75% 80% 85% 90% 95% 100% Xây dựng tường lửa Bảo vệ cơ sở dữ liệu Tách rời 1 số hệ thống công tư Series1
- Mức độ quan trọng trong vấn đề bảo mật thơng tin khách hàng trong thanh tốn trực tuyến. Với mức độ quan trọng nhất là 1 và thấp nhất là 4.
Bảng 3.8: Các chỉ tiêu đánh giá độ quan trọng trong vấn đề bảo mật thông tin khách hàng
Các chỉ tiêu Điểm đánh giá
Thơng tin trong q trình khách hàng giao dịch thanh toán
1
Trách nhiệm của các bên khi xảy ra sự cố 1,71
Các giao dịch luôn được thực hiện thành cơng 1,29
Chỉ tiêu khác
Như vậy ta có thể thấy trong vấn đề bảo mật thơng tin khách hàng thì thơng tin trong q trình khách hàng giao dịch thanh tốn được coi là quan trọng nhất. Sau đó đến thơng tin cá nhân khách hàng và các giao dịch luôn được thực hiện thành cơng. Cịn trách nhiệm của các bên khi xảy ra sự cố thì khơng được chú trọng mấy trong quá trình bảo mật.
- Một số ý kiến đưa ra nhằm củng cố vấn đề bảo mật thông tin khách hàng trong thanh toán
+ Cài đặt một số chương trình bảo mật một đầu ra thanh tốn có một thiết bị mã hóa dữ liệu và những thơng tin giữa hai đầu thanh toán được bảo mật bởi kỹ thuật IPsec.
+ Áp dụng hệ thống khóa điện tử và chữ ký điện tử đối với các giao dịch liên ngân hàng.
+ Xây dựng hệ thống PKI.
3.3.2 Phỏng vấn chuyên gia
Sự kiện Banking Vietnam 2008 tổ chức tại TP. Hồ Chí Minh với chủ đề “Công nghệ Ngân hàng hiện đại với Quản trị, kinh doanh tiền tệ, tín dụng”có cuộc phỏng vấn ơng Nguyễn Văn Xn- Phó cục trưởng, Cục Cơng nghệ tin học, Ngân hàng Nhà Nước Việt Nam.
Theo ông vấn đề an tồn và bảo mật thơng tin trong hoạt động ngân hàng cần được nhìn nhận như thế nào?
là các nền kinh tế đang phát triển như Việt Nam, hệ thống ngân hàng giữ vai trò rất quan trọng, là một trong những kênh huy động và điều hịa nguồn vốn chính của nền kinh tế, đồng thời cũng là cơng cụ quan trọng trong việc thực hiện chính sách tiền tệ quốc gia, và quản lý kinh tế của nhà nước. Sự tăng trưởng và phát triển của hệ thống này tác động trực tiếp và mạnh mẽ đến sự tăng trưởng của toàn nền kinh tế. Đặc biệt, nhiều lĩnh vực kinh doanh mới như thương mại điện tử, bán lẻ, chứng khốn, viễn thơng... phụ thuộc rất nhiều vào các dịch vụ ngân hàng. Cho nên, chỉ cần “trái gió, trở trời” thơi cũng ảnh hưởng khơng nhỏ đến tồn bộ hoạt động của nền kinh tế đất nước. Mặt khác, hoạt động của hệ thống rất nhạy cảm và tiềm ẩn nhiều rủi ro: rủi ro về quy trình nghiệp vụ - rủi ro tín dụng, rủi ro lãi suất, rủi ro ngoại hối, rủi ro quản trị; rủi ro về hệ thống thông tin, về con người; rủi ro liên quan đến khách hàng, đến đối tác của khách hàng...Vì thế, việc đảm bảo an tồn cho hoạt động ngân hàng nói chung và đặc biệt là bảo mật và an tồn thơng tin ngân hàng ln là một trọng tâm đối với cả hệ thống ngân hàng. Chính vì tích hợp ngày càng sâu rộng CNTT – Truyền thông trong hoạt động ngân hàng, nhiều nghiệp vụ ngân hàng đã được tin học hoá, tự động hoá. Nhiều giao dịch ngân hàng (chuyển tiền điện tử, thẻ thanh toán và rút tiền tự động ATM, mobile banking, internet banking...) được xử lý trực tuyến trên mơi trường mạng máy tính và Internet. Vì vậy, xét ở góc độ kỹ thuật, bản chất các hoạt động nghiệp vụ, dịch vụ ngân hàng liên quan mật thiết đến việc xử lý, truyền tải, lưu trữ và quản lý thông tin. Cho nên, thông tin dữ liệu của hoạt động ngân hàng trở thành một nguồn tài nguyên quan trọng của cả hệ thống ngân hàng, nguồn tài nguyên này cần được bảo vệ một cách nghiêm ngặt.
