cisco System, Sun Microsystem, IBM, Net App…, nhiều giải pháp an ninh cho hệ thống thông tin của ngân hàng thương mại và cho Internet banking được giới thiệu. Thị trường sản phẩm dịch vụ bảo mật sôi động với sự tham gia của nhiều nhà cung cấp trong và ngồi nước. Dự đốn trong giai đoạn 2007-2011, thị trường an ninh bảo mật Việt Nam sẽ có tốc độ tăng trưởng bình qn hàng năm là 32% và mức chi tiêu cho anh ninh bảo mật của Việt Nam năm 2011 sẽ là 27 triệu USD.
Nhờ những nỗ lực tuyên truyền về nguy cơ rủi ro an ninh mạng và về yêu cầu bảo mật trên môi trường mạng, thời gian qua ý thức bảo vệ an tồn thơng tin của các
tổ chức và cá nhân trong nước được nâng lên rõ rệt. Tuy nhiên, nhìn chung các ngân hàng thương mại cũng như các doanh nghiệp, tổ chức khác trong nước vẫn chưa nhận thức đầy đủ về an ninh mạng do đây là một vấn đề tương đối mới. Hơn nữa, việc đầu tư thời gian và cơng sức vào bảo mật có thể làm chậm tiến độ triển khai dự án, chi phí cho lĩnh vực này lại khá cao và hiệu quả khó kiểm chứng. Các lổ hổng bảo mật trên các trang web Internet banking, cũng như các trang web cung cấp dịch vụ khác tại Việt Nam phần lớn là do các công ty viết phần mềm chưa quan tâm đến an toàn hệ thống và đầu tư cho an ninh mạng chưa đủ ngưỡng. Người quản trị mạng chưa làm tốt cơng việc của mình: đặt mật khẩu yếu, mở nhiều dịch vụ không cần thiết, đầu tư cho bảo mật dưới mức đảm bảo an toàn cho hệ thống thông tin.
Tuy đã được các chuyên gia máy tính liên tục cảnh báo nhưng nhận thức về nguy cơ, tính rủi ro và hậu quả của tình trạng mất an ninh mạng vẫn chưa được quan tâm tìm hiểu đúng mức. Tình trạng lơ là, mất cảnh giác đối với nguy cơ virus tấn công các trang web xảy ra khá phổ biến trong giới quản trị website. Rất nhiều website tồn tại các lỗ hổng có thể trở thành mục tiêu cho tin tặc, không loại trừ những website cung cấp Internet banking. Theo thống kê của Trung tâm An ninh mạng Đại học bách khoa Hà Nội (BKIS) thì có khoảng 400 website ln đặt trong tình trạng nguy hiểm, trong đó có website của các cơ quan nhà nước, các cơng ty và ngân hàng. Trung bình mỗi tháng, trung tâm BKIS phát hiện trên dưới hai chục trang web bị hacker tấn cơng, trong đó có cả trang web của những cơng ty, ngân hàng lớn. Bên cạnh đó, do nhận thức chưa đầy đủ, nhiều khách hàng khi sử dụng Internet đã không thực hiện đúng các quy định về bảo đảm an ninh. Ví dụ rõ nhất là có nhiều người đăng kí sử dụng dịch vụ qua Internet mà vẫn giữ nguyên mật khẩu do nhà cung cấp dịch vụ khởi tạo và được công bố công khai mà không cần thay đổi. Cơng nghệ bảo mật có tiến bộ, bảo vệ nhiều tầng nhiều lớp nhưng ý thức người dùng khơng nghiêm túc thì an ninh mạng ln bị đe dọa.
