1 .6Các phươ ng án ki ểm soát ủi ro
2.8 Kinh nghiệm quốc tế và bài học cho Việt Nam về bảo mật an tồn thơng tin
thơng tin
Khi thông tin dữ liệu ngày càng được coi là tài sản quý giá của doanh nghiệp và vấn đề bảo mật an tồn thơng tin là vấn đề sống cịn thì việc thơng tin bị đánh cắp sẽ để lại hậu quả nghiêm trọng. Từ câu chuyện rị rỉ điện tín ngoại
giao của Mỹ - sự kiện WikiLeaks đã chấn động cả ngành công nghệ thơng tin thế giới và gióng lên bài học về bảo vệ thông tin mật và thông tin nhạy cảm trong doanh nghiệp.
Bản thân sự tồn tại của WikiLeaks từ năm 2006 đã gây ra nhiều tranh cãi. Công ty truyền thông phi lợi nhuận này thường công bố các thông tin mật rị rỉ trên tồn thế giới và lấy đó làm tiêu chí hoạt động. WikiLeaks đã nhận được khơng ít những lời tán dương nhưng nó cũng bị nhiều tổ chức nhân quyền và chính phủ ghét bỏ. Nhưng vụ rị rỉ hàng trăm nghìn tệp hồ sơ mật của Mỹ thơng qua WikiLeaks đã, đang và luôn là bài học bảo mật thông tin cho tất cả mọi người, đặc biệt là các doanh nghiệp. Tháng 4/2010, WikiLeaks công bố đoạn video tuyệt mật của giới quân đội Mỹ quay cảnh một máy bay trực thăng Mỹ bắn chết 12 người tại Baghdad năm 2007, trong đó có 2 người của hãng thơng tấn Reuters. Đoạn video này đã dẫn tới việc bắt giữ chun gia phân tích tình báo PFC Bradley Manning của quân đội Mỹ, người được cho là đã cung cấp đoạn video gây sốc cùng với nhiều tài liệu mật khác. Manning cũng chính là người chuyển 260.000 tài liệu ngoại giao mật của Mỹ cho WikiLeaks. Người ta cho rằng Manning đã dùng quyền của mình để truy cập vào hai mạng lưới mật của chính phủ để lấy thơng tin rồi ghi vào đĩa CD.
Vấn đề ở đây là Manning đã lấy được một khối lượng thông tin khổng lồ mà không bị phát hiện mặc dù chính phủ Mỹ đang vận hành một hệ thống bảo vệ thông tin tinh vi và phức tạp. Điều này đã làm nảy sinh nhiều câu hỏi, đó là tại sao Manning chỉ ngồi một chỗ mà cũng lấy được nhiều thông tin đến như vậy, và liệu rằng việc quản lý quyền tiếp cận thông tin mật nội bộ của chính phủ Mỹ đã hiệu quả hay chưa, và một người như Manning liệu có nhiều quyền tới mức tiếp cận được từng đó thơng tin hay khơng. Lầu Năm góc từng tiến hành vơ hiệu hóa
các ổ cứng để nhân viên không thể ghi và di chuyển dữ liệu. Thế nhưng theo phát ngơn viên của Lầu Năm góc, những người chịu trách nhiệm triển khai và theo dõi chương trình ngăn chặn này lại khơng thể xác định được ai được phép truy cập các dữ liệu đó.
Từ bài học WikiLeaks, chúng ta có thể rút ra một số bài học sau cho vấn đề bảo mật an tồn thơng tin ở Việt Nam như sau:
Doanh nghiệp dễ bị tổn thương trước mất mát thông tin
Trong thế giới kết nối hiện nay, những gì mà người ta coi là riêng tư thì ngày càng bị soi mói và dễ bị đánh cắp. Chính Facebook, Twitter và các phương thức mạng xã hội khác đang định nghĩa lại cách thức chúng ta giao tiếp với nhau và mức độ sẵn sàng chia sẻ thông tin của tất cả mọi người. Dưới danh nghĩa an ninh quốc gia, các chính phủ cũng đang yêu cầu người dân phải hy sinh sự riêng tư. Đổi lại, người dân hay nhân viên cũng hy vọng và địi hỏi mức độ cởi mở hơn từ phía chính phủ và doanh nghiệp. Thế nhưng, các doanh nghiệp và chính phủ khơng phải lúc nào cũng sẵn lịng đáp ứng, bởi ngồi việc họ quan ngại về bí mật kinh doanh hay thơng tin bí mật, họ cịn phải đảm bảo rằng mọi thứ cần diễn ra trong một khn phép có thể kiểm sốt được. Dĩ nhiên, hầu hết nhân viên đều khơng quan tâm tới điều này. Chính vì thế, các doanh nghiệp cần phải có chính sách và quy định cụ thể để bảo vệ sự tồn tại của chính cơng ty họ.
