5. Kết cấu Khóa luận
2.2. Thực trạng rủi ro trong giao dịch qua Internet banking tại các
Việt Nam
2.2.1. Tình hình an tồn thơng tin nói chung
Theo Thơng tấn xã Việt Nam, tính từ đầu năm 2017 đến ngày 8/9/2017, Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) đã ghi nhận và điều phối xử lý 1.762 sự cố website lừa đảo (Phishing); 4.595 sự cố về phát tán mã độc (Malware); 3.607 sự cố tấn công thay đổi giao diện (Deface). Nguy hiểm hơn, VNCERT đã phân tích các hành vi của mã độc thu được, phát hiện ra 71 tên miền và 17 địa chỉ IP máy chủ điều khiển mã độc (C&C server) đặt bên ngoài lãnh thổ,
(báo VietTime, 2017). Điều này cho thấy diễn biến khó lường của vấn đề an ninh mạng và an tồn thơng tin nói chung tại Việt Nam.
14000 12000 10000 8000 6000 4000 2000 0
Biểu đồ 2.9: Thiệt hại do virus gây ra tại Việt Nam (đơn vị: Tỷ đồng)
Nguồn Chương trình đánh giá an ninh mạng thường niên của Bkav
Theo báo cáo vào tháng 12/2017 của Bkav, năm 2017, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 12.300 tỷ đồng, tương đương 540 triệu USD, vượt xa mốc 10.400 tỷ đồng của năm 2016. Theo thống kê của Bkav, riêng trong năm 2017, có hơn 40% website tại Việt Nam tồn tại lỗ hổng có thể bị xâm nhập, khai thác; hơn 23.000 máy tính tại Việt Nam nhiễm loại mã độc đào tiền ảo; hơn 1.900 máy tính có chứa mã độc WannaCry và hơn 52% máy tính tồn tại lỗ hổng có thể bị tấn cơng bởi mã độc này...
Gần đây nhất, theo báo Nhân dân (04/2018) tại buổi Diễn tập quốc tế APCERT, Trung tâm Ứng cứu sự cố máy tính Việt Nam (VNCERT) cho biết: chỉ trong hai tháng đầu năm 2018, đã có 1.504 sự cố tấn cơng mạng vào Việt Nam dưới ba hình thức: tấn cơng thay đổi giao diện (Deface), cài mã độc (Malware) và lừa đảo (Phishing). Cũng theo các số liệu mà đơn vị này có được, Việt Nam lần lượt xếp ở vị trí thứ Tư và thứ Năm trong danh sách Tốp 10 quốc gia bị kiểm sốt bởi mạng máy tính "ma" và Tốp 10 quốc gia bị tấn công tấn cơng từ chối dịch vụ DoS. Trước
đó, báo cáo chỉ số an ninh mạng toàn cầu (GCI) năm 2017 của Liên minh Viễn thông quốc tế (ITU) xếp hạng Việt Nam ở vị trí 100 (giảm 25 bậc so với báo cáo thường niên năm 2016).
Có thể thấy, tình trạng ngày càng nghiêm trọng của vấn đề an tồn thơng tin mạng tại Việt Nam đang ở mức đáng báo động. Không chỉ số tiền thiệt hại do các vụ tấn cơng mạng tăng lên liên tục, vị trí trên các bảng xếp hạng về mức độ an tồn thơng tin mạng của Việt Nam cũng thay đổi một các tiêu cực. Cần ngay lập tức có những biện pháp cải thiện mơi trường thơng tin trên mạng internet để đảm bảo an toàn cho mỗi cá nhân, tổ chức khi giao dịch và làm việc với mơi trường mạng tồn cầu.
2.2.2. Thực trạng rủi ro trong giao dịch qua Internet banking tại Việt Nam
Tài chính ngân hàng là lĩnh vực rất nhạy cảm. Các tác động tiêu cực đến lĩnh vực này sẽ trực tiếp ảnh hưởng đến độ ổn định và các yếu tố quan trọng khác của nền kinh tế. Do đó, các tổ chức tín dụng ngày nay phải chịu trách nhiệm nhiều hơn với sự an tồn thơng tin và tài sản cho khách hàng của mình. Vấn đề an tồn bảo mật đã khơng cịn là vấn đề riêng của từng từng ngân hàng trong thời đại kết nối và hội nhập này.
