2.3 RỦI RO TRONG HOẠT ĐỘNG NGÂN HÀNG ĐIỆN TỬ TẠ
2.3.1 Tình hình an ninh mạng của BIDV
Thực hiện triển khai chiến lược CNTT Giai đoạn 2011 – 2015, tầm nhìn đến năm 2020 nhằm đáp ứng các mục tiêu, yêu cầu cụ thể của CNTT đối với các hoạt động ngân hàng ngày càng phát triển, lớn mạnh. Các hoạt động CNTT trong năm 2012 của BIDV đã bám sát kế hoạch kinh doanh. Giai đoạn 2011 – 2015, chiến lược phát triển kinh doanh đến 2020, kế hoạch hành động gắn với phương án tái cơ cấu BIDV giai đoạn 2012 – 2013 và định hướng đến 2015 phục vụ công tác lập kế hoạch và triển khai dự án CNTT hàng năm.
Hệ thống CNTT đảm bảo công tác quản trị, vận hành hệ thống an toàn hiệu quả. Hệ thống ngân hàng lõi Corebanking của BIDV được vận hành an toàn, ổn định, đã bao trùm hầu hết các hoạt động nghiệp vụ, cơ sở dữ liệu tập trung, giao
dịch trực tuyến, hệ thống thanh toán được đánh giá tốt nhất Việt Nam với trên 95% được xử lý tự động.Hệ thống an ninh bảo mật được triển khai đồng bộ đảm bảo an ninh đối với hoạt động CNTT và hoạt động ngân hàng. Hệ thống dự phòng, cơ sở hạ tầng CNTT được xây dựng phù hợp với tiêu chuẩn quốc tế, đảm bảo sự an toàn, khả năng khắc phục sự cố.
Bên cạnh các ứng dụng nghiệp vụ cơ bản trên hệ thống CoreBanking, hệ thống thanh toán, BIDV đã và đang thực hiện triển khai các dự án CNTT đầu tư vào các hệ thống phần mềm ứng dụng phục vụ công tác phát triển sản phẩm dịch vụ và các công cụ hỗ trợ công tác quản trị điều hành.
BIDV đã đưa vào triển khai chính thức dịch vụ Ngân hàng điện tử (Internet Banking Mobile Banking – IBMB) đem lại cho khách hàng nhiều tiện ích với các dịng sản phẩm BIDV Online, BIDV Mobile, BIDV Business Online đa dạng hóa sản phẩm dịch vụ thẻ như thẻ tín dụng quốc tế Mastercard Platinum, thẻ ghi nợ Mastercard, thẻ ghi nợ quốc tế BIDV Ready, triển khai chấp nhận thanh toán thẻ MasterCard trên ATM và P.O.S,… những sản phẩm – dịch vụ nhiều tiện ích này đáp ứng yêu cầu ngày càng cao của khách hàng trong kỷ nguyên thương mại điện tử, góp phần nâng cao uy tín, thương hiệu BIDV.
Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) và Công ty TNHH PricewaterhouseCoopers Việt Nam (PwC) ký hợp đồng triển khai Dự án “Tư vấn đánh giá chuyển đổi hệ thống công nghệ thông tin (CNTT) tại BIDV”.Theo đó,
PwC sẽ tiến hành khảo sát và đánh giá hiện trạng hệ thống CNTT của BIDV trong việc đáp ứng chiến lược kinh doanh hiện tại và tương lai cũng như các yêu cầu từ Ban quản trị. Trên cơ sở đánh giá hiện trạng của hệ thống, xu hướng phát triển, các ứng dụng CNTT trong ngành tài chính và ngân hàng trên thế giới, PwC sẽ phối hợp với BIDV xây dựng những mục tiêu, chiến lược, lộ trình và kế hoạch triển khai đúng đắn cho công tác chuyển đổi hệ thống CNTT tại ngân hàng.
