Hình 2.12 : Màn hình Trang chủ của giao dịch viên chi nhánh
3.2 Các giải pháp bảo mật và an tồn thơng tin trong triển khai dịch vụ
3.2.2 Giải pháp về công nghệ
3.2.2.1 Kiểm soát truy cập
Ngân hàng triển khai các biện pháp cần thiết để xác thực danh tính và cấp phép cho khách hàng thực hiện giao dịch qua mạng Internet. Cơ chế kiểm soát xác thực người sử dụng có nhiều bước trước khi cho phép truy cập vào hệ thống.
Trong các dịch vụ ngân hàng điện tử, việc liên hệ, xác nhận giao dịch hoặc yêu cầu truy cập cụ thể là hồn tồn chính đáng. Do đó, Vietinbank cần sử dụng các biện pháp đáng tin cậy để xác minh nhân thân để cấp phép cho khách hàng mới cũng như nhận dạng và cấp phép cho khách hàng cũ có nhu cầu thực hiện giao dịch điện tử. Xác thực khách hàng trong quá trình truy gốc tài khoản là vấn
đề quan trọng trong việc giảm rủi ro bị đánh cấp tên cùng mã truy cập, sử dụng
tài khoản gian lận và rửa tiền. Việc ngân hàng khơng có khả năng xác thực khách hàng một cách hiệu quả có thể dẫn tới trường hợp kẻ bất lương có thể xâm nhập hệ thống ngân hàng điện tử gây tổn thất về tài chính và uy tín do gian lận, rị rỉ thơng tin mật hoặc hành động phạm tội (bẻ khóa).
Do vậy, điều quan trọng là ngân hàng phải quy định các phương thức phù hợp đảm bảo xác thực đúng người để cho phép đăng nhập hệ thống thông qua
mã số nhận dạng cá nhân (mã PIN), mật khẩu, thẻ sinh mã dùng một lần RSA, áp dụng các phương pháp chứng thực sinh trắc học và kỹ thuật số như PalmSecure (thiết bị kiểm tra tĩnh mạch lòng bàn tay) cho khách hàng khi thực hiện giao dịch. Các phương pháp này có thể sử dụng một hoặc nhiều yếu tố, có nghĩa là sử dụng kết hợp cả hai công nghệ kỹ thuật số và sinh trắc học để chứng thực.
Phương pháp chứng thực sử dụng nhiều yếu tố nói chung có mức độ bảo mật cao hơn.
3.2.2.2 Xây dựng các hệ thống phòng chống và phát hiện xâm nhập
Các vấn đề phát sinh từ các sự kiện bất ngờ, bao gồm các cuộc tấn công từ bên trong và bên ngồi có thể ảnh hưởng đến hoạt động của hệ thống và dịch vụ ngân hàng điện tử. Ngân hàng phải xây dựng các hệ thống phòng chống và phát hiện xâm nhập nhằm đảm bảo việc duy trì hoạt động kinh doanh, kiểm sốt rủi ro, giữ uy tín và hạn chế thiệt hại liên quan đến việc gián đoạn cung ứng dịch vụ Vietinbank at Home. Do đó, ngân hàng áp dụng các kỹ thuật phù hợp nhằm loại trừ các mối đe dọa từ bên trong và bên ngoài đối với hệ thống ngân hàng điện tử như:
- Triển khai bức tường lửa (Firewall) ở vùng ngân hàng lõi (core banking), vùng ngân hàng điện tử và tại các chi nhánh, tạo ra các vùng biên giữa các khối để hạn chế và giám sát luồng thông tin giữa các đơn vị, ngăn chặn
các kết nối bất hợp pháp. Firewall được sử dụng và triển khai hiệu quả với các chính sách kết nối khắt khe nhằm đảm bảo an toàn hệ thống.
