1 .6Các phươ ng án ki ểm soát ủi ro
2.6 Thực trạng về bảo mật và an tồn thơng tin trong dịch vụ Vietinbank at home tạ
at home tại Ngân hàng TMCP Công thương Việt Nam
2 Được sự phê duyệt của Ban Lãnh đạo Ngân hàng TMCP Công thương Việt Nam, từ tháng 4/2009, Vietinbank đã chính thức triển khai dịch vụ Vietinbank at Home trên phạm vi tồn hệ thống. Tính đến 30/04/2010, Vietinbank đã triển khai dịch vụ này tới 150 khách hàng doanh nghiệp bao gồm
các khách hàng VIP, khách hàng chiến lược, khách hàng vừa và nhỏ có giao dịch chuyển tiền thường xuyên, doanh số chuyển tiền lớn.
Đến 30/9/2010, Hội sở chính nóng lịng đẩy mạnh dịch vụ này lên, đã nhắc nhở bằng công văn cũng như tại các cuộc họp với các chi nhánh. Kết quả đạt được còn khiêm tốn tuy là đầy hứa hẹn.
Do hàm lượng công nghệ chứa trong sản phẩm, cùng những yêu cầu tối thiểu về trang bị kỹ thuật, dịch vụ Vietinbank at Home cũng khá kén người dùng, phải có mức độ hiểu biết về tin học.
Dịch vụ này bắt đầu cắm rể trên thị trường nên cần kiên nhẫn đợi nó tự khẳng định tính ưu việt rồi mới phát triển mạnh.
Với nhiều lý do khác nhau, Việt Nam chưa thể tính đúng, tính đủ giá thành của khoa học cơng nghệ, cho nên nếu tính riêng về lợi thế so sánh với việc thâm dụng lao động thủ công, dịch vụ Vietinbank at Home hứa hẹn lợi nhuận cao.
Tổng doanh số chuyển tiền qua Vietinbank at Home toàn hệ thống đạt xấp
xỉ 42 ngàn tỷ VNĐ và trên 52 tỷ USD, quy đổi chung là 202.904 tỷ VNĐ.
Tuy nhiên, hiện nay, dịch vụ Vietinbank at Home vẫn chưa khai thác hết các tiềm năng, nhiều khách hàng chưa đánh giá đúng mức tầm quan trọng và lợi ích cũng như hiệu quả của việc sử dụng dịch vụ. Thống kê số liệu cho thấy chỉ 38.8% số lượng khách hàng thực hiện giao dịch chuyển tiền trên Vietinbank at Home. Dịch vụ này cịn khá mới mẻ, Hội sở chính chưa đúc kết đánh giá đầy đủ.
Giao dịch chuyển tề n Vấn tn tài khoản
Đăng ký nhưng chưa sử dụng
30.6 38.8
30.6
3 Hình 2.13: Thống kê tình hình sử dụng dịch vụ Vietinbank at Home của
khách hàng
Trong quá trình triển khai dịch vụ Vietinbank at home, Ngân hàng TMCP Công thương Việt Nam đã dành nhiều thời gian và nhân sự, phối hợp nghiên cứu đưa ra các phương án cải tiến, nâng cấp dịch vụ nhằm đảm bảo an toàn bảo mật tối đa cho khách hàng sử dụng dịch vụ.
Vietinbank đã lựa chọn giải pháp an toàn với công nghệ mới – máy chủ main frame System z10 BC của IBM. Đây là hệ thống hỗ trợ cho ngân hàng trong quản lý, điều hành, kiểm soát, phát hiện kịp thời giúp hạn chế đến mức thấp nhất những rủi ro có thể xảy ra.