Mục tiêu của BIDV nhằm: Chuyển đổi, nâng cấp toàn bộ hệ thống CNTT của BIDV một cách bài bản, toàn diện; Cho phép BIDV quản lý hoạt động, nghiệp vụ phức tạp hơn và quản trị rủi ro tốt hơn; Chuẩn hóa hoạt động của ngân hàng tại các địa bàn khác nhau (cả phạm vi tỉnh, vùng miền, và quốc gia); Chuẩn hóa và kiểm sốt tốt hơn các quy trình kinh doanh; Đáp ứng một cách hiệu quả hơn các yêu cầu
và quy định tuân thủ từ các tổ chức quốc tế, Chính phủ Việt Nam, Bộ Tài chính, Ngân hàng Nhà nước. Đồng thời, các mục tiêu hỗ trợ quan trọng khác cũng được đề ra, bao gồm: Triển khai các chiến lược tăng trưởng một cách hiệu quả hơn; Gia tăng tốc độ tiếp cận, phát triển, khai thác thị trường; Tăng năng suất lao động; Tăng lợi nhuận biên…
2.3.2 Một số trƣờng hợp rủi ro trong hoạt động ngân hàng điện tử tại BIDV:
2.3.2.1Rủi ro hệ thống công nghệ thông tin:
Hệ thống công nghệ thông tin tiềm ẩn một số rủi ro nhất định đối với hoạt động kinh doanh ngân hàng. Các rủi ro có thể đến từ việc BIDV sử dụng phần mềm, hỗ trợ công nghệ, đường truyền, hệ thống cung cấp từ nhiều đơn vị cung cấp khác nhau, từ việc vận hành sai, không tuân thủ chặt chẽ quy trình theo dõi, kiểm sốt, bảo mật an ninh, an toàn hệ thống hay từ các rủi ro đến từ thiên tai, hỏa hoạn, rủi ro từ việc tấn cơng mạng (hacker)…
Để phịng ngừa và hạn chế các rủi ro hệ thống công nghệ thông tin, trong những năm qua, cùng với việc phát triển nguồn nhân lực CNTT hợp lý, BIDV không ngừng đầu tư trang thiết bị, xây dựng một hệ thống CNTT hoàn chỉnh. BIDV cũng là một trong những ngân hàng đầu tiên tại Việt Nam có Trung tâm dự phòng sử dụng hệ thống máy chủ dự phịng và cơng nghệ lưu trữ với các giải pháp tiên tiến nhất, đảm bảo hoạt động của Ngân hàng liên tục kể cả khi xảy ra các thảm họa về thiên tai và các thảm họa khác. Công tác quản trị và vận hành các hệ thống CNTT tại BIDV được thực hiện và kiểm sốt chặt chẽ theo hệ thống quy trình, quy định được ban hành và định kỳ rà sốt, cập nhật.
2.3.2.2Rủi ro tác nghiệp:
Rủi ro tác nghiệp là loại rủi ro có thể xuất hiện trong hầu hết các hoạt động của ngân hàng, đây là rủi ro cố hữu, gắn liền với hoạt động ngân hàng nhưng lại rất khó lường. Rủi ro tác nghiệp có thể xuất phát từ yếu tố con người, do sơ hở trong các quy trình tác nghiệp, sự yếu kém trong hệ thống thông tin, hệ thống kiểm sốt nội bộ.
Để phịng ngừa và giảm thiểu rủi ro tác nghiệp, BIDV đã thực hiện quản lý rủi ro tác nghiệp theo 7 nhóm rủi ro, đồng thời thực hiện chuẩn hóa các quy trình
nghiệp vụ theo tiêu chuẩn ISO 9001: 2008. Bên cạnh đó, các quy trình liên quan đến tuyển dụng, đào tạo, thanh tra đánh giá nội bộ, quản lý thông tin khách hàng,…. Cũng liên tục được chuẩn hóa và cập nhât kịp thời cho phù hợp với tìhn hình hoạt động thực tiễn
2.3.2.3Rủi ro trong hoạt động thẻ:
Thứ nhất, về lại hình/thủ đoạn rủi ro gian lận tại BIDV:
- Đối với hoạt động phát hành thẻ: Theo số liệu của Tổ chức thẻ quốc tế VISA và số liệu thống kê tại BIDV, loại hình thơng tin thẻ bị lợi dụng (Account Use) tiếp tục là loại hình rủi ro chính phát sinh tại BIDV trong 6 tháng đầu năm 2013, thể hiện tăng cao trong Quý II năm 2013. Ngoài ra, phát sinh thêm 01 loại hình rủi ro gian lận nội bộ (cán bộ nghiệp vụ thẻ lợi dụng chức năng nhiệm vụ để thực hiện giao dịch khi khơng có hồ sơ thực tế nhằm mục đích trục lợi cá nhân). Trong 06 tháng đầu năm 2013, Tổ chức thẻ Quốc tế VISA đã gửi tới BIDV 10 cảnh báo, liên quan đến một số sự cố tấn công đánh cắp dữ liệu tại các hệ thống ĐVCNT, liên quan đến 07 thẻ tín dụng của BIDV; Tiểu ban Quản lý rủi ro, Hội thẻ Ngân hàng có thơng báo BIDV có 53 thẻ ghi nợ do BIDV phát hành có nguy cơ bị lộ thông tin do giao dịch tại máy ATM (của Ngân hàng khác) bị đánh cắp dữ liệu. Qua số liệu và thực tế công tác xác minh giao dịch với khách hàng trong 06 tháng đầu năm 2013 cho thấy loại hình thơng tin thẻ bị lợi dụng (Account Use) sẽ còn tiếp tục gia tăng.