- Sử dụng các phần mềm quét virus tại tất cả các điểm quan trọng truy cập vào hệ thống (ví dụ: máy chủ truy cập từ xa, máy chủ proxy thư điện tử)
và trên từng hệ thống máy trạm đầu cuối (terminal).
- Sử dụng phần mềm phát hiện và chống đột nhập cùng các công cụ đánh
giá an ninh khác nhằm định kỳ thăm dò, kiểm tra mạng, máy chủ nhằm
phát hiện các nhược điểm hoặc lỗi về chính sách và kiểm sốt an ninh. - Kiểm tra sự xâm nhập hệ thống từ nội bộ và từ bên ngoài.
- Xây dựng một chuỗi mệnh lệnh rõ ràng, áp dụng cho cả hoạt động nội bộ
sự kiện quan trọng có thể xảy ra. Ngoài ra, cần xây dựng tuyến liên lạc nội bộ và với các cấp quản lý, bao gồm cả việc thông báo cho Hội đồng Quản trị trong trường hợp cần thiết.
3.2.2.3 Thực hiện cơ chế mã hố thơng tin, xây dựng cơ sở hạ tầng khóa cơng khai PKI
Trong cơ sở hạ tầng khóa cơng khai (PKI), mỗi bên sẽ có một cặp khóa cá nhân/cơng khai. Khóa cá nhân được giữ bí mật, chỉ dành cho một người sử dụng. Tất cả các bên đều sử dụng khóa cơng khai. Khóa cá nhân tạo ra chữ ký điện tử trên tài liệu và cặp khóa này được thiết kế để thơng điệp được mã khóa bằng
khóa cá nhân, chỉ có thể đọc được khi sử dụng khóa cịn lại.
Ngày nay, các ngân hàng đã bắt đầu sử dụng các kỹ thuật khác nhau nhằm thiết kế cơ chế khơng khước từ và đảm bảo tính chất bảo mật và toàn vẹn của các giao dịch ngân hàng điện tử như chứng nhận số sử dụng cơ sở hạ tầng khóa cơng khai (PKI). Một ngân hàng có thể phát hành một chứng nhận số cho một khách hàng hoặc một đối tác, để cho phép chỉ riêng họ mới có thể được nhận dạng/xác thực, và giảm rủi ro không khước từ trong thực hiện giao dịch. Mặc dù một số quốc gia có quy định quyền của khách hàng được từ chối giao dịch đã thực hiện, nhưng một số quốc gia khác lại qui định chữ ký điện tử có hiệu lực pháp lý. Khi cơng nghệ tiếp tục phát triển, các kỹ thuật như vậy ngày càng có xu hướng được chấp nhận rộng rãi.
Để giải quyết vấn đề này, ngân hàng cần triển khai phù hợp với tính chất và
loại hình giao dịch Vietinbank at Home đảm bảo rằng:
- Hệ thống ngân hàng điện tử được thiết kế nhằm giảm số lượng người sử
dụng được cấp phép giao dịch, nhưng khơng có ý định thực hiện, và khách hàng hiểu rõ các rủi ro liên quan đến bất kỳ giao dịch nào mà họ thực hiện.
- Tất cả các bên tham gia giao dịch đều được xác thực, được sử dụng và cần duy trì kiểm sốt đối với kênh giao tiếp đã được chứng thực.
- Dữ liệu giao dịch tài chính cần được bảo vệ chống lại mọi sự tùy tiện thay
đổi và cần phát hiện bất kỳ sự tùy tiện thay đổi nào xảy ra.
3.2.2.4 Xây dựng qui trình, kế hoạch dự phịng và phục hồi hệ thống đảm bảo tính liên tục của hệ thống và dịch vụ Vietinbank at Home. bảo tính liên tục của hệ thống và dịch vụ Vietinbank at Home.