Tuy nhiên, thực trạng là vấn đề an tồn thơng tin trong ngân hàng nói chung và an tồn trong giao dịch qua Internet banking tại các NHTM Việt Nam hiện nay còn nhiều bất ổn, thiếu an toàn. Dưới đây là một số vấn đề mà hệ thống Internet banking của ngân hàng thường gặp phải trong quá trình vận hành.
-
Lỗi đường truyền đối với các dịch vụ Internet của hệ thống Internet banking gặp sự cố khiến giao dịch điện tử bị chậm, thậm chí là khơng hoạt động gây ra rủi ro trong giao dịch. Khi gặp lỗi này, khách hàng không thể thực hiện được các giao dịch hoặc phải thực hiện với thời gian dài hơn nhiều so với thông thường, khi sử dụng dịch vụ Internet banking. Nếu đúng lúc cần giao dịch ngay lập tức khách hàng sẽ buộc phải chuyển sang sử dụng các phương thức giao dịch trực tiếp truyền thống
hoặc chuyển sang dùng tài khoản ngân hàng khác (nếu có). Điều này không chỉ làm mất thời gian, cơng sức mà cịn gây ra tâm lý bực bội, hoang mang cho các khách hàng sử dụng dịch vụ, gây mất niềm tin của khách hàng đối với dịch vụ Internet banking cũng như hình ảnh của ngân hàng.
Vào ngày 21/4/2016, khách hàng Vietcombank không thể thực hiện các giao dịch qua ATM, Internet banking cũng như các giao dịch trực tuyến khác do đường truyền mạng liên quan đến hệ thống Internet của Vietcombank hoạt động không ổn định. Sau đó Vietcombank phải tạm ngưng các giao dịch để xử lý triệt để lỗi này.
Ngày 02/03/2018 ngân hàng VietinBank xảy ra lỗi đường truyền, khiến các giao dịch chuyển tiền liên ngân hàng của khách hàng không thể thực hiện mặc dù có thơng báo xác nhận chuyển tiền. Ơng Trần Cơng Quỳnh Lân, Phó tổng giám đốc, Giám đốc Trung tâm Công nghệ thông tin VietinBank, cho biết lỗi đường truyền xảy ra khi tín hiệu từ hệ thống của ngân hàng đến Công ty Cổ phần Thanh toán quốc gia Việt Nam (Napas) bị lỗi vật lý, tiền chuyển ra ngoài ngân hàng bị chậm, nhưng vẫn được đảm bảo an toàn. Tuy vậy, sự cố này khiến khơng ít khách hàng gặp khó khăn khi cần thực hiện giao dịch gấp, và khơng hài lịng.
Nhiều ngân hàng khác như VP bank (5/6/2015), BIDV (26/12/2013)... cũng đã xảy ra loại rủi ro trong giao dịch này.
- Bị tấn công vào lỗ hổng bảo mật
Tấn công vào lỗ hổng hổng bảo mật là việc tin tặc phát hiện ra một hoặc nhiều lỗ hổng trong hệ thống bảo mật (lỗi lập trình, lỗi phần mềm...) rồi thực hiện tấn cơng vào lỗ hổng đó thơng qua virus, mã độc... nhằm chiếm quyền điều khiển từ xa, đánh cắp những thông tin quan trọng như thông tin thẻ tín dụng, thơng tin đăng nhập và thông tin tài khoản ngân hàng của khách hàng.
Tại Việt Nam, rủi ro trong giao dịch do bị tin tặc tấn cơng nói chung cũng như tấn cơng vào lỗ hổng bảo mật nói riêng rất hiếm gặp. Vụ tấn cơng tiêu biểu nhất của phương thức này có thể kể đến là vụ tấn công vào lỗ hổng bảo mật OpenSSL Heartbleed năm 2014. Lỗ hổng bảo mật Heartbleed là một lỗ hổng nằm trong phần
mềm Open SSL, một phần mềm bảo mật phổ biến, sử dụng phương pháp mã hóa SSL để đảm bảo an tồn cho việc truyền tải thơng giao dịch. Lỗ hổng cho phép tin tặc đột nhập vào các máy chủ sử dụng OpenSSL, lấy đi những dữ liệu nhạy cảm như thông tin tài khoản ngân hàng, thẻ tín dụng, và các giao dịch trực tuyến khác của người dùng.
