Sự kiện Banking Vietnam 2008 tổ chức tại TP. Hồ Chí Minh với chủ đề “Công nghệ Ngân hàng hiện đại với Quản trị, kinh doanh tiền tệ, tín dụng”có cuộc phỏng vấn ông Nguyễn Văn Xuân- Phó cục trưởng, Cục Công nghệ tin học, Ngân hàng Nhà Nước Việt Nam.
Theo ông vấn đề an toàn và bảo mật thông tin trong hoạt động ngân hàng cần được nhìn nhận như thế nào?
- Ông Nguyễn Văn Xuân: Với mỗi một nền kinh tế nói chung, đặc biệt là các nền kinh tế đang phát triển như Việt Nam, hệ thống ngân hàng giữ vai trò rất quan trọng, là một trong những kênh huy động và điều hòa nguồn vốn chính của nền kinh tế, đồng thời cũng là công cụ quan trọng trong việc thực hiện chính sách tiền tệ quốc gia, và quản lý kinh tế của nhà nước. Sự tăng trưởng và phát triển của hệ thống này tác động trực tiếp và mạnh mẽ đến sự tăng trưởng của toàn nền kinh tế. Đặc biệt, nhiều lĩnh vực kinh doanh mới như thương mại điện tử, bán lẻ, chứng khoán, viễn thông... phụ thuộc rất nhiều vào các dịch vụ ngân hàng. Cho nên, chỉ cần “trái gió, trở trời” thôi cũng ảnh hưởng không nhỏ đến toàn bộ hoạt động của nền kinh tế đất nước. Mặt khác, hoạt động của hệ thống rất nhạy cảm và tiềm ẩn nhiều rủi ro: rủi ro về quy trình nghiệp vụ - rủi ro tín dụng, rủi ro lãi suất, rủi ro ngoại hối, rủi ro quản trị; rủi ro về hệ thống thông tin, về con người; rủi ro liên quan đến khách hàng, đến đối tác của khách hàng...Vì thế, việc đảm bảo an toàn cho hoạt động ngân hàng nói chung và đặc biệt là bảo mật và an toàn thông tin ngân hàng luôn là một trọng tâm đối với cả hệ thống ngân hàng. Chính vì
tích hợp ngày càng sâu rộng CNTT – Truyền thông trong hoạt động ngân hàng, nhiều nghiệp vụ ngân hàng đã được tin học hoá, tự động hoá. Nhiều giao dịch ngân hàng (chuyển tiền điện tử, thẻ thanh toán và rút tiền tự động ATM, mobile banking, internet banking...) được xử lý trực tuyến trên môi trường mạng máy tính và Internet. Vì vậy, xét ở góc độ kỹ thuật, bản chất các hoạt động nghiệp vụ, dịch vụ ngân hàng liên quan mật thiết đến việc xử lý, truyền tải, lưu trữ và quản lý thông tin. Cho nên, thông tin dữ liệu của hoạt động ngân hàng trở thành một nguồn tài nguyên quan trọng của cả hệ thống ngân hàng, nguồn tài nguyên này cần được bảo vệ một cách nghiêm ngặt.
Vì thế, trong hoạt động ngân hàng thông tin không chỉ là tiền bạc mà còn hơn thế nữa. Vì trong trường hợp rủi ro bị kẻ gian đột nhập ăn cắp tiền trong quỹ, két, chúng ta có thể lượng hoá ngay được mức độ thiệt hại, tổn thất. Nhưng với các rủi ro liên quan đến an toàn thông tin, đến các cơ sở dữ liệu hoạt động ngân hàng bị xâm hại, thiệt hại sẽ rất khó đánh giá, khó thống kê được đầy đủ, kịp thời... Và hệ quả là: nếu nhẹ thì gây rối loạn, ngừng trệ các hoạt động nghiệp vụ và dịch vụ ngân hàng; nguy hại hơn có thể gây tổn hại đến lòng tin của công chúng đối với hệ thống tiền tệ - tài chính quốc gia, gây xáo trộn các hoạt động kinh tế và an sinh xã hội...