Hình 2.1: Loại hình gian lận trong hoạt động phát hành thẻ tại BIDV
Nguồn: Báo cáo tổng hợp tình hình rủi ro gian lận thẻ trong 6 tháng đầu năm 2013 – BIDV
- Đối với hoạt động thanh toán thẻ:
+ Đối với hoạt động thanh toán thẻ qua POS: Theo số liệu của Tổ chức thẻ quốc tế VISA và số liệu thống kê tại BIDV, loại hình Đơn vị chấp nhận thẻ chấp nhận thẻ giả (Counterfeit) và Thẻ bị đánh cắp/thất lạc (Lost/Stolen) là 02 loại hình rủi ro chủ yếu phát sinh trong 6 tháng đầu năm 2013 do tác động của xu hướng chung tại Việt Nam (các nhóm tội phạm người nước ngoài mang thẻ giả vào sử dụng tại Việt Nam/nhóm tội phạm trong nước tự sản xuất thẻ giả và thực hiện các giao dịch gian lận).
+ Đối với hoạt động thanh toán thẻ qua ATM:
Theo thống kê tại BIDV, trong 6 tháng đầu năm 2013, phát sinh loại hình gian lận ATM bị tấn công để lấy tiền/phá hoại máy ATM (ATM Attacks) (01 trường hợp). Tuy nhiên chỉ có thiệt hại về tài sản (máy ATM), không gây tổn thất về tiền trong máy ATM.
Loại hình gian lận ATM bị tấn công để đánh cắp dữ liệu (ATM Skimming) đã giảm sau khi các ngân hàng triển khai đồng loạt các biện pháp chống đánh cắp dữ liệu, lắp đặt camera giám sát tại các địa điểm đặt máy ATM và cài đặt hệ thống báo động tại ATM từ cuối năm 2011, đầu năm 2012. Tuy nhiên, sang Quý II/2013 loại hình này đã xuất hiện trở lại và kẻ gian tấn công cả những ATM đã được trang bị thiết bị chống đánh cắp dữ liệu và chương trình chống đánh cắp dữ liệu. Tháng 6/2013, tại BIDV vừa phát hiện một trường hợp kẻ gian tấn công, cắt thiết bị chống đánh cắp dữ liệu (FDI – màu xanh, lắp ở trước khe đọc thẻ) với mục đích lắp đặt thiết bị đánh cắp dữ liệu nhưng khơng thành cơng.