Không thể quản lý thông tin bằng các công cụ truyền thống
Hàng ngày, nhân viên phải tiếp xúc với các hệ thống thiếu cởi mở tại công ty, nơi họ có thể bị ngăn cấm trao đổi thơng tin, hay đơn giản bị ngăn không cho tiếp xúc với thế giới bên ngoài. Thực tế đó càng khiến cho các nhân viên tìm cách liên lạc, trao đổi và chia sẻ thơng tin với bên ngồi. Các doanh nghiệp cũng nhận thấy rằng nhu cầu sử dụng các công cụ web 2.0 và mạng xã hội của nhân
viên đang tăng lên rất nhanh. Và nếu họ khơng đáp ứng được thì nhân viên của họ sẽ tìm cách sử dụng bằng được. Chẳng hạn như nhân viên có thể đưa thơng tin cơng việc lên Twitter, FaceBook, hay LinkedIn. Hoặc họ cũng có thể tìm cách cài đặt e-mail doanh nghiệp lên chiếc iPhone cá nhân. Đơn giản là họ sẽ vượt ra khỏi mạng doanh nghiệp để lập mạng xã hội riêng để trao đổi và chia sẻ thông tin với người khác. Các nhân viên sẽ sử dụng những dịch vụ Web thông dụng như e-mail, IM, chia sẻ file, tài liệu, dung lượng… Các dịch vụ này phần nhiều miễn phí, dễ tiếp cận, khó ngăn chặn và khó kiểm sốt.
Cần cải tiến và nâng cao quy trình nghiệp vụ bằng cơng nghệ thơng tin
Mặc dù tiềm ẩn nhiều rủi ro không lường trước nhưng công nghệ thông tin vẫn là yếu tố then chốt mang lại thành công cũng như cơ hội phát triển và kinh doanh mới cho doanh nghiệp. Nó sẽ mang lại những khoản hồn vốn đầu tư hiệu quả nếu doanh nghiệp chi mạnh tay, đúng hướng và hợp lý. Lấy McAfee, một hãng bảo mật hàng đầu, ra làm ví dụ. Nhờ những khoản đầu tư hào phóng cho hạ tầng công nghệ thông tin mà hãng này đã giảm được 25% các cuộc gọi hỗ trợ kỹ thuật hàng tháng.
Thận trọng trong mỗi quyết định liên quan tới công nghệ thông tin
Yếu tố làm nên sự thành công của một giải pháp không chỉ là sự hợp tác và chia sẻ dễ dàng, mà còn là những địi hỏi về tính riêng tư, định danh, pháp chế, lưu giữ hồ sơ, khôi phục và phát hiện sự cố. Một quyết định đúng về công nghệ thông tin sẽ mang lại những lợi ích hợp tác và xã hội đúng đắn. Xu hướng hiện nay là mạng xã hội và các công cụ giao tiếp kiểu xã hội. Việc ngăn cấm những công cụ này khơng phải là điều sáng suốt, mà thay vào đó các doanh nghiệp cần
có chính sách cụ thể và hiệu quả, nhằm tận dụng sức mạnh của chúng để mang lại lợi ích cho cơng ty.
Quản lý truy cập thơng tin
Nói một cách ngắn gọn là thơng tin phải được truy cập đúng người, đúng chỗ. Doanh nghiệp cần phải nắm được ai được quyền tiếp cận thông tin ở mức cao, và những thơng tin càng quan trọng thì càng cần bảo vệ chặt chẽ hơn. Ngồi các nguy cơ bên ngồi, đội ngũ quản trị cơng nghệ thơng tin cần phải để mắt tới các nguy cơ xuất phát từ nội bộ. Thực tế cho thấy, nhân viên bất mãn có thể gây ra những thiệt hại không kém phần nghiêm trọng so với các đe dọa từ bên ngoài. Các doanh nghiệp cũng cần bảo vệ thông tin theo cách thức chúng được lưu trữ và sử dụng. Cần phải sử dụng các giải pháp ngăn chặn mất mát dữ liệu hiệu quả cho thiết bị đầu cuối, hệ thống mạng và hệ thống lưu trữ.
KẾT LUẬN CHƯƠNG 2
Chương 2 đã trình bày cụ thể tình hình triển khai thực hiện sản phẩm dịch vụ Vietinbank at home tại ngân hàng TMCP Công Thương Việt Nam. Chương này nêu lên được kết quả kinh doanh từ sản phẩm dịch vụ Vietinbank at home, cũng như so sánh những tiện ích của Vietinbank at home với các ngân hàng khác, qua đó nêu lên được những rủi ro tiềm ẩn trong dịch vụ ngân hàng điện tử nói trên.