Để bảo vệ ngân hàng trước các rủi ro tác nghiệp, rủi ro pháp lý và rủi ro
khác, dịch vụ ngân hàng điện tử cần được cung cấp trên cơ sở nhất quán, thông suốt và kịp thời theo kỳ vọng của khách hàng. Để thực hiện được điều này, ngân hàng cần có khả năng cung cấp dịch vụ ngân hàng điện tử cho người sử dụng từ nguồn sơ cấp (là các ứng dụng và hệ thống trong nội bộ ngân hàng) hoặc từ nguồn thứ cấp (là các ứng dụng và hệ thống của nhà cung cấp dịch vụ). Việc duy trì hoạt động liên tục cũng phụ thuộc vào hệ thống dự phịng nhằm tránh các
cuộc tấn cơng từ chối dịch vụ hoặc các sự kiện dẫn tới việc gián đoạn kinh doanh.
Việc duy trì hoạt động liên tục của hệ thống và ứng dụng ngân hàng điện tử
đóng vai trị quan trọng, to lớn trong trường hợp có nhu cầu giao dịch cao, như
vào lúc cao điểm. Ngoài ra, yêu cầu cung cấp dịch vụ liên tục (24giờ X 7ngày) cũng cho thấy sự cần thiết của một hệ thống dự phịng, để duy trì kinh doanh của ngân hàng.
Ngân hàng hiện đại phải duy trì hoạt động liên tục, đảm bảo chu chuyển
vốn không ngừng nghỉ. Chúng ta đã quen thuộc với các phương châm như “The city never sleeps” (Thành phố không bao giờ ngủ) hay “The sun never sets” (Mặt trời không bao giờ lặn). Chúng ta hiểu điều này đang và sẽ thành hiện thực chứ không chỉ là câu sáo rỗng đầy phô trương.
Tất nhiên ngân hàng phải xử lý hàng loạt các hệ lụy liên quan đến Luật lao
động như bố trí ca kíp, thiết kế hệ thống tự động (Auto banking) cũng là một
dạng của ngân hàng điện tử.
Để cung cấp các dịch vụ ngân hàng điện tử một cách liên tục theo đúng kỳ
vọng của khách hàng, Vietinbank cần đảm bảo:
- Phân tích năng lực hệ thống ngân hàng điện tử hiện tại và khả năng nâng cấp trong tương lai dựa trên sự phát triển tổng thể trên thị trường và tỷ lệ khách hàng tiềm năng chấp nhận sử dụng dịch vụ Vietinbank at Home. - Xây dựng khả năng xử lý giao dịch của Vietinbank at Home đặc biệt khả
năng chịu sức ép lúc cao điểm và cần kiểm tra đánh giá định kỳ khả năng này.
- Có phương án dự phịng, đưa ra một qui trình phục hồi hoặc thay thế khả năng xử lý của Vietinbank at Home, phục hồi thông tin hỗ trợ giao dịch và bao gồm các biện pháp cần áp dụng để khôi phục lại các hệ thống và ứng dụng quan trọng của Vietinbank at Home trong trường hợp gián đoạn kinh doanh và phải kiểm tra thử nghiệm thường xuyên.
3.2.2.5 Thường xun dị tìm, phát hiện lỗ hổng trong hệ thống, thiết lập hệ thống cung cấp bản vá lỗ hổng bảo mật
Các lỗ hổng bảo mật thường xuyên xuất hiện trong tất cả các khâu, từ q trình xử lý dữ liệu đầu vào, mơi trường hệ thống lỏng lẻo, cho đến các chính sách bảo mật của ngân hàng. Nhằm đảm bảo đối phó với các sự kiện bất thường xảy ra do các lỗ hổng bảo mật, Vietinbank cần:
- Xây dựng qui trình đánh giá bảo mật độc lập về an ninh mạng khi triển
khai hệ thống và áp dụng các tiêu chuẩn về an ninh mạng một cách đồng bộ.
- Theo dõi bộ phận hỗ trợ kỹ thuật và các hoạt động hỗ trợ khách hàng.