Hình2.2: Loại hình gian lận trong hoạt động phát hành thẻ tại BIDV
Nguồn: Báo cáo tổng hợp tình hình rủi ro gian lận thẻ trong 6 tháng đầu năm 2013 – BIDV
Tỷ lệ gian lận giả mạo/Tổng doanh số (FSV)
Thứ hai, về tỷ lệ rủi ro gian lận/ tổng doanh số (FSV – Fraud to Sale Volume)
- Tỷ lệ FSV mảng phát hành thẻ: Trong 06 tháng đầu năm 2013, tỷ lệ rủi ro gian lận/ tổng doanh số của BIDV là 0.00019% với giá trị rủi ro xấp xỉ 374.4 triệu đồng. So sánh với số liệu cùng kỳ năm 2012, tỷ lệ gian lận/tổng doanh số Quý I giảm 33.85% và Quý II tăng 310%, do gia tăng trong loại hình thơng tin thẻ bị lợi dụng. Tỷ lệ gian lận/tổng doanh số Quý II năm 2013 giảm 4.65% so với Quý I năm 2013. - Tỷ lệ FSV mảng thanh toán thẻ: Trong 06 tháng đầu năm 2013, tỷ lệ rủi ro gian
lận/tổng doanh số của BIDV là 0.00071% với tổng giá trị rủi ro xấp xỉ 431.7 triệu đồng. So sánh với số liệu cùng kỳ năm 2012, tỷ lệ gian lận/tổng doanh số Qúy I giảm 82.91% và Qúy II giảm 57.27%. Tỷ lệ gian lận/tổng doanh số giảm dần trong 02 quý I (FSV là 0.00094%), II (FSV là 0.00047%) và giảm 50%. Tỷ lệ FSV mảng thanh toán thẻ của BIDV ở mức thấp, trong ngưỡng an tòan cho phép theo quy định của Tổ chức thẻ Quốc tế VISA (dưới 1%/mỗi quý và ngưỡng tiền cảnh báo là 0.65%/mỗi quý).
Hình 2.3: Tỷ lệ gian lận giả mạo/Tổng Doanh số mảng phát hành và thanh toán thẻ tại BIDV
Qúy I_12 Qúy II_12 Qúy III_12 Qúy IV_12 I_2013Qúy 2_2013Qúy
BIDV ACQ 0.0055 0.0011 0.002 0.0005 0.00094 0.00047
BIDV ISS 0.0013 0.0002 0 0.0004 0.00086 0.00082
Nguồn: Báo cáo tổng hợp tình hình rủi ro gian lận thẻ trong 6 tháng đầu năm 2013 – BIDV T ỷ lệ ( 63
Thứ ba, trên cơ sở thông tin cảnh báo từ Tiểu ban Quản lý rủi ro thuộc Hội
thẻ Ngân hàng Việt Nam và thực tế tại BIDV về việc phát hiện kẻ gian gắn thiết bị đọc trộm dữ liệu thẻ (skimming) lên máy ATM
Thủ đoạn:
- Kẻ gian gắn thiết bị đọc trộm dữ liệu (skimming) lên thiết bị anti-skimming ở phía ngồi đầu đọc thẻ của máy ATM để đánh cắp dữ liệu thẻ. Trong đó, thiết bị skimming rất nhỏ gọn, có cùng màu sắc với thiết bị anti-skimming, không che ánh sáng đèn của khe cắm thẻ nên khách hàng rất khó nhận biết. Đồng thời, kẻ gian gắn thiết bị camera lên máy ATM để đọc trộm PIN.
2.3.2.4Thủ đoạn lừa và đánh cắp thông tin trực tuyến:
- Thông tin vụ việc:Một số khách hàng nhận được thư điện tử mạo danh một số tổ chức có uy tín, có những dấu hiệu nghi ngờ như địa chỉ email người gửi không thuộc tổ chức bị mạo danh, nội dung thông thông báo khơng có thực, nội dung thư chứa một số đường dẫn lạ. Đây chính là hình thức lừa đảo đánh cắp thơng tin trực tuyến – Phishing.
- Về Thủ đoạn lừa đánh cắp thông tin trực tuyến (Phishing):
+ Định nghĩa Phishing: Phishing là hình thức lừa đảo nhằm đánh cắp thông tin nhạy cảm của người dùng như mật khẩu, thông tin cá nhân, thẻ... thơng qua các hình thức như thư điện tử, tin nhắn, banner quảng cáo trực tuyến, thanh công cụ giả trong các trình duyệt…Kẻ gian sau đó lợi dụng thơng tin đánh cắp được để thực hiện giao dịch gian lận, giả mạo.
+ Thủ đoạn thường gặp:
o Mạo danh một tổ chức uy tín gửi thư điện tử, gọi điện cho người dùng. Địa chỉ email người gửi có tên miền khơng thuộc tổ chức bị mạo
danh
o Nội dung thư gửi hoặc thông báo tới người dùng thường bao gồm:
Thơng báo có tính chất thu hút (thơng báo trúng giải, nhận được tiền..) hoặc có tính chất đe dọa, khẩn cấp (thông báo bị phạt, thiệt hại tài chính, tài khỏan bị trừ tiền..). Từ đó gợi ý người dùng nhấn vào các đường dẫn kèm theo thư để xem thông tin chi tiết.