CHƯƠNG 3
GIẢI PHÁP BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG TRIỂN KHAI DỊCH VỤ VIETINBANK AT HOME
Trong những năm gần đây, vấn đề bảo mật đang trở thành nóng bỏng, thu hút sự chú ý của cơng luận, đặc biệt đối với hệ thống ngân hàng, nơi mà công nghệ thông tin chi phối mọi hoạt động kinh doanh thì vấn đề bảo mật an tồn thơng tin mang tính sống cịn. Là một ngân hàng ứng dụng cơng nghệ thông tin cao, Vietinbank sớm nhận thức được tầm quan trọng của vấn đề nên ưu tiên xây dựng cơ chế bảo mật an toàn khi thiết kế, xây dựng và cung ứng dịch vụ Vietinbank at Home.
Tuy nhiên, bảo mật an toàn là một khái niệm rất rộng và được xác định theo từng mơi trường cụ thể. Khơng có một mơ hình hồn tồn chính xác phù hợp cho tất cả các hệ thống. Nguy cơ rủi ro của mỗi ngân hàng hồn tồn khác nhau nên cần có phương thức quản trị rủi ro phù hợp được điều chỉnh cụ thể tùy thuộc vào quy mô của hoạt động ngân hàng điện tử, mức độ nghiêm trọng của các rủi ro hiện tại, sự sẵn sàng đáp ứng và khả năng quản trị rủi ro của ngân hàng. Do đó các giải pháp phải có 2 điểm mang tính kết hợp:
- Thứ nhất, để đảm bảo bảo mật an tồn phải kết hợp cả cơng nghệ và chính sách.
- Thứ hai, thực hiện bảo mật an tồn là một q trình liên tục, khơng có kết thúc, khơng thể chỉ giải quyết một lần là đủ.
Cần có chiến lược bảo mật an tồn một cách tổng thể, bảo vệ theo chiều sâu. Do bản chất phức tạp của hệ thống công nghệ thông tin (ngay cả khi chưa tính đến những yêu cầu khắt khe về bảo mật), việc đảm bảo độ tin cậy, tính tồn
vẹn và sẵn sàng cho hệ thống thông tin cũng như các dịch vụ của ngân hàng là cực kỳ khó khăn. Ngồi ra, vì u cầu bảo mật ln có khả năng xung đột với mong muốn thực hiện công việc một cách đơn giản, dễ dàng, nhanh chóng nên yêu cầu bắt buộc đối với mọi giải pháp, chính sách bảo mật phải mang tính khả thi, đồng bộ từ thiết bị, cơng nghệ, con người cho đến qui trình.
3.1 Định hướng phát triển của NHTMCP Công thương Việt Nam về dịch vụ ngân hàng điện tử
Hiện nay, nước ta có hơn 86 triệu người với mức thu nhập ngày càng tăng, song tỉ lệ người dân sử dụng sản phẩm ngân hàng vẫn cịn thấp. Theo thống kê thì bình quân cả nước mới chỉ có khoảng 50 - 60% dân số có tài khoản trong ngân hàng, trong đó chỉ non một nữa tài khoản là hoạt động thường xuyên. Bên cạnh đó, sự tăng trưởng thu nhập bình quân đầu người và của các doanh nghiệp đã tạo ra thị trường đầy tiềm năng cho các NHTM, đặc biệt là dịch vụ ngân hàng điện tử. Phát triển dịch vụ ngân hàng điện tử đang là một xu thế và là yêu cầu tất yếu đối với các NHTM hiện nay nhằm tăng tính cạnh tranh, tăng thị phần và đa dạng hố các loại hình sản phẩm dịch vụ của ngân hàng, góp phần nâng cao thương hiệu của ngân hàng.
Cùng với chủ trương phát triển cơng nghệ, hiện đại hóa ngân hàng, nâng cấp hệ thống corebanking, Vietinbank đã không ngừng khẳng định và nâng cao hình ảnh một ngân hàng dẫn đầu trong việc ứng dụng các công nghệ hiện đại, trong thời gian qua, Vietinbank đã liên tục nghiên cứu, thử nghiệm và triển khai dịch vụ ngân hàng điện tử nhằm đẩy mạnh số lượng khách hàng đăng ký sử dụng các sản phẩm dịch vụ ngân hàng điện tử.
Ở Việt Nam, thơng thường khi nói về định hướng cho một khu vực, một ngành hay một lĩnh vực hoạt động cụ thể, người ta dựa vào tầm nhìn trung dài
hạn, chia ra từng bước ngắn hạn được thể hiện trong các nghị quyết, quyết định phê duyệt quy hoạch hay đề án của các cấp lãnh đạo.