Phỏng vấn ông John Du Bois, Tổng giám đốc Senetas, tập đoàn đến từ Úc, chuyên cung cấp các giải pháp an ninh ngân hàng.
Ông cho biết vai trò của an ninh trong các hoạt động của Ngân hàng đặc biệt trong thanh toán trực tuyến ?
TL: An toàn bảo mật thông tin nói chung, thiết kế hệ thống an toàn bảo mật cho hoạt động ngân hàng nói riêng là nhằm cho hoạt động ngân hàng được vận hành tốt hơn cùng với việc đẩy mạnh triển khai ứng dụng các công nghệ mới; qua đó phát triển thêm nhiều dịch vụ tiện ích ngân hàng hiện
đại phục vụ đông đảo công chúng và sự phát triển của nền kinh tế.
Công nghệ mã hóa cao cấp rất cần thiết cho hệ thống ngân hàng. Các ngân hàng cần có công nghệ mã hóa để kết nối giữa các chi nhánh trong ngân hàng, đồng thời giữa hội sở ngân hàng với ngân hàng Trung ương để tăng cường an ninh chung cho cả hệ thống ngân hàng Việt Nam. Khi kết nối với các ngân hàng thế giới, nếu chúng ta không đảm bảo vấn đề bảo mật khi kết nối thì sẽ gặp khó khăn trong hội nhập.
Những khuyến cáo của Ngân hàng cho người sử dụng?
TL: Người sử dụng dịch vụ ngân hàng cần chọn những ngân hàng nào có cung cấp dịch vụ bảo mật tối đa cho web, điều này có được thông qua chứng nhận về bảo mật cho các ngân hàng.
Phỏng vấn ông Trịnh Quang Tuấn – Giám đốc phòng giao dịch số 10 chi nhánh Nam Thăng Long Ngân hàng Agribank
Ông cho biết thực trạng trong Bảo mật thông tin khách hàng thanh toán trực tuyến của Ngân hàng Nông nghiệp và Phát triển nông thôn Việt Nam?
TL: Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam đang triển khai hệ thống thanh toán điện tử IPCAS II tới tất cả các chi nhánh và phòng giao dịch trên toàn quốc. Thiết lập mô hình công nghệ thông tin tiêu chuẩn của Ngân hàng: Khả năng an toàn 99,99%, khả năng sẵn sàng 24/7. Đặc biệt trong giai đoạn triển khai IPCAS II này còn triển khai hệ thống xác thực chữ ký điện tử, xây dựng và vận hành hệ thống quản trị an ninh thông tin, triển khai các hệ thống công nghệ mới( các hệ thống quản trị rủi ro, quản trị quan hệ khách hàng, các hệ thống phân tích đánh giá ).
Kết luận: Qua kết quả phiếu điều tra và phỏng vấn doanh nghiệp cho ta thấy:
- Ngân hàng đã sử dụng các biện pháp để bảo mật thông tin khách hàng trong thanh toán trực tuyến. Đã cố gắng để ứng dụng các công nghệ
mới mà cụ thể là sử dụng phần mềm IPCAS trong thanh toán điện tử và bảo mật thông tin đặc biệt là thông tin khách hàng.
- Tuy nhiên vẫn còn một số hạn chế về con người, về phần mềm ứng dụng cần được khắc phục trong thời gian tới. Đặc biệt chế độ đãi ngộ đối với đội ngũ cán bộ công nghệ thông tin ngân hàng chưa cạnh tranh được với một số ngành, lĩnh vực khác nên còn thiếu và yếu về nguồn nhân lực. Trình độ cán bộ tại các chi nhánh không đồng đều, một số còn hạn chế nên khi tiếp nhận và vận hành hệ thống mới còn nhiều lúng túng, nhầm lẫn.
