CHƢƠNG 1 : TỔNG QUAN VỀ DỊCH VỤ NGÂN HÀNGĐIỆN TỬ
2.2. Thực trạng các điều kiện cho sự phát triển của dịch vụ ngân hàngđiện
tại các NHTM trên địa bàn TP.HCM
2.2.1. Điều kiện pháp lý
Bên cạnh tuân thủ Luật của ngành ( Luật các tổ chức tín dụng) thì dịch vụ ngân hàng điện tử chịu 3 khung pháp lý chủ yếu là Luật giao dịch điện tử (29/11/2005), Luật công nghệ thông tin (29/06/2006) và Luật viễn thông (23/11/2009). Và để thực hiện nó thì chính phủ, Bộ Tài chính, Bộ Thơng tin và Truyền thơng cịn ban hành thêm một số nghị định, thông tư liên quan. Cụ thể:
Nghị định số 57/2006/NĐ-CP về Thương mại điện tử.
Nghị định số 27/2007/NĐ-CP về giao dịch điện tử trong hoạt động tài chính.
Nghị định số 97/2008/NĐ-CP vể quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet.
Nghị định số 77/2012Nđ-CP về chống thư rác.
Nghị định số 101/2012/ND-CP về thanh tốn khơng dùng tiền mặt.
Nghị định số 106/2011ND-CP sửa đổi bổ sung nghị định số 26/2007 ND-CP về chữ ký số và dịch vụ chứng thực số.
Thông tư liên tịch số 10/2012/TTLT-BCA-BQP-BTP-BTTTT-VKSNDTC- TANDTC hướng dẫn áp dụng quy định của Bộ luật dân sự về một số tội phạm trong lĩnh vực CNTT và truyền thông.
Trên đây chỉ là một vài Nghị định, Thơng tư điển hình, ngồi ra khung pháp lý cho Thương mại điện tử Việt Nam cũng như giao dịch điện tử trong ngành Ngân hàng-cụ thể là dịch vụ ngân hàng điện tử về cơ bản đã được định hình với những khía cạnh khác nhau. Vấn đề đặt ra bây giờ là làm thế nào để những người tham gia sử dụng nó nắm vững và tuân thủ theo những quy định này trong các văn bản pháp luật.
2.2.2. Điều kiện công nghệ
Corebanking
Để đáp ứng việc quản lý chặt chẽ, đầy đủ, vận hành nhanh và cung cấp nhiều lựa chọn cho khách hàng qua nhiều kênh phân phối: Internet, ATM, POS (Point of sale), Mobile, SMS, Phone thì yêu cầu Corebanking của ngân hàng phải hiện đại. Mà điều này thì phụ thuộc vào vốn và kinh nghiệm của mỗi ngân hàng nên các NHTMVN gặp nhiều khó khăn và quản lý khơng đồng đều. Có ngân hàng ứng dụng cơng nghệ ở mức thấp - chi phí khoảng 200 ngàn đến dưới 500 ngàn USD. Có ngân hàng ứng dụng công nghệ ở mức độ cao – chi phí lên tới 5 triệu USD nhưng chưa sử dụng hết các tính năng.
Hiện nay, tại 34 NHTM sử dụng 7 hệ thống Corebanking khác nhau (tham khảo phụ lục 4). Cụ thể như sau:
Biểu đồ 2.9: Corebanking tại các NHTMVN
Đơn vị tính: %
Nguồn: Vietnam banking technology report (2012)http://banking.org.vn/hn2012/images/stories/home/bk_vietnam.pdf
Qua biểu đồ trên cho thấy mỗi ngân hàng lựa chọn cho mình một Corebanking khác nhau. Chính sự khác nhau về hệ thống Corebanking mà giao diện, sản phẩm của mỗi ngân hàng cũng mang những đặc trưng riêng và mang tính cạnh tranh. Tuy nhiên, dù dùng hệ thống Corebanking nào thì vẩn phải tuân thủ yêu cầu quản lý của NHNN.
