CHƯƠNG 1 : CƠ SỞ LÝ THUYẾT VỀ MOBILE BANKING
3.2. GIẢI PHÁP ĐỐI VỚI EXIMBANK
3.2.5. Giảm rủi ro của Mobile Banking
Các biện pháp tăng cường tính bảo mật
Vấn đề bảo mật trong thanh toán điện tử từ lâu đã được xem là vấn đề sống còn được đưa ra xem xét đầu tiên khi ngân hàng muốn phát triển một loại hình dịch vụ mới nào. Khách hàng sử dụng Mobile Banking ngồi mục đích tiện lợi, nhanh chóng cịn giúp khách hàng hạn chế việc sử dụng tiền mặt, tránh rủi ro mất cắp...Do đó, dịch vụ Mobile Banking cần mang lại cho khách yếu tố niềm tin, cảm nhận rằng Mobile Banking ít rủi ro hơn các hình thức giao dịch khác. Để giảm thiểu rủi ro cho khách hàng, ngân hàng cần phải đầu tư cơ sở hạ tầng công nghệ dịch vụ ngân hàng điện tử với các biện pháp bảo mật cao, phòng ngừa rủi ro từ tin tặc, hacker...tạo tâm lý an toàn cho khách hàng. Đa dạng hóa, nâng cấp các phương pháp xác thực để đảm bảo tính bảo mật cao nhất cho khách hàng, tạo tâm lý an toàn khi giao dịch.
Phương pháp xác thực bảo mật: Đối với dịch vụ Mobile Banking hiện tại
của Eximbank, việc xác thực giao dịch chỉ thực hiện bằng một phương pháp bảo mật duy nhất đối với khách hàng là mật khẩu giao dịch tĩnh, điều này sẽ có những rủi ro nhất định nếu người khác đoán được hoặc lấy cắp được mật khẩu giao dịch. Do đó, Eximbank nên triển khai thêm các phương thức xác thực khác như một số ngân hàng đã triển khai (HSBC, ACB, VIB...): phương thức xác thực hai lần, tức là khách hàng sẽ thực hiện giao dịch khi đáp ứng đủ hai phương thức xác thực gồm: mật khẩu tĩnh để đăng nhập hợp lệ và lớp xác thực thứ hai qua mật
khẩu OTP One Time Password) được cung cấp qua SMS hoặc thiết bị bảo mật Token (thiết bị sinh mã xác thực ngẫu nhiên OTP). Trong đó thiết bị Token là một trong những thiết bị hỗ trợ bảo mật được khách hàng tin tưởng, Token PIN yêu cầu khách hàng phải nhập mã PIN thì mới sinh được OTP (mã PIN giống như mật khẩu tĩnh, khách hàng phải ghi nhớ). Ngoài ra, Token là thiết bị điện tử cầm tay nhỏ gọn ln đi cùng với khách hàng, thuộc quyền kiểm sốt của chủ tài khoản nhiều hơn, giúp chủ động phòng chống, đồng thời đối tượng tấn công nếu chiếm được Token thì cũng khó thực hiện được giao dịch do khơng có mã PIN. Ngồi ra, để an tồn và phịng chống hình thức tấn cơng Man-In-The- Middle, nhà cung cấp dịch vụ có thể cung cấp cho khách hàng các loại thiết bị Token PIN - có tính năng sinh OTP dạng thách thức/ đáp ứng (Challenge/Response). Giải pháp này yêu cầu khi thực hiện giao dịch khách hàng phải nhập một vài thông tin như số tiền, số tài khoản và số PIN (gọi là các thách thức) vào thiết bị để sinh OTP, sau đó khách hàng gửi mã OTP để hệ thống xác thực. Nếu có bất kỳ thay đổi thơng tin nào trên đường truyền thì hệ thống sẽ xác thực sai, vì khi hệ thống xác thực tính tốn với những thơng tin đã được sửa đổi thì sẽ ra một số OTP khác với số OTP mà khách hàng gửi đi. Như vậy, với giải pháp Token PIN thì nhà cung cấp dịch vụ và khách hàng có thể hạn chế được các rủi ro phát sinh.