Cơ sở hạ tầng truyền thông còn nhiều hạn chế về tốc độ, chất lượng đường truyền ảnh hưởng bất lợi tới chất lượng công việc.
Cần cải thiện thêm về kiến trúc hệ thống phần mềm IPCAS trong mặt kiểm soát và xác thực, quản lý người dùng, khả năng lưu vết….
CHƯƠNG IV
GIẢI PHÁP BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG THANH TOÁN TRỰC TUYẾN TẠI NGÂN HÀNG NÔNG NGHIỆP
VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM 4.1 KẾT LUẬN QUA QUÁ TRÌNH NGHIÊN CỨU
4.1.1 Những kết quả đã đạt được
Trong quá trình nghiên cứu về thực trạng bảo mật thông tin khách hàng trong thanh toán trực tuyến tại Ngân hàng Agribank cho phép em đưa ra một vài kết luận như sau:
Ưu điểm:
- Ngân hàng đã tiến hành những bước hợp lý để đảm bảo bảo mật các thông tin khách hàng phù hợp với điều kiện sử dụng website của ngân hàng.
- Sử dụng các giao thức giao dịch điện tử bảo mật hiện đại SET và IPsec, phần mềm ứng dụng IPCAS.
- Bảo vệ quyền lợi của khách hàng bằng cách đảm bảo tiêu chuẩn an ninh ở mức cao nhất.
Nhược điểm: (adsbygoogle = window.adsbygoogle || []).push({});
- Cơ sở hạ tầng truyền thông còn nhiều hạn chế về tốc độ, chất lượng đường truyền.
- Vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức và huấn luyện về bảo mật thông tin còn hạn chế.
- Ứng dụng IPCAS chưa hoàn thiện.
Qua tìm hiểu thực tế thực trạng bảo mật thông tin khách hàng trong thanh toán trực tuyến tại Ngân hàng Nông nghiệp và Phát triển nông thôn Việt Nam đã nhận ra được những kết quả đạt được của ngân hàng trong mảng này, cũng như tìm được những tồn tại và hạn chế trong quá trình bảo mật thông tin khách hàng của ngân hàng. Để từ đó đưa ra các giải pháp khắc phục thực trạng hiện nay của ngân hàng.
4.1.2 Những tồn tại hiện nay
Bảo mật thông tin là một thách thức trong quản lý. Vấn đề quản lý bao gồm các chính sách bảo mật thông tin, vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức và huấn luyện về bảo mật thông tin, hoạch định đảm bảo việc kinh doanh liên tục. Ngoài ra còn một số tồn tại trong vấn đề kỹ thuật gồm hệ thống, công cụ, cấu trúc…
4.1.3 Nguyên nhân
- Chế độ đãi ngộ đối với đội ngũ cán bộ công nghệ thông tin ngân hàng chưa cạnh tranh được với một số ngành, lĩnh vực khác nên còn thiếu và yếu về nguồn nhân lực.
- Trình độ cán bộ tại các chi nhánh không đồng đều, một số còn hạn chế nên khi tiếp nhận và vận hành hệ thống mới còn nhiều lúng túng, nhầm lẫn.
đường truyền ảnh hưởng bất lợi tới chất lượng công việc.
4.1.4 Vấn đề cần giải quyết
- Xây dựng hệ thống thanh toán trực tuyến ổn định và đề án phục hồi thảm họa; chính sách và quy trình quản lý thay đổi, kiểm toán hệ thống trước khi đưa vào sử dụng.
- Xây dựng hệ thống kiểm soát và xác thực, quản lý người dùng, khả năng lưu vết (mạng, ứng dụng).
- Xây dựng chế độ chính sách mới để thu hút nhiều nhân tài trong lĩnh vực công nghệ thông tin ngân hàng.