Việt Nam đã hình thành nhiều trung tâm nghiên cứu, nhiều cơ quan cảnh báo như Trung tâm ứng cứu máy tính khẩn cấp VNCERT của Bộ Bưu chính viễn thơng, nơi tiếp nhận thường xuyên những vụ tấn cơng, những sự cố liên quan đến máy tính. Năm 2002, trường Đại học Bách khoa thành lập Trung tâm an ninh mạng. Một trong
những hoạt động của trung tâm là nghiên cứu công nghệ để hỗ trợ cho các cơ quan chức năng trong phòng chống tội phạm công nghệ cao trên mạng. Năm 2005, Bộ Cơng an có ý tưởng thành lập Phịng chống tội phạm cơng nghệ cao, thuộc Cục C15. Hai bên phối hợp điều tra và đã xử lý nhiều vụ việc trên mạng. Đến thời điểm này, hồn tồn C15 có thể chủ động trong phịng chống tội phạm cơng nghệ cao. Trong thời gian qua, phối hợp của ngành công an và các ngân hàng bước đầu là khá tốt, ngăn chặn được nhiều vụ tấn công hệ thống mạng của ngân hàng, nhưng với địi hỏi của tình hình mới, sự phối hợp đó vẫn chưa đúng tầm, số vụ được phát hiện còn thấp so với tiềm ẩn, nhiều trường hợp ngân hàng khơng muốn tiết lộ thơng tin vì ngại ảnh hưởng đến uy tín của mình.
2.4.2. Tình hình bảo đảm an ninh mạng tại các ngân hàng thương mại
Để tăng cường khả năng bảo đảm an tồn thơng tin nhằm phát triển Internet banking, các ngân hàng thương mại Việt Nam đang có xu hướng gia tăng đầu tư cho lĩnh vực bảo mật. Một số ngân hàng đã áp dụng nhiều giải pháp công nghệ bảo mật tiên tiến cho dịch vụ này, đi đầu là các ngân hàng Đông á, VIB, Tiên Phong, Techcombank…. Chữ ký điện tử ngày càng được sử dụng nhiều hơn do đáp ứng được 4 vấn đề quan trọng trong các giao dịch điện tử là xác thực người dùng, bảo mật thơng tin giao dịch, tồn vẹn dữ liệu và chống chối bỏ.
Theo một số chuyên gia công nghệ thông tin hàng đầu của Việt Nam, tuy nhận thức và mức đầu tư của các ngân hàng thương mại trong nước về an ninh mạng và bảo mật dữ liệu tăng nhưng vẫn chưa đủ vì cịn thiếu giải pháp tổng thể và ít sử dụng tư vấn chuyên nghiệp. Họ thường tiếp cận ngược, chọn hãng nào đó để bảo vệ cho một cái gì cụ thể mà khơng tính đến tổng thể trước, thiếu thiết kế và sự chuẩn bị. Nhiều ngân hàng đầu tư cho an ninh bảo mật theo kiểu vá víu nên khơng thể lường trước mọi nguy cơ và kịp thời đối phó với các trường hợp xâm nhập hệ thống.
2.4.3. Một số sản phẩm bảo mật trên thị trường Việt Nam
Hệ thống quản lý chứng chỉ số VASC CA(Certificate authority): VASC CA là sản phẩm do công ty VASC phát triển để cung cấp chữ ký điện tử và chứng nhận điện tử làm cơ sở pháp lý cho giao dịch Internet banking, tạo niềm tin cho khách hàng cũng như các nhà cung cấp dịch vụ. Chứng chỉ số là một chứng nhận xác minh
nguồn gốc thơng tin người gởi và tính tồn vẹn của các thông tin được gởi qua mạng. Khi một người dùng yêu cầu được cấp chứng chỉ số từ VASC CA, công nghệ cho phép người dùng tự tạo ra một cặp khóa (Private key và Public key), sau đó tạo một u cầu (Request) chứa thơng tin người dùng (tên, quốc tịch, tổ chức, địa chỉ, chứng minh nhân dân…) gửi đến VASC. Sau khi kiểm tra tính xác thực, VASC sẽ cấp một chứng chỉ (Certificate) chứng thực người dùng trên mạng Internet. VASC cung cấp các loại chứng chỉ số sau:
_ Chứng chỉ số cho cá nhân: người sử dụng có thể sử dụng chứng chỉ này cho các giao dịch bảo mật và an toàn trên mạng như: trao đổi email, giao dịch thương mại điện tử, truy cập tài nguyên hệ thống.