Hiện nay, trên thế giới còn áp dụng các phương pháp xác thực bảo mật có tính an toàn cao hơn như xác thực áp dụng các phương pháp nhận diện sinh trắc học (Biometrics), mơ hình xác thực này dựa trên các đặc điểm sinh học cá nhân của khách hàng trong đó sử dụng các biện pháp xác thực như nhận diện dấu vân tay, quét võng mạc mắt, nhận diện giọng nói, nhận dạng khn mặt… Nhờ sự tiến bộ của khoa học công nghệ, các phương pháp trên đang dần được phổ biến trên thế giới như phương pháp nhận diện bằng dấu vân tay.
Ngoài ra để bảo đảm an tồn thơng tin khách hàng, Ngân hàng cũng cần áp dụng toàn diện các biện pháp an ninh, bảo mật, từ các biện pháp kỹ thuật công nghệ cho tới cách tổ chức quản lý và hành chính. Trước hết đề cập đến một số biện pháp kỹ thuật công nghệ:
Tổ chức an ninh bảo mật mạng nội bộ (Intranet) nghiêm ngặt (có thể bố trí các loại tường lửa; hệ thống chống xâm nhập trái phép; hệ thống quản trị mạng, quản trị tài nguyên mạng; mã hóa đường truyền...)
Thực hiện các biện pháp phòng và chống virus, mã độc, phần mềm gián điệp, phần mềm ăn cắp thông tin, phishing...
Chú trọng bảo vệ cơ sở dữ liệu khách hàng (có thể thực hiện mã hóa, bảo mật CSDL...)
Thực hiện các biện pháp phịng, chống ăn cắp thơng tin khách hàng trên các thiết bị điện thoại di động (có thể kết hợp tặng phần mềm diệt virus cho điện thoại...)
Thường xuyên đánh giá an ninh bảo mật, phát hiện lỗ hổng bảo mật và có biện pháp khắc phục kịp thời; Áp dụng các biện pháp xác thực đa yếu tố trong giao dịch khách hàng
Tổ chức quản trị phần mềm ứng dụng; Chú trọng phân quyền và quản lý người sử dụng hệ thống
Xây dựng và vận hành hệ thống dự phịng (bao gồm cả dự phịng nóng và dự phịng thảm họa)
Các biện pháp đối với khách hàng
Liên quan đến vấn đề bảo mật thì người sử dụng là một nhân tố không thể thiếu để tăng cường hoạt động phòng chống rủi ro trong giao dịch ngân hàng điện tử. Do đó, cần tư vấn, hướng dẫn khách hàng các biện pháp nhằm giảm thiểu rủi ro đến mức có thể:
Bảo vệ mật khẩu: Khách hàng nên đổi mật khẩu sớm nhất có thể khi vừa
nhận được thơng tin kích hoạt dịch vụ để đảm bảo an tồn trong q trình sử dụng. Tuyệt đối không tiết lộ cho người khác biết. Mật khẩu không nên dùng các mật khẩu dễ đoán như ngày sinh, số điện thoại, tên hoặc một phần tên. Nên thay đổi mật khẩu thường xuyên, ít nhất 1 tháng/lần. Không viết mật khẩu ra giấy hoặc những nơi người khác dễ nhìn thấy.
Phịng ngừa các ứng dụng điện thoại chứa mã độc: việc tải ứng dụng
Mobile Banking về điện thoại phải cẩn thận, tốt nhất làm theo hướng dẫn Eximbank để tránh tải về những ứng dụng giả chứa mã độc. Trong quá trình sử dụng cũng lưu ý tránh tải những ứng dụng lạ có thể chứa mã độc hoặc phần mềm gián điệp lấy cắp thông tin mật khẩu giao dịch…