Các đường dẫn liên kết đến các website giả mạo, có hình thức giống như website thật của các tổ chức bị mạo danh. Tại đây, yêu cầu người dùng nhập thông
tin, dựa trên ý đồ của hacker về loại thông tin cần thu thập. Ngòai ra, khi người dùng nhấn vào các đường dẫn, cịn có khả năng bị nhiễm virus, mã độc chạy ngầm trong máy, để chiếm quyền điều khiển, đánh cắp dữ liệu.
2.4 THỰC TRẠNG HẠN CHẾ RỦI RO TRONG HOẠT ĐỘNG NGÂNHÀNG ĐIỆN TỬ TẠI NHTMCP ĐẦU TƢ VÀ PHÁT TRIỂN VIỆT HÀNG ĐIỆN TỬ TẠI NHTMCP ĐẦU TƢ VÀ PHÁT TRIỂN VIỆT NAM – BIDV:
2.4.1 Các biện pháp quản lý rủi ro trong hoạt động Ngân hàng điện tử tại BIDV: BIDV:
2.4.1.1 Những kết quả đã đạt đƣợc tại BIDV:
BIDV cũng đã từng đạt 02 giải thưởng “Ngân hàng nội địa cung cấp dịch vụ quản lý tiền tệ tốt nhất” (Best overall domestic cash management services) và “Ngân hàng cung cấp dịch vụ quản lý tiền tệ xuyên biên giới tốt nhất” (Best overall cross-border cash management services) do Tạp chí Asiamoney tổ chức năm 2012. Đồng thời, giải pháp Thu chi hộ điện tử của BIDV cũng là sản phẩm duy nhất của hệ thống ngân hàng Việt Nam nằm trong Top 10 Sản phẩm Vàng Việt Nam 2012 do Cục Sở hữu trí tuệ (Bộ khoa học và cơng nghệ), Hội sở hữu trí tuệ Việt Nam, Viện sở hữu trí tuệ, Hội bảo vệ người tiêu dùng phối hợp tổ chức.
Với những thế mạnh sẵn có, cùng sự cải tiến và chuyển mình mạnh mẽ, đặc biệt là hoạt động hiện đại hóa cơng nghệ thơng tin trong 3 năm trở lại đây, BIDV đã xuất sắc vượt qua nhiều Ngân hàng, được Hội đồng chuyên gia đánh giá, thẩm định và xếp hạng là Ngân hàng cung cấp dịch vụ Quản lý tiền tệ tốt nhất của năm 2013. Giải thưởng căn cứ trên cơ sở 3 tiêu chí chính: Yếu tố cải tiến, khác biệt so với các sản phẩm/dịch vụ khác; Tính hiệu quả đối với thị trường; Sự linh hoạt trước cơ hội thay đổi/cải tiến.
Quản lý tiền tệ là dòng sản phẩm bao gồm các dịch vụ thu chi hộ, điều chuyển vốn, quản lý dòng tiền, thu ngân sách nhà nước, thanh tốn hóa đơn... Ngồi ưu thế về hệ thống mạng lưới rộng khắp tại 63 tỉnh thành, BIDV đã có bước chuyển mình mạnh mẽ trong việc cung cấp giải pháp tài chính tồn diện cho khách hàng và đặc biệt là có sự hỗ trợ đắc lực của hoạt động công nghệ thông tin.
Bên cạnh các kênh thu hộ truyền thống như tại quầy, tại địa điểm chỉ định của khách hàng, BIDV đã mở rộng các hình thức Thu hộ đa kênh khác như Ngân hàng
điện tử (Internet Banking, Mobile Banking), ATM, nhờ thu tự động theo danh sách, thu hộ liên ngân hàng và tiến tới thu hộ trên chính website của khách hàng (thí điểm cho khối trường học trên cả nước). Thu hộ đa kênh tạo tiện ích tối đa cho người nộp/chuyển tiền linh hoạt lựa chọn các hình thức thu hộ của BIDV, hỗ trợ đắc lực