Theo website xếp hạng corebanking http://www.inntron.com/core_banking.html vào tháng 09/2013thìtrong các hệ thống corebanking ở trênTemenos xếp thứ hai trong 40 corebanking được xếp hạng, tiếp theo đó là, I-Flex: Flexcube Microbanker của Oracle xếp vị trí thứ ba, Siliver Lake thứ mười một, Polaris thứ tám, Sungard Ambit thứ mười ba và OSI: TCBS thứ hai mươi ba, cịn Huyndai thì khơng nằm trong bảng xếp hạng này. 23% 12% 29% 12% 6% 9% 9% Temenos: T24 OSI: TCBS I-Flex: Flexcube, Microbanker Sungard Ambit: System Access Polaris Siliver Lake Hyundai
An ninh, bảo mật
Khi giao dịch qua ngân hàng điện tử vấn đề mà khách hàng lo ngại là sợ máy tính vị nhiễm virus, bị cài phần mềm ăn cắp thông tin và tiền bị chuyển vào tài khoản khác. Do vậy, một số ngân hàng sử dụng phương thức xác thực khi giao dịch là:
Xác thực dựa trên định danh người sử dụng (Username) và mật khẩu
(Password)
Sự kết hợp của một cặp Username và Password là cách xác thực phổ biến nhất hiện nay. Với phương thức xác thực này, thông tin cặp username và password nhập vào được đối chiếu với dữ liệu đã được lưu trữ trên hệ thống. Nếu thông tin trùng khớp thì người sử dụng được xác thực, cịn nếu khơng người sử dụng bị từ chối hoặc cấm truy cập. Phương thức xác thực này có tính bảo mật khơng cao, vì thơng tin cặp Username và Password dùng đăng nhập vào hệ thống mà khách hàng gửi đi xác thực là trong tình trạng ký tự văn bản, tức khơng được mã hóa và có thể bị chặn bắt trên đường truyền, thậm chí ngay trong q trình nhập vào: Password cịn có thể bị lộ do đặt quá đơn giản hoặc dễ đoán. Hẩu hết khi khách hàng đăng nhập vảo sử dụng Internetbanking thì bước đầu tiên là sử dụng username và password để đăng nhập. Nhằm đảm bảo an toàn khi đăng nhập một số ngân hàng có thêm thao tác sử dụng bàn phím ảo.
OTP SMS (One time password short message service)
Mật khẩu sử dụng một lần, được phát sinh ngẫu nhiên qua hệ thống ngân hàng và gửi đến số điện thoại đăng ký dịch vụ của khách hàng khi khách hàng thực hiện giao dịch.
OTP Token(One time password Token)
Là thiết bị phát sinh mật khẩu dùng một lần do ngân hàng phát hành. Trên thiết bị có một nút nhỏ dùng để tạo ra mật khẩu dùng một lần là dãy số gồm 06 con số.
Khi thực hiện giao dịch, khách hàng chọn xác thực lệnh theo phương thức xác thực OTP Token, ngoài việc xác nhận mật khẩu đăng nhập, hệ thống còn yêu cầu nhập vào dãy số hiện ra trên thiết bị OTP Token khi khách hàng bấm vào nút nhỏ trên thiết bị này và nhập dãy số này vào để xác nhận giao dịch. Trên mỗi thiết bị OTP Token đều có một dãy số seri. Khi khách hàng đăng ký sử dụng OTP Token, nhân viên ngân hàng sẽ thực hiện đăng ký số seri kết nối với tài khoản Online của khách hàng. Hệ thống sẽ kiểm tra tính hợp lệ của mật khẩu phát sinh từ thiết bị thông qua số seri này.