Việc đánh giá thường xuyên khiếu nại của khách hàng có thể giúp xác định các lỗ hổng trong hệ thống an ninh, từ đó sẽ có biện pháp khắc phục.
- Xây dựng một hệ thống Vietinbank at Home hồn chỉnh mơ phỏng giống với mơi trường thực tế để tiến hành các thử nghiệm bảo mật, phát hiện các lỗ hổng và khả năng khai thác các lỗ hổng đó của tin tặc (hacker).
Xin lưu ý là cuộc đối đầu giữa tin tặc và chuyên gia chịu trách nhiệm về an toàn hệ thống chưa đến hồi kết. Tin tặc có thể khơng có ý đồ xấu, chỉ cố sức bẻ khóa an tồn để tự khẳng định tài năng, sau đó kẻ khác lợi dụng lỗ hỏng vừa tạo ra để xâm nhập làm chuyện xấu, để lại hậu quả nặng nề.
3.2.3 Giải pháp về giáo dục và đào tạo
- Xây dựng và đào tạo đội ngũ cán bộ công nhân viên Vietinbank về nghiệp vụ ngân hàng và công nghệ thông tin. Bảo đảm cho nguồn nhân lực của hệ thống Vietinbank luôn được cập nhật kiến thức mới, tiếp cận tiến bộ khoa học kỹ thuật công nghệ mới, đặc biệt về cơng nghệ ngân hàng, góp phần
nâng cao sự an toàn của hệ thống, đem lại cho khách hàng nhiều dịch vụ mới với chất lượng, độ tin cậy ngày càng cao.
- Với nỗ lực chuẩn hoá hạ tầng, phân vùng và kiểm soát truy cập mạng, kiểm soát các cửa ngõ, các phân vùng quan trọng và thường xuyên giám sát, phản ứng kịp thời của cán bộ kỹ thuật, những nguy cơ xâm nhập
truyền thống đã được ngăn chặn và đẩy lùi, đảm bảo sự vận hành thông
suốt của tồn hệ thống. Tất nhiên, đó cịn là nhờ việc tăng cường giáo dục,
đào tạo, thường xuyên kiểm tra, nhắc nhở cán bộ nhân viên về sự cần thiết
phải bảo mật cũng như các biện pháp, quy định về bảo mật của ngân hàng. Các quy định, yêu cầu bảo mật đối với người sử dụng, các quy trình cho
đội ngũ cán bộ cơng nghệ thơng tin cũng được rà sốt/chỉnh sửa theo
hướng chuẩn hóa, nâng cao tính bảo mật.
- Xây dựng các quy trình bảo mật theo chuẩn ISO 9001:2008, đưa bảo mật an tồn thơng tin trở thành một phần hữu cơ trong mỗi quy trình dịch vụ. Khi mỗi nhân viên ngân hàng, dù ở bộ phận nào, làm trong khâu nào, cũng hiểu được tầm quan trọng của vấn đề bảo mật an tồn thơng tin cho khách hàng và những biện pháp mà họ cần thực hiện để đạt tới mục đích đó thì
chất lượng dịch vụ sẽ được nâng cao, giúp khách hàng hài lòng, yên tâm
hơn và đưa bảo mật trở thành một lợi thế cạnh tranh cho ngân hàng.
3.2.4 Giải pháp từ phía khách hàng
Vấn đề bảo mật an tồn thơng tin khơng chỉ được thực hiện từ phía ngân
hàng mà cịn phải được thực hiện từ phía khách hàng – những người trực tiếp sử dụng sản phẩm dịch vụ Vietinbank at Home. Tuy nhiên hiện nay, hầu hết cá nhân sử dụng sản phẩm Vietinbank at Home vẫn chưa nhận thức và ít quan tâm
đúng mức đến vấn đề này. Nhận thức phía người sử dụng rất quan trọng, góp
phần làm giảm đáng kể rủi ro trong giao dịch thông qua Internet.
