5. Kết cấu Khóa luận
1.3.2. Kinh nghiệm hạn chế rủi ro trong giao dịch qua Internet banking của một
một số quốc gia
Có thể thấy rủi ro đến từ các dịch vụ có trên Internet banking là rất lớn, có quy mơ tồn cầu với những hậu quả nặng nề dành cho cả người dùng lẫn ngân hàng. Khơng chỉ gây ra tổn thất về tài chính, danh tiếng và niềm tin của người dùng dành cho ngân hàng cũng bị suy giảm đáng kể.
Đối mặt với vấn đề này, các ngân hàng nói riêng cũng như chính phủ các nước đã có nhiều biện pháp nâng cao tính bảo mật cho hệ thống cũng như đưa ra các khuyến cáo khuyến nghị cho khách hàng.
Bổ sung quyền lợi cho người dùng và quy định chặt chẽ về mã hóa thơng tin
GDPR quy định về quyền lợi của người dùng (trong đó người dùng được trao các quyền: (i) quyền lựa chọn có muốn chia sẻ dữ liệu hay không; (ii) quyền được lãng quên - khi di chuyển dữ liệu khỏi công ty, họ được quyền yêu cầu các công ty không sử dụng dữ liệu về họ nữa, hoặc xóa hẳn dữ liệu về người dùng này,... Hay việc yêu cầu cao hơn về Mã hóa dữ liệu: (i) Đề xuất yêu cầu các cơng ty mã hóa dữ liệu nhạy cảm cả trong lúc di chuyển và lúc nghỉ. (ii) Yêu cầu các công ty xử lý hoặc lưu giữ thông tin nhận dạng cá nhân của công dân EU thực thi đầy đủ các biện pháp bảo mật để bảo vệ dữ liệu cá nhân khỏi bị đánh cắp; (iii) Yêu cầu các công ty phải thực hiện những tiêu chuẩn xử lý dữ liệu mạnh hơn này trong hợp đồng với các nhà cung cấp dịch vụ bên thứ ba.
÷ Giảm thiểu đối đa sơ hở trong việc sử dụng thơng tin, phịng ngừa những nguy cơ đánh cắp dữ liệu và giải mã chúng.
Mức xử phạt cao
Theo GDPR, những tổ chức nào vi phạm GDPR có thể bị phạt lên đến 4% tổng doanh thu toàn cầu hàng năm hoặc khoảng 21,952 triệu USD (20 triệu bảng Anh - tùy theo con số nào lớn hơn).
Cơng ty có thể bị phạt 2% nếu khơng có hồ sơ hợp lệ (điều 28), khơng thông báo với cơ quan giám sát và chủ thể dữ liệu về một sự cố xâm phạm hoặc khơng thực hiện đánh giá tác động.
÷ Điều này có thể khiến các công ty quan tâm hơn đến việc quản lý dữ liệu người dùng, nâng cao tính bảo mật thông tin. Đây sẽ là điều kiện giúp làm giảm các cuộc trộm cắp thông tin người dùng từ các công ty thương mại.
1.3.2.2. Tại Anh
Anh là quốc gia phát triển với sự phát triển mạnh mẽ của lĩnh vực công nghệ, hiểu biết của người dân về lĩnh vực tài chính ngân hàng cũng như TMĐT cao. Dù vậy, hệ thống tài chính của quốc gia này cũng khơng tránh khỏi rủi ro, gây ra bởi các hacker nguy hiểm. Tiêu biểu của sự mất an tồn thơng tin và rủi ro trong giao
dịch ở Anh có sự góp mặt của ngân hàng Tesco - với nhiều lần trở thành đối tượng của các kẻ tấn công, ăn cắp dữ liệu người dùng và tiền trong tài khoản của họ.
Sau những cuộc tấn công mạng ngày càng gia tăng tại Anh, Trung tâm an ninh mạng quốc gia (National Cyber Security Centre - NCSC) của Anh đã được thành lập năm 2016. Trung tâm này ngay lập tức đã làm việc với Ngân hàng Anh (Bank of England - BoE), sau đó chính phủ đã cơng bố nhiệm vụ ban đầu là thiết lập các tiêu chuẩn cho lĩnh vực tài chính về khả năng phục hồi đối với các loại đe dọa mạng có thể làm suy yếu nền kinh tế Anh. Theo cơ quan này công bố trên website
ncsc.gov.uk, mục đích chính của NCSC là “giảm nguy cơ an ninh mạng tại Vương
quốc Anh bằng cách cải thiện khả năng phục hồi mạng và bảo mật mạng. NCSC làm việc cùng với các tổ chức, doanh nghiệp và cá nhân tại Vương quốc Anh để cung cấp tư vấn bảo mật mạng có thẩm quyền và quản lý sự cố mạng.”
NCSC đã có rất nhiều hoạt động, chương trình nhằm nỗ lực thực hiện và khẳng định mục đích ban đầu khi được thành lập của mình. Có thể kể đến:
+ Phát triển và đề xuất các chương trình tìm kiếm và thu hút những người làm việc trong ngành thực hiện các công tác như xác định các mối đe dọa, các lỗ hổng hệ thống và phát triển các hỗ trợ để ngăn chặn các cuộc tấn công mạng.
+ Cung cấp các dịch vụ thử nghiệm phát hiện các lỗ hổng trong các trang web khu vực cơng, hỗ trợ các bộ phận thuộc chính phủ quản lý tốt hơn các email và gỡ bỏ hàng chục ngàn trang lừa đảo (phishing) ảnh hưởng đến nước Anh.