OTP Matrix
Là một tấm thẻ ma trận do ngân hàng phát hành dùng để xác thực giao dịch. Trên thẻ có in một bảng ma trận số gồm 64 ô số (8x8) được phát sinh theo nguyên tắc ngẫu nhiên, an tồn, khó đốn trước. Mỗi tấm thẻ có một bảng ma trận khác nhau và có in một số seri. Khi khách hàng đăng ký sử dụng thẻ, nhân viên ngân hàng sẽ thực hiện đăng ký số seri kết nối với tài khoản Online của khách hàng. Hệ thống sẽ nhận dạng thẻ này thuộc khách hàng nào thông qua số seri này. Sau khi đăng ký thẻ ma trận, mỗi lần thực hiện giao dịch, khi xác thực lệnh hệ thống yêu cầu khách hàng nhập vào 03 cặp số ngẫu nhiên từ thẻ ma trận và khách hàng nhập các giá trị trên thẻ này vào để xác nhận giao dịch.
2.2.3. Điều kiện con ngƣời
Khả năng tiếp thu công nghệ, mức sống của người dân, thói quen sử dụng dịch vụ
Việt Nam là một nước đang phát triển với cơ cấu dân số trẻ, chất lượng cuộc sống cũng như trình độ dân trí của người dân ngày một được nâng cao. Chính vì vậy mà khả năng tiếp thu công nghệ của người dân khơng cịn hạn chế như trước. Đặc biệt ở những thành phố lớn, nơi tập trung một lượng lớn những lao động trẻ thì đây khơng cịn là một rào cản cho dịch vụ NHĐT.
Đồng thời hiểu được tầm quan trọng của phát triển CNTT trong nâng cao chất lượng cuộc sống nên Bộ Thông tin- Truyền thông cũng đã triển khai nhiều đề án nhằm phổ biến CNTT tới từng người dân. Mặt khác, tổ chức đào tạo, tập huấn nâng cao nhận thức, đẩy mạnh ứng dụng CNTT trong quản lý cũng như trong đời sống nên người dân ngày càng được tiếp cận với công nghệ hiện đại.
Tuy nhiên, thói quen sử dụng tiền mặt đã tồn tại từ rất lâu đối với người dân Việt Nam thật sự là một hạn chế lớn cho sự phát triển của dịch vụ NHĐT. Mặc dù vậy, vì những bất tiện khi mang theo tiền mặt (cướp giật, trộm cắp) nên càng ngày người dân càng thay đổi dần thói quen tiêu dùng của mình. Đây là một tín hiệu đáng mừng cho thị trường ngân hàng điện tử.
Nguồn nhân lực của ngân hàng. (i) Số lượng
Cung cho ngành ngân hàng
Theo thống kê của NHNN, đến năm 2012, tổng số nguồn nhân lực trong ngành ngân hàng 180,000 người, trong đó làm việc trong hệ thống NHNN hơn 6,000 người, số còn lại làm việc trong các ngân hàng thương mại và Quỹ tín dụng nhân dân.
Hiện tại cung về số lượng lực lượng lao động trong lĩnh vực Tài chính- Ngân hàng đã vượt xa nhu cầu thực tế của các tổ chức tài chính - tín dụng, nhất là trình độ
cử nhân. Theo số liệu của Viện Nhân lực Ngân hàng tài chính (BTCI) và tập đồn HayGroup, lượng sinh viên trong ngành ra trường trong năm học 2012- 2013 khoảng 29,000 người đến 32,000 người và đến năm 2016 là 61,000 người.
Trên đây là số liệu thống kê cho cả nước, cịn tại TP.HCM có 14 trường đại học, 9 trường cao đẳng có đào tạo ngành Tài chinh- ngân hàng . Điều này cho thấy rằng, hàng năm tại TP.HCM số lượng sinh viên tốt nghiệp ngành Tài chính- Ngân hàng là rất lớn. Các NHTM khơng phải lo lắng về tình hình thiếu hụt nhân lực do nguồn cung dồi dào. Vấn đề đặt ra là chất lượng của nguồn nhân lực này như thế nào?
Cầu của ngành ngân hàng
Trong số 29,000 đến 32,000 sinh viên tốt nghiệp trong năm 2012-2013 thì số lượng sinh viên tuyển dụng chỉ khoảng từ 15,000 đến 20,000 người.
Còn theo Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị trường lao động TPHCM (Falmi), trong giai đoạn từ 2013-2015 thì bình qn mổi năm thành phố có nhu cầu 280,000-300,000 chỗ làm việc thì ngành Tài chinh- Ngân hàng chiếm 3% tức khoảng 8,400-9,000 người.