- Vietinbank cần triển khai các bước phù hợp nhằm thông báo với khách hàng sử dụng dịch vụ Vietinbank at Home về sự riêng tư và bảo mật thông tin của khách hàng.
- Hướng dẫn khách hàng về sự cần thiết phải bảo vệ mật khẩu, mã số nhận dạng cá nhân (PIN) cùng các dữ liệu cá nhân hoặc dữ liệu ngân hàng. - Cung cấp cho khách hàng thông tin tổng quát về an ninh đối với máy tính
cá nhân, bao gồm các lợi ích khi sử dụng phầm mềm chống virus, kiểm sốt và truy cập máy tính và tường lửa cá nhân đối với các kết nối Internet tĩnh.
Về phía khách hàng, người dùng cần quan tâm tới an tồn máy tính cá nhân. Hầu hết máy tính cá nhân đều bị xâm nhập qua lỗ hổng bảo mật, nhất là máy tính chạy phần mềm Windows. Nếu một tin tặc (hacker) xâm nhập được máy tính của người dùng, là có thể kiểm sốt tồn bộ máy tính và truy cập tài khoản ngân hàng qua Internet. Để giảm thiểu rủi ro, các máy tính cá nhân chỉ nên cài đặt phần mềm chính hãng của các cơng ty có uy tín, một tường lửa tối thiểu, một phần mềm chặn virus và một mật khẩu đủ khó như mật khẩu dùng một lần cho những giao dịch liên quan đến chuyển tiền được cung cấp bởi một thiết bị riêng biệt (Token card). Thiết bị này giúp người dùng an toàn trong giao dịch trực tuyến, do vậy người dùng lưu ý bảo quản, nếu mất phải báo cho nhà cung cấp khóa tài khoản ngay lập tức.
Khi gặp các hiện tượng đáng ngờ như sự xuất hiện cửa sổ thông báo (pop- up) dai dẳng, máy tính kết nối chậm đáng kể, khởi động lặp đi lặp lại, chuột hay bàn phím bị treo và thơng điệp cảnh báo lạ, người dùng nên dừng tất cả mọi việc
KẾT LUẬN CHƯƠNG 3
Trong điều kiện hiện nay, để phát triển dịch vụ ngân hàng điện tử, hầu hết các ngân hàng đều phải thực hiện một số bước đi thích hợp theo các giải pháp cụ thể. Chương 3 đưa ra những giải pháp giảm thiểu rủi ro trong dịch vụ ngân hàng
điện tử, đặc biệt là vấn đề an tồn bảo mật thơng tin trong dịch vụ Vietinbank at
home của ngân hàng TMCP Công Thương Việt Nam. Các giải pháp này hỗ trợ cho hoạt động ngân hàng điện tử tương thích với mức độ nguy cơ rủi ro và
phương thức quản trị rủi ro phù hợp với Vietinbank, góp phần đảm bảo được tính an tồn, khả thi trong Vietinbank at home, đưa sản phẩm Vietinbank at home tiếp cận khách hàng một cách an tồn, nhanh chóng, chính xác và hiệu quả. Có thể nói, Vietinbank at home sẽ phát huy tối đa hiệu quả ứng dụng tại Vietinbank nếu như các giải pháp đề xuất trên đây được thực hiện đồng bộ trong quá trình triển khai và phát triển.
KẾT LUẬN
Công nghệ ngày càng phát triển cùng với sự cạnh tranh giữa các ngân hàng
đã tạo điều kiện cho khách hàng tiếp cận ngày càng nhiều sản phẩm dịch vụ ngân
hàng thông qua một kênh cung cấp dịch vụ điện tử gọi chung là dịch vụ ngân
hàng điện tử. Ngoài các lợi ích mang đến, sự phát triển nhanh chóng của loại
hình dịch vụ này cũng chứa nhiều rủi ro, nổi bật là vấn đề bảo mật an tồn thơng