+ Các chương trình đào tạo nhân lực, cấp học bổng cho sinh viên trong lĩnh vực công nghệ thông tin/ an ninh mạng.
+ Trung tâm này cũng là cơ quan thực hiện điểu tra vụ việc tấn công mạng lớn nhất của nước Anh, khi ngân hàng Tesco bị đánh cắp 2,5 triệu Bảng (tương đương khoảng 76,8 tỷ đồng)
1.3.2.3. Tại Mỹ
Mỹ là một trong những quốc gia đi đầu trong lĩnh vực NHĐT nói chung và phát triển dịch vụ Internet banking nói riêng. Tuy nhiên, đây cũng là một trong những
quốc gia chịu ảnh hưởng nặng nề nhất của rủi do giao dịch qua Internet banking tính trên cả yếu tố khách hàng lẫn ngân hàng. Trong đó, ngun nhân chính đến từ các cuộc tấn cơng mạng bởi tin tặc, có thể trực tiếp đánh vào hệ thống thơng tin của ngân hàng, hoặc gián tiếp qua các công ty, website thương mại điện tử khác. Do đó, chính phủ, các ngân hàng cũng như người dùng tại Mỹ rất quan tâm đến vấn đề bảo mật.
- Xây dựng hệ thống cơ sở pháp lý
Có thể nói đây là một trong những nỗ lực mạnh mẽ nhất đến từ cơ quan lập pháp Hoa Kỳ, với rất nhiều đề xuất về dự luật mở rộng, ban hành đạo luật và sắc lệnh mới liên quan đến lĩnh vực an ninh mạng. Trên cơ sở 3 đạo luật cơ bản về các nguyên tắc và tiêu chuẩn an tồn thơng tin là Đạo Luật về Quyền riêng tư trong lĩnh
vực Y tế (HIPPA) năm 1996, Đạo Luật Gramm-Leach-Bliley trong lĩnh vực Tài
chính năm 1999 và Đạo Luật An ninh nội địa năm 2002, trong đó bao gồm đạo luật
Quản trị An ninh Thơng tin Liên bang (FISMA).
Tuy nhiên do 3 đạo luật trên thiếu tính cập nhật và đáp ứng chưa đầy đủ được với tình hình an ninh mạng bất ổn của thị trường công nghệ lớn hàng đầu thế giới này, một loạt các dự luật mở rộng và bổ sung đã được đề xuất, trong đó có thể kể đến: (i) các dự luật mở rộng Đạo luật Gramm-Leach-Bliley, (ii) Đạo luật bảo vệ an toàn bản thân khỏi xâm phạm mạng (Đạo luật SPY) được thông qua ngày 23/05/2005, (iii) đề xuất Gói cải cách lập pháp an ninh mạng của cựu tổng thống Obama ngày 12/05/2011, (iv) Đạo luật An ninh Mạng nhiều tranh cãi năm 2012 - nhưng khơng được thơng qua, ... Trong q trình xây dựng cơ sở pháp lý trong lĩnh vực an minh mạng không thể khơng kể đến những đóng góp khơng mệt mỏi của tổng thống Obama suốt 2 nhiệm kỳ, với Sắc lệnh Cải thiện Cơ sở hạ tầng an ninh
mạng chủ chốt (02/2013), Dự luật An ninh mạng mới (01/2015), Kế hoạch hành động an ninh quốc gia về An ninh Mạng (CNAP) (02/2016) trong đó có việc thành
- Đầu tư phát triển hạ tầng cơ sở và hệ thống bảo mật
Khoản đầu tư ngày một tăng cho việc phát triển các chương trình, phần mềm và đào tạo nhân lực trong lĩnh vực anh ninh mạng là minh chứng cho nội dung này. Cụ thể, các công việc cụ thể bao gồm nâng cấp hạ tầng cơng nghệ thơng tin; khuyến khích và hỗ trợ các ngân hàng đẩy mạnh đầu tư cho hệ thống Internet banking nói riêng và hệ thống NHĐT nói chung; ...
Các cơng nghệ bảo mật thường được áp dụng tại các NHTM của Mỹ là TLS, SSL, OpenSSL, SET (Ngồi ra cịn một số sản phẩm bảo mật khác cũng được sử dụng như PCT (Private Communication Technology) được đề xướng bởi Microsoft hay công nghệ mã khóa cơng khai (RSA)...
- Nâng cao nhận thức và tính cảnh giác của khách hàng
Nhằm đảm bảo an tồn cho khách hàng và chính ngân hàng khi thực hiện giao dịch qua Internet banking, các ngân hàng đều đưa ra những khuyến cáo cụ thể tới khách hàng. Trong đó, giải thích chi tiết và rõ ràng các hình thức mà tin tặc sử dụng để ăn cắp thông tin của khách hàng, đồng thời đưa ra các giải pháp ngăn chặn. Các ngân hàng cũng đưa ra những khuyến cáo để khách hàng tự bảo vệ máy tính của mình như: cài đặt phần mềm diệt virus, cài đặt tường lửa... để tránh bị hacker xâm nhập. Đối với tài khoản Internet banking, các ngân hàng khuyên khách hàng cần kiểm tra giám sát hoạt động tài khoản thường xuyên để phát hiện các gian lận trước đó, tạo mật khẩu mạnh và khơng ghi nhớ mật khẩu của tài khoản tại bất kì máy tính nào..