Vì thế, trong hoạt động ngân hàng thông tin không chỉ là tiền bạc mà cịn hơn thế nữa. Vì trong trường hợp rủi ro bị kẻ gian đột nhập ăn cắp tiền
trong quỹ, két, chúng ta có thể lượng hố ngay được mức độ thiệt hại, tổn thất. Nhưng với các rủi ro liên quan đến an tồn thơng tin, đến các cơ sở dữ liệu hoạt động ngân hàng bị xâm hại, thiệt hại sẽ rất khó đánh giá, khó thống kê được đầy đủ, kịp thời... Và hệ quả là: nếu nhẹ thì gây rối loạn, ngừng trệ các hoạt động nghiệp vụ và dịch vụ ngân hàng; nguy hại hơn có thể gây tổn hại đến lịng tin của cơng chúng đối với hệ thống tiền tệ - tài chính quốc gia, gây xáo trộn các hoạt động kinh tế và an sinh xã hội...
Phỏng vấn ông John Du Bois, Tổng giám đốc Senetas, tập đoàn đến từ Úc, chuyên cung cấp các giải pháp an ninh ngân hàng.
Ơng cho biết vai trị của an ninh trong các hoạt động của Ngân hàng đặc biệt trong thanh toán trực tuyến ?
TL: An tồn bảo mật thơng tin nói chung, thiết kế hệ thống an tồn bảo mật cho hoạt động ngân hàng nói riêng là nhằm cho hoạt động ngân hàng được vận hành tốt hơn cùng với việc đẩy mạnh triển khai ứng dụng các cơng nghệ mới; qua đó phát triển thêm nhiều dịch vụ tiện ích ngân hàng hiện đại phục vụ đông đảo công chúng và sự phát triển của nền kinh tế.
Cơng nghệ mã hóa cao cấp rất cần thiết cho hệ thống ngân hàng. Các ngân hàng cần có cơng nghệ mã hóa để kết nối giữa các chi nhánh trong ngân hàng, đồng thời giữa hội sở ngân hàng với ngân hàng Trung ương để tăng cường an ninh chung cho cả hệ thống ngân hàng Việt Nam. Khi kết nối với các ngân hàng thế giới, nếu chúng ta không đảm bảo vấn đề bảo mật khi kết nối thì sẽ gặp khó khăn trong hội nhập.
Những khuyến cáo của Ngân hàng cho người sử dụng?
TL: Người sử dụng dịch vụ ngân hàng cần chọn những ngân hàng nào có cung cấp dịch vụ bảo mật tối đa cho web, điều này có được thơng qua chứng nhận về bảo mật cho các ngân hàng.
chi nhánh Nam Thăng Long Ngân hàng Agribank
Ông cho biết thực trạng trong Bảo mật thơng tin khách hàng thanh tốn trực tuyến của Ngân hàng Nông nghiệp và Phát triển nông thôn Việt Nam?
TL: Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam đang triển khai hệ thống thanh toán điện tử IPCAS II tới tất cả các chi nhánh và phịng giao dịch trên tồn quốc. Thiết lập mơ hình cơng nghệ thơng tin tiêu chuẩn của Ngân hàng: Khả năng an toàn 99,99%, khả năng sẵn sàng 24/7. Đặc biệt trong giai đoạn triển khai IPCAS II này còn triển khai hệ thống xác thực chữ ký điện tử, xây dựng và vận hành hệ thống quản trị an ninh thông tin, triển khai các hệ thống công nghệ mới( các hệ thống quản trị rủi ro, quản trị quan hệ khách hàng, các hệ thống phân tích đánh giá ).
Kết luận: Qua kết quả phiếu điều tra và phỏng vấn doanh nghiệp cho
ta thấy:
- Ngân hàng đã sử dụng các biện pháp để bảo mật thơng tin khách hàng trong thanh tốn trực tuyến. Đã cố gắng để ứng dụng các công nghệ mới mà cụ thể là sử dụng phần mềm IPCAS trong thanh toán điện tử và bảo mật thông tin đặc biệt là thông tin khách hàng.
- Tuy nhiên vẫn còn một số hạn chế về con người, về phần mềm ứng dụng cần được khắc phục trong thời gian tới. Đặc biệt chế độ đãi ngộ đối với đội ngũ cán bộ công nghệ thông tin ngân hàng chưa cạnh tranh được với một số ngành, lĩnh vực khác nên còn thiếu và yếu về nguồn nhân lực. Trình độ cán bộ tại các chi nhánh khơng đồng đều, một số còn hạn chế nên khi tiếp nhận và vận hành hệ thống mới còn nhiều lúng túng, nhầm lẫn.