(ii) Chất lượng
Tân cử nhân Tài chinh- Ngân hàng
Nguồn nhân lực của các cơ sở đào tạo (Đại học/Học viện) chưa đáp ứng được nhu cầu và gặp nhiều hạn chế như:
Một là, khả năng giao tiếp, kỹ năng thuyết trình, kỹ năng viết; kỹ năng làm việc theo nhóm; kỹ năng lắng nghe, kỹ năng ứng xử.
Hai là, do khơng được tiếp cận với thực tế, khơng ít tân cử nhân vào vị trí cơng việc khơng biết bắt đầu từ đâu, các thao tác rất lúng túng, hiệu năng công việc không cao, ở một chừng mục nhất định đã hạn chế tính năng động sáng tạo trong công việc được được giao.
Ba là, trình độ tiếng anh chưa đạt yêu cầu nếu phải phục vụ các khách hàng nước ngoài.
Nhân viên ngân hàng
Nhìn chung, các nhân viên ngân hàng hiện tại đều rất năng động, nhiệt tình, trình độ chun mơn, kỷ năng nghề nghiệp khá tốt, đáp ứng được sự phát triển của ngành ngân hàng trong thời gian qua. Tuy nhiên, theo nhận định của nhiều chuyên gia về đào tạo, nguồn nhân lực ngành ngân hàng hiện vẫn có một thực tế là vừa yếu, vừa thiếu, cụ thể: Khối kiến thức bổ trợ (tin học, ngoại ngữ) yếu; kiến thức chuyên môn, và kỹ năng giao tiếp hạn chế. Hầu hết các NHTMCP quy mơ trung bình trở xuống thiếu đội ngũ quản trị điều hành, lãnh đạo cấp chi nhánh, phịng giao dịch. Trình độ chun mơn, khả năng phân tích, am hiểu luật pháp và độc lập xử lí các vấn đề thực tế không cao, hầu như chỉ làm tác nghiệp, thiếu tầm nhìn chiến lược, thiếu khả năng lập dự án, kĩ năng giao tiếp. Do vậy, sự thiếu hụt nguồn nhân lực chất lượng cao đang là một vấn đề lớn cho các NHTM.
Theo các chuyên gia dự báo đến năm 2015, nhu cầu nhân lực cấp cao ngành tài chính- ngân hàng cả nước khoảng 94,000 người, năm 2020 là 120,900 người. Nếu các cơ sở đào tạo không thay đổi chiến lược đào tạo nguồn nhân lực thì đến năm 2015, lực lượng lao động chất lượng cao trong ngành sẽ thiếu trầm trọng.
Riêng đối với dịch vụ NHĐT một số ngân hàng đã có bộ phận hoạt động riêng, một số ngân hàng khác thì chưa mở rộng bộ phận này. Vì tại những ngân hàng này dịch vụ này chỉ mới được triển khai gần đây nên công tác tuyển chọn nhân viên cịn gặp khó khăn hoặc chuyển nhân viên từ bộ phận khác qua.
2.3. Thực trạng rủi ro dịch vụ ngân hàng điện tử tại các NHTM trên địa bàn TP.HCM
Hiện tại các giao dịch ngân hang điện tử tại Việt Nam cũng như tại TP.HCM đang ở những bước đầu của sự phát triển và vẫn còn mới mẻ nên còn chiếm tỷ trọng nhỏ trong hoạt động của ngân hàng. Điều này dẫn đến việc quan tâm tới vấn đề quản lý rủi ro trong hoạt động ngân hang điện tử chỉ đang ở giai đoạn đầu. Một
trong những rủi ro thường xảy ra cho dịch vụ NHĐT là rủi ro giao dịch do những bất ổn về an ninh mạng tại Việt Nam. Số lượng máy tính, website, ĐTDĐ bị tấn công và nhiễm virus tại Việt Nam là khá lớn, đây là một mối de dọa cho dịch vụ NHĐT.