Trong lĩnh vực tài chính - tiền tệ - ngân hàng, định hướng chỉ đạo của nhà nước lại chậm so với thực tiễn. Riêng về hình thái tiền tệ, thế giới đã chuyển từ hình thái bút tệ sang hình thái tiền điện tử. Khi Việt Nam chính thức gia nhập tổ chức W.T.O, xu thế hội nhập đang nhanh chóng lơi cuốn hệ thống ngân hàng trong nước đi theo trào lưu thế giới. Việc triển khai ứng dụng các dịch vụ ngân hàng điện tử chỉ là hệ quả tất yếu, khó cưỡng lại.
Nền tảng pháp lý cho hoạt động này, như đã phân tích ở các phần trên, chưa bao quát, đồng bộ và kín kẽ. Định hướng chính thống của Nhà nước cũng chưa rõ ràng, cụ thể, khi mối quan tâm lớn nhất của Chính phủ hiện nay là đẩy mạnh thanh tốn khơng dùng tiền mặt, nhằm hạn chế tâm lý còn chuộng tiền mặt trong các giao dịch kinh tế.
Quyết định số 291/2006/QĐ-TTg ngày 29/12/2006 của Thủ tướng chính phủ phê duyệt đề án thanh tốn khơng dùng tiền mặt giai đoạn 2006 – 2010 và định hướng đến năm 2020 tại Việt Nam, có đề cập đến một vài ý ngắn rời rạc về các dịch vụ ngân hàng điện tử. Tại Điều 2, Mục 5: “Nhóm đề án phát triển các hệ thống thanh toán bao gồm các đề án thành phần (Ngân hàng Nhà nước Việt Nam chủ trì, phối hợp với các Bộ, ngành liên quan xây dựng và thực hiện từ năm 2007 đến năm 2010):
a. Hoàn thiện và phát triển hệ thống thanh toán liên ngân hàng;
b. Xây dựng trung tâm thanh toán bù trừ tự động phục vụ cho các giao dịch bán lẻ;
d. Kết nối hệ thống thanh toán bù trừ và quyết toán chứng khoán với hệ thống thanh toán liên ngân hàng quốc gia.”
Phát triển cơ sở hạ tầng kỹ thuật nhằm tạo điều kiện thuận lợi cho việc thanh toán của khách hàng, chú trọng phát triển các sản phẩm dịch vụ ngân hàng hiện đại, ứng dụng công nghệ tin học tiên tiến… Đối với giao dịch điện tử, chưa đủ cơ sở để các ngân hàng tổ chức triển khai các kênh giao dịch điện tử vì chưa tạo được một cơ chế tổng hợp điều chỉnh hoạt động thương mại điện tử trong ngành ngân hàng.
Như vậy, theo tinh thần của Quyết định 291/2006/QĐ-TTg, tại thời điểm năm 2006, các dịch vụ ngân hàng điện tử chỉ mới bao gồm: nghiệp vụ thanh toán bù trừ, liên ngân hàng và việc phát hành thanh toán thẻ ATM. Bối cảnh chung của đất nước chưa thuận lợi để tiến xa hơn. Đến cuối năm 2010, Chính phủ chưa thay đổi định hướng.
Thiếu quy hoạch tổng thể của Nhà nước, các dịch vụ ngân hàng điện tử chắc chắn thiếu luôn cơ sở pháp lý nền tảng điều chỉnh hoạt động. Dù theo lộ trình đã ấn định, từ năm 2011, các chi nhánh ngân hàng nước ngoài được đối xử bình đẳng, các tổ chức tín dụng trog nước sẽ phải chịu áp lực cạnh tranh rất lớn ở mọi nghiệp vụ ngân hàng, kể cả dịch vụ ngân hàng điện tử, sự nơn nóng của Hội đồng quản trị và Ban điều hành Ngân hàng TMCP Công thương Việt Nam muốn đẩy mạnh dịch vụ Vietinbank at Home sẽ
vấp phải thái độ dè dặt của xã hội.
3.2 Các giải pháp bảo mật và an tồn thơng tin trong triển khai Vietinbank at Home
Hội đồng quản trị và Ban điều hành Vietinbank phải xây dựng cơ chế giám sát các rủi ro liên quan đến hoạt động ngân hàng điện tử, bao gồm việc xây dựng trách nhiệm giải trình, chính sách và biện pháp kiểm sốt quản lý rủi ro.
Với tính chất đặc thù, các dịch vụ ngân hàng điện tử có khả năng tác động không nhỏ đến mức độ chịu rủi ro của ngân hàng. Lãnh đạo ngân hàng cần đánh giá kết quả kinh doanh của ngân hàng qua việc phân tích lợi/hại nhằm xác định chiến lược phù hợp, đảm bảo qui trình quản trị rủi ro đối với dịch vụ ngân hàng điện tử được tích hợp vào phương thức quản trị rủi ro tổng thể của ngân hàng.