Cơ sở hạ tầng truyền thơng cịn nhiều hạn chế về tốc độ, chất lượng đường truyền ảnh hưởng bất lợi tới chất lượng công việc.
Cần cải thiện thêm về kiến trúc hệ thống phần mềm IPCAS trong mặt kiểm soát và xác thực, quản lý người dùng, khả năng lưu vết….
CHƯƠNG IV
GIẢI PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG THANH TỐN TRỰC TUYẾN TẠI NGÂN HÀNG NƠNG NGHIỆP
VÀ PHÁT TRIỂN NƠNG THƠN VIỆT NAM 4.1 KẾT LUẬN QUA Q TRÌNH NGHIÊN CỨU
4.1.1 Những kết quả đã đạt được
Trong quá trình nghiên cứu về thực trạng bảo mật thơng tin khách hàng trong thanh toán trực tuyến tại Ngân hàng Agribank cho phép em đưa ra một vài kết luận như sau:
Ưu điểm:
- Ngân hàng đã tiến hành những bước hợp lý để đảm bảo bảo mật các thông tin khách hàng phù hợp với điều kiện sử dụng website của ngân hàng.
- Sử dụng các giao thức giao dịch điện tử bảo mật hiện đại SET và IPsec, phần mềm ứng dụng IPCAS.
- Bảo vệ quyền lợi của khách hàng bằng cách đảm bảo tiêu chuẩn an ninh ở mức cao nhất.
Nhược điểm:
- Cơ sở hạ tầng truyền thơng cịn nhiều hạn chế về tốc độ, chất lượng đường truyền.
- Vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức và huấn luyện về bảo mật thơng tin cịn hạn chế.
- Ứng dụng IPCAS chưa hồn thiện.
Qua tìm hiểu thực tế thực trạng bảo mật thông tin khách hàng trong thanh tốn trực tuyến tại Ngân hàng Nơng nghiệp và Phát triển nông thôn Việt Nam đã nhận ra được những kết quả đạt được của ngân hàng trong mảng này, cũng như tìm được những tồn tại và hạn chế trong q trình bảo
mật thơng tin khách hàng của ngân hàng. Để từ đó đưa ra các giải pháp khắc phục thực trạng hiện nay của ngân hàng.
4.1.2 Những tồn tại hiện nay
Bảo mật thông tin là một thách thức trong quản lý. Vấn đề quản lý bao gồm các chính sách bảo mật thơng tin, vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức và huấn luyện về bảo mật thông tin, hoạch định đảm bảo việc kinh doanh liên tục. Ngồi ra cịn một số tồn tại trong vấn đề kỹ thuật gồm hệ thống, công cụ, cấu trúc…
4.1.3 Nguyên nhân
- Chế độ đãi ngộ đối với đội ngũ cán bộ công nghệ thông tin ngân hàng chưa cạnh tranh được với một số ngành, lĩnh vực khác nên cịn thiếu và yếu về nguồn nhân lực.
- Trình độ cán bộ tại các chi nhánh khơng đồng đều, một số cịn hạn chế nên khi tiếp nhận và vận hành hệ thống mới còn nhiều lúng túng, nhầm lẫn.
- Cơ sở hạ tầng truyền thơng cịn nhiều hạn chế về tốc độ, chất lượng đường truyền ảnh hưởng bất lợi tới chất lượng công việc.
4.1.4 Vấn đề cần giải quyết
- Xây dựng hệ thống thanh toán trực tuyến ổn định và đề án phục hồi thảm họa; chính sách và quy trình quản lý thay đổi, kiểm tốn hệ thống trước khi đưa vào sử dụng.
- Xây dựng hệ thống kiểm soát và xác thực, quản lý người dùng, khả năng lưu vết (mạng, ứng dụng).
- Xây dựng chế độ chính sách mới để thu hút nhiều nhân tài trong lĩnh vực công nghệ thông tin ngân hàng.
- Cơ sở hạ tầng truyền thơng cịn nhiều hạn chế về tốc độ, chất lượng đường truyền ảnh hưởng bất lợi tới chất lượng cơng việc do đó cần nâng cấp cơ sở hạ tầng truyền thơng.
4.2 CHIẾN LƯỢC BẢO MẬT THƠNG TIN KHÁCH HÀNG TRONG THANH TỐN TRỰC TUYẾN NHỮNG NĂM TỚI
4.2.1 Định hướng phát triển của ngân hàng
Để rút ngắn khoảng cách về công nghệ thông tin ngân hàng với các nước trong khu vực và trên thế giới, ngân hàng chú trọng phát triển công nghệ thông tin theo chuẩn mực quốc tế với nguồn vốn hợp lý và đầu tư có trọng điểm trên cơ sở cơ cấu lại tỷ lệ đầu tư các lĩnh vực công nghệ thông tin (phần cứng, phần mềm, mạng và viễn thông), ưu tiên cho đào tạo, coi trọng các sản phẩm đầu tư trí tuệ, sản phẩm phần mềm nhằm mục tiêu phấn đấu đến năm 2010, tất cả các nghiệp vụ ngân hàng chủ yếu được tự động hoá.