Tại Việt Nam, có 15 website Internet banking của các ngân hàng bị tấn cơng trong đó có cả những ngân hàng lớn như Vietinbank, VCB... Khi phát hiện ra vấn đề này, các khách hàng sử dụng dịch vụ Internet banking đều rất hoang mang, vì mức độ tổn thất của các vụ tấn công loại này tại các ngân hàng trên thế giới là rất lớn. Tuy nhiên, tại các NHTM Việt Nam, hacker có thể lợi dụng được lỗ hổng bảo mật OpenSSL Heartbleed nhưng cũng không thể chọc thủng được hệ thống an ninh của hệ thống thơng tin ngân hàng vì giải pháp bảo mật trong giao dịch của ngành ngân hàng là một nhóm các giải pháp tích hợp như ngồi việc sử dụng giao thức - cịn sử dụng hạ tầng khóa cơng khai (PKI), thiết bị sinh khóa theo từng lần giao dịch (OTP). Vì vậy đã khơng có rủi ro nghiêm trọng nào xảy ra đối với hệ thống thông tin mạng của các NHTM tại Việt Nam khi đó. Tuy nhiên, ngay sau khi sự cố xảy ra, các NHTM đã lập tức nâng cấp hệ thống OpenSSL lên phiên bản mới nhất nhằm đảm bảo an tồn cho hệ thống Internet banking.
Nhận xét chung, tình hình rủi ro trong giao dịch qua Internet banking tại Việt Nam ngày càng trở nên phức tạp và có diễn biến khó lường. Ngồi những rủi ro thông thường như hệ thống bị quá tải hay lỗi đường truyền thì đã xuất hiện những rủi ro liên quan đến bảo mật thông tin, khiến khách hàng vốn đã e ngại về việc sử dụng dịch vụ công nghệ nay càng thêm cân nhắc hơn. Mặc dù rủi ro trong giao dịch chưa phổ biến và chưa gây ra thiệt hại ở mức độ nghiêm trọng về tài sản của khách hàng cũng như ngân hàng, nhưng trước những diễn biến có chiều hướng tiêu cực của mơi trường an ninh mạng thế giới cũng như Việt Nam, không thể khẳng định rằng trong thời gian tới các tội phạm mạng không nhắm vào các NHTM Việt Nam để thực hiện các hành vi phạm pháp. Bởi vậy, các ngân hàng vẫn phải tiếp tục nâng cấp chất lượng đường truyền, công nghệ bảo mật cũng như trình độ của nhân viên
để có thể bảo vệ một cách tốt nhất hệ thống Internet banking của mình vì lợi ích của khách hàng, lợi ích của ngân hàng cũng như toàn bộ nên kinh tế.
2.3. Thực trạng quản lý rủi ro trong giao dịch qua Internet banking tại các NHTM Việt Nam
2.3.1. Phòng ngừa rủi ro trong giao dịch qua Internet banking 2.3.1.2. Góc độ quản lý nhà nước
Do những diễn biến khó lường của tội phạm cơng nghệ nói chung và tội phạm trong lĩnh vực ngân hàng nói riêng mà các cơ quan quản lý nhà nước ngày càng đặt mối quan tâm sâu sắc lên lĩnh vực an ninh mạng. Những hậu quả nặng nề trên số lượng lớn người dùng bị ảnh hưởng đã thúc đẩy việc nghiên cứu áp dụng nhiều biện pháp phòng - chống - khắc phục các sự cố về an tồn thơng tin. Thời gian gần đây, các cơ quan có thẩm quyền đã hoạt động tích cực trong nội dung này, cụ thể:
- Xây dựng hệ thống cơ sở pháp lý
Nền tảng pháp lý là một trong những hạ tầng quan trọng cần được quan tâm khi phát triển các dịch vụ NHĐT. Trong thời gian quan, cơ quan quản lý trực tiếp hoạt động của hệ thống NHTM Việt Nam - Ngân hàng nhà nước đã có nhiều cơng văn chỉ thị nhằm đảm bảo an tồn thơng tin cho người dùng, đồng thời u cầu các ngân hàng có những biện pháp chặt chẽ trong quản lý thông tin. Các văn bản liên quan đến vấn đề này có thể kể ra là:
+ Quyết định 35/2006/ QĐ-NHNN về các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử do Thống đốc Ngân hàng nhà nước ban hành.
+ Quyết định 29/2008/ QĐ-NHNN về bảo trì hệ thống trang thiết bị tin học trong ngành ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành.
+ Thơng tư 29/2011/TT-NHNN quy định về an tồn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Ngân hàng Nhà nước Việt Nam ban hành
+ Thông tư 31/2015/TT-NHNN Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành.
+ Chỉ thị 03/CT-NHNN năm 2017 về tăng cường đảm bảo an ninh, an tồn trong thanh tốn điện tử và thẻ do Ngân hàng Nhà nước Việt Nam ban hành.