Máy chủ này được trang bị chíp xử lý của z10 có chức năng mã hóa tích hợp. Các bộ đồng xử lý tích hợp xóa khóa tiêu chuẩn cung cấp năng lực mã hóa tốc độ cao để bảo vệ dữ liệu lưu trữ. Chức năng CP Assist for Cryptographic Function (CPACF) hỗ trợ DES, TDES, SHA (Secure Hash Algorithms) lên tới 512 bits, AES (Advanced Encryption Standard – Tiêu chuẩn mã hóa tiên tiến) lên tới 256 bits và PRNG (Pseudo Random Number Generation – Tạo số giả ngẫu nhiên). Tính năng Crypto Express2 có thể được cấu hình như một bộ đồng xử lý khóa an tồn hoặc nhằm tăng tốc độ SSL (Secure Sockets Layer – Lớp bảo
mật gói). Tính năng này bao gồm hỗ trợ các số tài khoản cá nhân gồm 13, 14, 15, 16, 17, 18 và 19 ký tự để bảo vệ dữ liệu tốt hơn.
System z10 BC đáp ứng đầy đủ các yêu cầu pháp lý, gồm các giải pháp mã hóa, quản lý điều khiển truy nhập và các tính năng về kiểm tốn. Tính năng Zero downtime (khơng có thời gian dừng) cung cấp các cấu hình khơi phục sau thảm họa, mức độ sẵn sàng ứng dụng lên đến 99,999% nhằm tránh mọi tác nhân gây gián đoạn, giúp cho toàn bộ hệ thống của ngân hàng ln được kiểm sốt tại mọi thời điểm một cách đáng tin cậy.
Với tính năng tối ưu để hỗ trợ các tải cơng việc có khối lượng giao dịch lớn, Vietinbank sẽ tận dụng được thế mạnh của các đặc tính quản lý hệ thống tiên tiến, như khả năng quản lý công suất và bảo mật nhằm bảo vệ các dữ liệu của ngân hàng trước các rủi ro, nhất là khi nhu cầu về các dịch vụ ngân hàng hiện đại của Việt Nam đang ngày càng mở rộng. System z10 BC sẽ kết nối với core banking của Vietinbank và toàn bộ hệ thống hỗ trợ khác nhằm kiểm sốt một cách tồn diện và rộng khắp trên toàn bộ hệ thống ngân hàng, đảm bảo an tồn thơng tin trong mọi hoạt động giao dịch.
Trong quá trình triển khai và thực hiện Vietinbank at home cho đến nay, chưa xảy ra hiện tượng hacker lợi dụng các lỗ hổng này để tấn công vào ngân hàng và khách hàng. Tuy nhiên trong tương lai, cần sớm nhận thức được tầm quan trọng của công tác bảo mật và có sự quan tâm đầu tư nghiêm túc cho lĩnh vực này.
2.7 Nguyên nhân chủ yếu chưa phát triển mạnh dịch vụ Vietinbank at home
Dịch vụ này thao tác trên Internet, có hàm lượng cơng nghệ khá cao nên kén người sử dụng cùng người hỗ trợ phải am hiểu tin học. Giới trẻ ngày nay khó thành thạo về cơng nghệ thông tin nhưng chưa phải 100% chủ doanh nghiệp là người trẻ được đào tạo căn cơ.
Dịch vụ này khá mới, cần có thời gian để bén rễ trên thị trường. Phải có một chiến dịch quảng cáo rầm rộ để thu hút người sử dụng. Ngồi các phương thức thơng dụng như pano, biểu ngữ (poster, tờ rơi…), phải có đội ngũ sẵn sàng hỗ trợ khách hàng thao tác thuần thục.
Cơ sở pháp lý bao qt, kín kẽ hữu hiệu, xử lý cơng bằng khi có tranh chấp. Đây là yếu điểm rất lớn, khiến mọi người chưa trọn niềm tin vào cái mới trong cuộc sống. Họ giữ thái độ dè dặt, chờ đợi thêm nhiều minh chứng thực tế, cụ thể hơn mới chịu nhập cuộc.
Ngay các cường quốc về tin học cũng không tránh khỏi nạn hệ thống an tồn bị bẻ khóa, đột nhập lấy cắp tài sản, làm sao họ yên tâm với hệ thống của Việt Nam. Rồi khi tài sản đã mất, họ biết đi tìm cơng lý ở đâu.