Để tạo nền tảng cơ sở kỹ thuật vững chắc cho việc mở rộng các dịch vụ thanh tốn khơng dùng tiền mặt và phát triển các dịch vụ ngân hàng mới thì ưu tiên hàng đầu trong phát triển công nghệ tin học ngân hàng trong giai đoạn tiếp theo là nâng cấp, hồn thiện hệ thống thanh tốn quốc gia. Để đảm bảo an toàn và hạn chế rủi ro cho hoạt động ngân hàng, cần chú trọng ứng dụng hiệu quả các thành tựu công nghệ thông tin trong công tác thanh tra, giám sát, kiểm soát.
Xây dựng hệ thống ổn định và đề án phục hồi thảm họa; hệ thống kiểm soát và xác thực, quản lý người dùng, khả năng lưu vết (mạng, ứng dụng) ; chính sách và quy trình quản lý thay đổi, kiểm tốn hệ thống trước khi đưa vào sử dụng.
Cơng nghệ thơng tin sẽ phải thay đổi quy trình xử lý, vận hành để phù hợp với thời đại. Từ đó giá thành giao dịch càng rẻ để tăng khả năng cạnh tranh.
4.2.2 Mục tiêu phát triển của hệ thống tin học ngân hàng
Xây dựng hệ thống công nghệ thơng tin tự động hóa cao là mục tiêu của hiện đại hóa ngân hàng từ đó giảm lao động thủ cơng, bố trí lại lao động.
Xây dựng hệ thống CNTT: quy mơ phát triển, hiện đại, có khả năng xử lý của một ngân hàng lớn trong khu vực. Xây dựng hệ thống CNTT hàng đầu trong nước.
Tác động đến nhận thức, hành động, thay đổi cách nghĩ, cách làm trong kinh doanh bằng hệ thống công nghệ thơng tin hiện đại.
Xây dựng CNTT theo mơ hình xử lý tập trung, ổn định, tốc độ xử lý nhanh.
4.2.3 Định hướng phát triển công nghệ bảo mật tại ngân hàng
4.2.3.1 Triển khai chương trình ứng dụng bảo mật mới
Lựa chọn giải pháp Secure Computing Safeword để thực hiện chính sách bảo mật mới. Safeword bảo mật tất cả các kết nối từ xa vào hệ thống mạng trung tâm của ngân hàng. Ngân hàng cũng đòi hỏi xác thực mạnh bằng Safeword cho tất cả những phiên giao dịch như chuyển tiền chẳng hạn. Xác thực hai yếu tố bằng Safeword đẩy mạnh việc phát triển kinh doanh của ngân hàng và trở thành một điểm chính để thu hút khách hàng.
Hơn nữa Safeword đơn giản hóa việc truy cập cho người dùng và nhà quản trị như là công việc hằng ngày. Với chỉ một danh định người dùng và số pin duy nhất, người dùng không cần phải nhớ nhiều mật khẩu cùng lúc.
Safeword bảo vệ thông tin ngân hàng thông qua một kiến trúc ngang hàng thực sự, điều này có nghĩa là một máy chủ có thể nhân bản theo thời gian thực đến một máy chủ khác trong mạng, do đó ln ln một phiên bản sao chép cho máy chủ quản lý việc xác thực. Bất kỳ một thay đổi trên bất kỳ máy chủ nào đều được tự động cập nhật cho những máy chủ cịn lại. Đó là cấp độ đáng tin cậy nhất của hệ thống, quyết định khả năng dẫn đầu trong thị trường trong công nghệ của Safeword. Người dùng sẽ không bao giờ bị từ chối kết nối bởi hệ thống máy chủ lỗi, và có thể tiết kiệm cho doanh nghiệp
hàng ngàn thậm chí hàng triệu dollar.
Ngân hàng chọn Safeword bởi vì sức mạnh bảo mật và giảm thiểu rủi ro cho các kiểu tấn công khác nhau. “Mật khẩu cố định quá dễ mất, và rất cần thiết để biết ai là người thực sự kết nối vào hệ thống, những hành vi và phạm vi hoạt động của họ như thế nào”, theo lời của người phát ngôn của ngân hàng.
Ngân hàng cũng nhận thấy Safeword dễ dàng sử dụng, hỗ trợ tích hợp với nhiều hệ thống, mở rộng không giới hạn, và khả năng chịu lỗi cao.
4.2.3.2 Tổ chức quản lý và sử dụng trang thiết bị