Bảng 2.8: Tình hình an ninh mạng tại Việt Nam
2011 2012
Số máy tính bị nhiễm virus (Đvt: triệu lượt) 64.2 70.2
Số virus mới xuất hiện trong năm (Đvt: loại) 38,961 42,602
Số website của cơ quan, doanh nghiệp bị tấn công (Đvt: website)
2,245 2,203
Virus tấn công điện thoại di động (Đvt: mẫu) 3,700 34,094
Nguồn: Báo cáo an ninh mạng của Bkav tạihttp://www.bkav.com.vn/tin_tuc_noi_bat/-/view_content/content/169198/tong-
ket-tinh-hinh-an-ninh-mang-nam-2012.htm
Chỉ trong vòng hai năm mà số lượng máy tính nhiễm virus tăng nhanh chóng, đồng thời số virus mới xuất hiện trong năm cũng tăng 3641 loại từ năm 2011 đến năm 2012. Đáng lo ngại nhất là virus tấn công ĐTDĐ tăng một cách đột biến tăng gần 10 lần, một con số đáng báo động cho những ai sử dụng ĐTDĐ và cũng là nguy cơ cho việc triển khai ứng dụng Mobile Banking.
Cũng theo một khảo sát của Công ty An ninh mạng Bkis thực hiện trên hệ thống ngân hàng qua Internet (Internet banking) của 20 ngân hàng thương mại Việt Nam cho thấy 100% các hệ thống đều tồn tại lỗ hổng an ninh mạng.
Bảng 2.9: Nguy cơ/lỗ hổng trên hệ thống Internet Banking tại 20NHTMVN
Nguy cơ/lỗ hổng Rủi ro Biện pháp khắc phục
Xử lý dữ liệu đầu
vào
SQL Injection
Hacker có thể lấy cắp thơng tin về khách hàng chỉ bằng cách vấn tin thơng thường
Kiểm sốt tốt dữ liệu đầu vào Chọn sử dụng Store Procedure
Cross Site Scripting (XSS)
Hacker có thể thực thi được một đoạn mã độc trên máy tính của người dủng từ việc lợi dụng tính năng chuyển tiền qua website
Kiểm soát tốt dữ liệu đầu vào Sử dụng thêm các hàm encode, HTML_entires
Malicious File Uploading
Hacker có thể tấn cơng trực tiếp vào hệ thống hosting nhờ lợi dụng tính năng “Góp ý, khiếu nại” trên website
Kiểm tra kỹ phần mở rộng file của khách hàng đính kèm. Phân quyền chặt chẽ trên hosting
Xử lý logic
Authentication
Hacker lợi dụng qáu trình xác nhận thơng tin của hệ thống để lấy cắp dữ liệu trong hệ thống
Truyền các thông tin nhạy cảm qua session thay vì parameters Kiểm tra session và tài khoản tương ứng
Cross Site Request Forgery
(CSRF)
Hacker lừa người sử dụng để chuyển tiền cho chúng bằng cách vơ tình click vào một đường link có chứa đoạn mã thực hiện lệnh chuyển tiền
Các tác vụ nhạy cảm phải sử dụng CAPTCHA
Sử dụng thêm hard token, PKI
Môi trƣờng và hệ điều hành Bản vá phần mểm Các nhà cung cấp phần mềm thường công khai lỗ hổng và hacker có thể khai thác từ đây
Thường xuyên cập nhật bản vá Nắm bắt tình hình an ninh mạng thường xuyên để có thể phịng tránh các lỗ hổng ZeroDay Cấu hình hệ thống chưa tốt Do không đồng bộ các tiến trình nên có thể có những chức năng thừa vẫn được kích hoạt và hacker có thể lợi dụng
Phải kiểm tra thường xuyên và liệt kê về an ninh thông tin, loại bỏ các chức năng không cần thiết
Quy trinh, vận hành Lộ số tài khoản, lộ thơng tin cá
nhân, vơ hiệu hóa tài khoản
Thực thi theo tiêu chuẩn về an tồn thơng tin ISO 27001