2.7.2 Các nguyên nhân chủ quan
Chưa có sự phối hợp nhịp nhàng giữa Hội sở chính và các chi nhánh. Từ năm 2005, nhiều chi nhánh khơng cịn được bố trí phịng Tổng hợp tiếp thị theo mơ hình hiện đại hóa mới. Mọi kiểu quảng cáo chỉ bố trí ở điểm hay quầy giao dịch để khách hàng tự động tham khảo, theo sự hướng dẫn chung chung của người bảo vệ. Khi khách hàng cần hướng dẫn chuyên sâu hơn, họ mới hỏi giao dịch viên ở quầy, hay tự liên hệ theo địa chỉ đã ghi.
Do tính chất cơng việc kế tốn, khi áp dụng thiết bị kiểm tra, phê duyệt giao dịch bằng tĩnh mạch bàn tay (PalmSecure), buộc giao dịch viên, kiểm soát viên đến lãnh đạo bộ phận đều phải ngồi tại chỗ, đặt bàn tay lên thiết bị khi xử lý giao
5 0
dịch cho khách hàng. Điều đó, đã khiến cho nhân viên ngân hàng khơng có được thời gian cũng như việc di chuyển đến quầy tư vấn trực tiếp cho khách hàng.
Khả năng hiểu biết, am tường về dịch vụ Vietinbank at Home của các giao dịch viên có hạn và chưa đồng đều.
Về tâm lý, khách hàng khơng thích vào nơi vắng khách, nhưng tại quầy đông khách, họ không đủ kiên nhẫn khi phải chờ đợi lâu. Trong khi đó, giao dịch viên khơng thể vừa xử lý giao dịch cho người này, vừa giải đáp thắc mắc cho người khác.
Với chương trình quản lý cơng việc, chấm điểm chun mơn trên máy tính, việc tư vấn cho khách hàng rất khó được xác nhận và chấm điểm đúng mức để trả lương đối với nhân viên kế toán, mà kế toán thường là nơi khách hàng tiếp xúc đầu tiên.
Các hiện tượng đứng mạng, treo máy xảy ra hằng ngày, các lỗi kỹ thuật làm gián đoạn quy trình cịn rất nhiều gây khơng ít phiền tối cho người sử dụng dịch vụ, cũng góp phần làm giảm niềm tin đối với sản phẩm mới đem áp dụng.
Các nguyên nhân chủ quan trên xuất phát từ phương pháp làm việc của Hội sở chính cịn nhiều bất cập, chưa có sự phối hợp tốt giữa các Phịng/Ban và với các chi nhánh. Các chuyên gia cấp trên chưa nhận thức được khi xã hội phát triển lên, khách hàng cũng khó tính hơn, khơng cịn muốn đồng hành với ngân hàng để hoàn thiện dịch vụ đã ứng dụng trên tinh thần vừa làm vừa sửa sai.
2.8 Kinh nghiệm quốc tế và bài học cho Việt Nam về bảo mật an tồn thơng tin thơng tin
Khi thông tin dữ liệu ngày càng được coi là tài sản quý giá của doanh nghiệp và vấn đề bảo mật an tồn thơng tin là vấn đề sống cịn thì việc thơng tin bị đánh cắp sẽ để lại hậu quả nghiêm trọng. Từ câu chuyện rị rỉ điện tín ngoại
giao của Mỹ - sự kiện WikiLeaks đã chấn động cả ngành công nghệ thơng tin thế giới và gióng lên bài học về bảo vệ thơng tin mật và thông tin nhạy cảm trong doanh nghiệp.