_ Chứng chỉ số cho Server: một server khi được cấp chứng chỉ số sẽ được xác thực chính server đó với người truy cập và ngược lại. Nhà cung cấp chứng chỉ số sẽ chứng nhận tính xác thực của server nhằm đề phịng giả mạo với mục đích đánh cắp thơng tin cá nhân.
_ Chứng chỉ số cho phát triển phần mềm: một phần mềm, một hệ thống hoặc các chương trình (applet) nhúng vào các trang web được chứng thực sẽ xác nhận cho người dùng về tính an tồn trong q trình cài đặt và sử dụng nhằm tránh các phần mềm độc hại.
TrustVn: Để tạo môi trường thuận lợi cho hoạt động kinh doanh và thanh toán trực tuyến, trung tâm phát triển thương mại điện tử (EcomViet) thuộc bộ Công Thương cùng hiệp hội thương mại điện tử Việt Nam (Vecom) đã triển khai chương trình TrustVn biểu trưng cho các website uy tín của Việt Nam. TrustVn có nhiệm vụ thẩm định độ tin cậy của các website, đặc biệt là các website có thu thập thơng tin cá nhân và tiến hành kinh doanh trực tuyến. TrustVn giúp các chủ website xây dựng sự tin tưởng với khách hàng. Với những website có biểu tượng TrustVn, người dùng có thể yên tâm cung cấp thông tin cá nhân của họ. TrustVn cũng định hướng cho chủ website những tiêu chuẩn cần thiết phải có liên quan tới chính sách bảo vệ dữ liệu cá nhân và bảo vệ người dùng. Để có nhãn hiệu TrustVn trên website của mình, chủ website cần tuân thủ theo quy trình của TrustVn tại www.trustvn.org.vn và trải qua các bước
thẩm định, đánh giá khắt khe. TrustVn có hai nguyên tắc thẩm định quan trọng. Thứ nhất, website phải trải qua việc đánh giá về chính sách bảo vệ dữ liệu cá nhân dựa trên những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân trong thương mại điện tử của APEC (APEC Privacy Framework). Thứ hai, nếu website có chức năng bán hàng trực tuyến, việc đánh giá sẽ được tiến hành tiếp trên cơ sở quy định về cung cấp điều khoản của hợp đồng và giao kết hợp đồng trên website thương mại điện tử. Đây là những tiêu chí quan trọng để đánh giá một website uy tín. Khơng chỉ dừng lại ở việc đánh giá lần đầu, TrustVn còn thường xuyên giám sát để bảo đảm sự tuân thủ lâu dài của các website. Việc gắn nhãn website uy tín cũng cần có sự hợp tác quốc tế để cơng nhận lẫn nhau giữa các nhãn tín nhiệm của mỗi quốc gia và cơ chế giải quyết tranh chấp. Chính vì vậy, EcomViet đã chính thức được kết nạp làm thành viên của "Liên minh các tổ chức gắn nhãn tín nhiệm website khu vực châu á - Thái Bình Dương" (ATA - Asia Pacific Trustmark Alliance) - nơi quy tụ những tổ chức uy tín nhất về gắn nhãn tín nhiệm. Với việc tham gia liên minh này, TrustVn sẽ là nhãn hiệu được các tổ chức tương tự trong khu vực cơng nhận mức độ uy tín, từ đó đem lại lợi ích thiết thực cho người dùng và chủ website của Việt Nam. Bên cạnh đó, ATA cũng sẽ sớm hợp tác để có thể xây dựng được những cơ chế giải quyết khi giữa các bên tham gia giao dịch nảy sinh tranh chấp.