- Thành lập các trung tâm chứng thực
Nhằm xác thực thơng tin thể nhân, pháp nhân, từ đó xác định rõ các bên tham gia thực hiện giao dịch, tránh các trường hợp đánh cắp nhân dạng, mạo danh người dùng. Nhờ đó, nâng cao tính minh bạch, an toàn của các giao dịch điện tử, giúp khách hàng yên tâm hơn khi sử dụng Internet banking của ngân hàng.
Một số trung tâm chứng thực ở Việt Nam hiện nay:
+ Trung tâm hỗ trợ chứng thực chữ ký số quốc gia - thành lập tháng 6/2008 + Trung tâm chứng thực tập trung và thanh toán - thành lập ngày 18/07/2011 + Trung tâm chứng thực điện tử quốc gia - thành lập ngày 30/12/2016
- Nâng cao nhận thức và kỹ năng phòng chống rủi ro trong giao dịch cho người dùng
Có thể nói, đây là biện pháp cơ bản trong việc phòng chống rủi ro ở bất cứ lĩnh vực nào. Việc nhận thực đầy đủ và được trang bị những kỹ năng cần thiết giúp những người trong cuộc (khách hàng và nhân viên ngân hàng) - những người trực tiếp thực hiện giao dịch giúp ngăn chặn rủi ro ngay từ ban đầu. Giáo dục và truyền thông nhằm nâng cao nhận thức cho các đối tượng liên quan luôn được coi là một biện pháp hiệu quả.
Do đó các nội dung cơ bản hoặc chuyên sâu về an tồn thơng tin, an ninh mạng, bảo mật hệ thống... đã lần lượt được đưa vào trương trình giảng dạy của nhiều trường đại học, cao đẳng trên toàn quốc. Các môn chuyên sâu được đưa vào nội dung học tập của các ngành đặc thù về công nghệ thơng tin. Cịn đối với các chun ngành khác, sinh viên đóng vai trị như người dùng Internet banking của ngân hàng , thì các kiến thức về an tồn thơn tin và giao dịch an toàn tổng quát được đưa vào học phần tin học đại cương hoặc các môn học tương đương. Ở cấp cao hơn, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) trực tiếp tổ chức và giảng
dạy nhiều khóa học chun mơn nghiệp vụ an tồn thơng tin cho các Bộ ngành như Bộ Tài chính, Bộ Nội vụ, Bộ VHTT&DL, Bộ Công an (Trường T36), Bộ Giao thông Vận tải (Vietnam Airline)...
Ngoài ra, thời gian gần đây, nhiều hoạt động chuyên ngành trong lĩnh vực an tồn thơng tin cũng thường xuyên được tổ chức nhằm nâng cao kỹ năng chuyên môn và thực tế cho đa dạng các đối tượng tham gia. Có thể kể đến:
+ Diễn tập an ninh mạng: được tổ chức hằng quý bởi BKAV (gần đây nhất diễn ra vào 09/05/2018 - với gần 150 đơn vị tham gia bao gồm các cơ quan, ngân hàng và doanh nghiệp - được đánh giá là có quy mơn lớn nhất từ trước đến nay)
+ Diễn tập ứng cứu sự cố an ninh mạng quốc tế ACID: Tổ chức thường niên với các chủ đề khác nhau, có sự tham gia của nhiều quốc gia (gần đây nhất là sự kiện ngày 11/09/2017 với sự tham gia của 10 nước ASEAN và 5 nước đối thoại gồm Nhật Bản, Hàn Quốc, Trung Quốc, Ản Độ và Úc.)
+ Các Hội thảo về an ninh mạng: Với nhiều nội dung chuyên sâu khác nhau, các cuộc hội thảo được tổ chức rất thường xuyên hằng năm trở thành nơi trao đổi, tư vấn hữu ích về an tồn thơng tin. Có thể kể đến như:
Hội thảo - Triển lãm Quốc gia về An ninh bảo mật (Security World 2018) - do Hội Truyền thông số Việt Nam và Hiệp hội Điện toán đám mây Châu Á (ACCA) tổ chức ngày 08/05/208
Hội thảo “Kinh tế số và Chính sách an ninh mạng Việt Nam” đã được Hội Truyền thông số Việt Nam kết hợp với Phòng Thương mại Hoa Kỳ tổ chức ngày 29/03/2018
Hội thảo Cộng hòa Séc - Việt Nam về “An ninh mạng chủ động” tổ chức ngày 15/05/2018