Bản thân sự tồn tại của WikiLeaks từ năm 2006 đã gây ra nhiều tranh cãi. Công ty truyền thông phi lợi nhuận này thường công bố các thông tin mật rị rỉ trên tồn thế giới và lấy đó làm tiêu chí hoạt động. WikiLeaks đã nhận được khơng ít những lời tán dương nhưng nó cũng bị nhiều tổ chức nhân quyền và chính phủ ghét bỏ. Nhưng vụ rị rỉ hàng trăm nghìn tệp hồ sơ mật của Mỹ thông qua WikiLeaks đã, đang và luôn là bài học bảo mật thông tin cho tất cả mọi người, đặc biệt là các doanh nghiệp. Tháng 4/2010, WikiLeaks công bố đoạn video tuyệt mật của giới quân đội Mỹ quay cảnh một máy bay trực thăng Mỹ bắn chết 12 người tại Baghdad năm 2007, trong đó có 2 người của hãng thơng tấn Reuters. Đoạn video này đã dẫn tới việc bắt giữ chun gia phân tích tình báo PFC Bradley Manning của quân đội Mỹ, người được cho là đã cung cấp đoạn video gây sốc cùng với nhiều tài liệu mật khác. Manning cũng chính là người chuyển 260.000 tài liệu ngoại giao mật của Mỹ cho WikiLeaks. Người ta cho rằng Manning đã dùng quyền của mình để truy cập vào hai mạng lưới mật của chính phủ để lấy thông tin rồi ghi vào đĩa CD.
Vấn đề ở đây là Manning đã lấy được một khối lượng thông tin khổng lồ mà không bị phát hiện mặc dù chính phủ Mỹ đang vận hành một hệ thống bảo vệ thông tin tinh vi và phức tạp. Điều này đã làm nảy sinh nhiều câu hỏi, đó là tại sao Manning chỉ ngồi một chỗ mà cũng lấy được nhiều thông tin đến như vậy, và liệu rằng việc quản lý quyền tiếp cận thơng tin mật nội bộ của chính phủ Mỹ đã hiệu quả hay chưa, và một người như Manning liệu có nhiều quyền tới mức tiếp cận được từng đó thơng tin hay khơng. Lầu Năm góc từng tiến hành vơ hiệu hóa
các ổ cứng để nhân viên không thể ghi và di chuyển dữ liệu. Thế nhưng theo phát ngôn viên của Lầu Năm góc, những người chịu trách nhiệm triển khai và theo dõi chương trình ngăn chặn này lại khơng thể xác định được ai được phép truy cập các dữ liệu đó.
Từ bài học WikiLeaks, chúng ta có thể rút ra một số bài học sau cho vấn đề bảo mật an tồn thơng tin ở Việt Nam như sau:
Doanh nghiệp dễ bị tổn thương trước mất mát thông tin
Trong thế giới kết nối hiện nay, những gì mà người ta coi là riêng tư thì ngày càng bị soi mói và dễ bị đánh cắp. Chính Facebook, Twitter và các phương thức mạng xã hội khác đang định nghĩa lại cách thức chúng ta giao tiếp với nhau và mức độ sẵn sàng chia sẻ thông tin của tất cả mọi người. Dưới danh nghĩa an ninh quốc gia, các chính phủ cũng đang yêu cầu người dân phải hy sinh sự riêng tư. Đổi lại, người dân hay nhân viên cũng hy vọng và đòi hỏi mức độ cởi mở hơn từ phía chính phủ và doanh nghiệp. Thế nhưng, các doanh nghiệp và chính phủ khơng phải lúc nào cũng sẵn lịng đáp ứng, bởi ngồi việc họ quan ngại về bí mật kinh doanh hay thơng tin bí mật, họ cịn phải đảm bảo rằng mọi thứ cần diễn ra trong một khn phép có thể kiểm sốt được. Dĩ nhiên, hầu hết nhân viên đều khơng quan tâm tới điều này. Chính vì thế, các doanh nghiệp cần phải có chính sách và quy định cụ thể để bảo vệ sự tồn tại của chính cơng ty họ.
Khơng thể quản lý thông tin bằng các công cụ truyền thống
Hàng ngày, nhân viên phải tiếp xúc với các hệ thống thiếu cởi mở tại cơng ty, nơi họ có thể bị ngăn cấm trao đổi thông tin, hay đơn giản bị ngăn không cho tiếp xúc với thế giới bên ngoài. Thực tế đó càng khiến cho các nhân viên tìm cách liên lạc, trao đổi và chia sẻ thơng tin với bên ngồi. Các doanh nghiệp cũng nhận thấy rằng nhu cầu sử dụng các công cụ web 2.0 và mạng xã hội của nhân
viên đang tăng lên rất nhanh. Và nếu họ khơng đáp ứng được thì nhân viên của họ sẽ tìm cách sử dụng bằng được. Chẳng hạn như nhân viên có thể đưa thơng tin công việc lên Twitter, FaceBook, hay LinkedIn. Hoặc họ cũng có thể tìm cách cài đặt e-mail doanh nghiệp lên chiếc iPhone cá nhân. Đơn giản là họ sẽ vượt ra khỏi mạng doanh nghiệp để lập mạng xã hội riêng để trao đổi và chia sẻ thông tin với người khác. Các nhân viên sẽ sử dụng những dịch vụ Web thông dụng như e-mail, IM, chia sẻ file, tài liệu, dung lượng… Các dịch vụ này phần nhiều miễn phí, dễ tiếp cận, khó ngăn chặn và khó kiểm sốt.
Cần cải tiến và nâng cao quy trình nghiệp vụ bằng cơng nghệ thơng tin
Mặc dù tiềm ẩn nhiều rủi ro không lường trước nhưng công nghệ thông tin vẫn là yếu tố then chốt mang lại thành công cũng như cơ hội phát triển và kinh doanh mới cho doanh nghiệp. Nó sẽ mang lại những khoản hồn vốn đầu tư hiệu quả nếu doanh nghiệp chi mạnh tay, đúng hướng và hợp lý. Lấy McAfee, một hãng bảo mật hàng đầu, ra làm ví dụ. Nhờ những khoản đầu tư hào phóng cho hạ tầng cơng nghệ thơng tin mà hãng này đã giảm được 25% các cuộc gọi hỗ trợ kỹ thuật hàng tháng.
Thận trọng trong mỗi quyết định liên quan tới công nghệ thông tin
Yếu tố làm nên sự thành công của một giải pháp không chỉ là sự hợp tác và chia sẻ dễ dàng, mà cịn là những địi hỏi về tính riêng tư, định danh, pháp chế, lưu giữ hồ sơ, khôi phục và phát hiện sự cố. Một quyết định đúng về công nghệ thông tin sẽ mang lại những lợi ích hợp tác và xã hội đúng đắn. Xu hướng hiện nay là mạng xã hội và các công cụ giao tiếp kiểu xã hội. Việc ngăn cấm những công cụ này không phải là điều sáng suốt, mà thay vào đó các doanh nghiệp cần
có chính sách cụ thể và hiệu quả, nhằm tận dụng sức mạnh của chúng để mang lại lợi ích cho cơng ty.
Quản lý truy cập thơng tin
Nói một cách ngắn gọn là thông tin phải được truy cập đúng người, đúng chỗ. Doanh nghiệp cần phải nắm được ai được quyền tiếp cận thông tin ở mức cao, và những thông tin càng quan trọng thì càng cần bảo vệ chặt chẽ hơn. Ngồi các nguy cơ bên ngoài, đội ngũ quản trị công nghệ thông tin cần phải để mắt tới các nguy cơ xuất phát từ nội bộ. Thực tế cho thấy, nhân viên bất mãn có thể gây ra những thiệt hại không kém phần nghiêm trọng so với các đe dọa từ bên ngoài. Các doanh nghiệp cũng cần bảo vệ thông tin theo cách thức chúng được lưu trữ và sử dụng. Cần phải sử dụng các giải pháp ngăn chặn mất mát dữ liệu hiệu quả cho thiết bị đầu cuối, hệ thống mạng và hệ thống lưu trữ.