- Cơ sở hạ tầng truyền thông còn nhiều hạn chế về tốc độ, chất lượng đường truyền ảnh hưởng bất lợi tới chất lượng công việc do đó cần nâng cấp cơ sở hạ tầng truyền thông.
4.2 CHIẾN LƯỢC BẢO MẬT THÔNG TIN KHÁCH HÀNG TRONG THANH TOÁN TRỰC TUYẾN NHỮNG NĂM TỚI
4.2.1 Định hướng phát triển của ngân hàng
Để rút ngắn khoảng cách về công nghệ thông tin ngân hàng với các nước trong khu vực và trên thế giới, ngân hàng chú trọng phát triển công nghệ thông tin theo chuẩn mực quốc tế với nguồn vốn hợp lý và đầu tư có trọng điểm trên cơ sở cơ cấu lại tỷ lệ đầu tư các lĩnh vực công nghệ thông tin (phần cứng, phần mềm, mạng và viễn thông), ưu tiên cho đào tạo, coi trọng các sản phẩm đầu tư trí tuệ, sản phẩm phần mềm nhằm mục tiêu phấn đấu đến năm 2010, tất cả các nghiệp vụ ngân hàng chủ yếu được tự động hoá.
Để tạo nền tảng cơ sở kỹ thuật vững chắc cho việc mở rộng các dịch vụ thanh toán không dùng tiền mặt và phát triển các dịch vụ ngân hàng mới thì ưu tiên hàng đầu trong phát triển công nghệ tin học ngân hàng trong giai đoạn tiếp theo là nâng cấp, hoàn thiện hệ thống thanh toán quốc gia. Để đảm bảo an toàn và hạn chế rủi ro cho hoạt động ngân hàng, cần chú trọng ứng
dụng hiệu quả các thành tựu công nghệ thông tin trong công tác thanh tra, giám sát, kiểm soát.
Xây dựng hệ thống ổn định và đề án phục hồi thảm họa; hệ thống kiểm soát và xác thực, quản lý người dùng, khả năng lưu vết (mạng, ứng dụng) ; chính sách và quy trình quản lý thay đổi, kiểm toán hệ thống trước khi đưa vào sử dụng.
Công nghệ thông tin sẽ phải thay đổi quy trình xử lý, vận hành để phù hợp với thời đại. Từ đó giá thành giao dịch càng rẻ để tăng khả năng cạnh tranh.
4.2.2 Mục tiêu phát triển của hệ thống tin học ngân hàng
Xây dựng hệ thống công nghệ thông tin tự động hóa cao là mục tiêu của hiện đại hóa ngân hàng từ đó giảm lao động thủ công, bố trí lại lao động. Xây dựng hệ thống CNTT: quy mô phát triển, hiện đại, có khả năng xử lý của một ngân hàng lớn trong khu vực. Xây dựng hệ thống CNTT hàng đầu trong nước.
Tác động đến nhận thức, hành động, thay đổi cách nghĩ, cách làm trong kinh doanh bằng hệ thống công nghệ thông tin hiện đại.
Xây dựng CNTT theo mô hình xử lý tập trung, ổn định, tốc độ xử lý nhanh.
4.2.3 Định hướng phát triển công nghệ bảo mật tại ngân hàng
4.2.3.1 Triển khai chương trình ứng dụng bảo mật mới
Lựa chọn giải pháp Secure Computing Safeword để thực hiện chính sách bảo mật mới. Safeword bảo mật tất cả các kết nối từ xa vào hệ thống mạng trung tâm của ngân hàng. Ngân hàng cũng đòi hỏi xác thực mạnh bằng Safeword cho tất cả những phiên giao dịch như chuyển tiền chẳng hạn. Xác thực hai yếu tố bằng Safeword đẩy mạnh việc phát triển kinh doanh của
ngân hàng và trở thành một điểm chính để thu hút khách hàng. (adsbygoogle = window.adsbygoogle || []).push({});
Hơn nữa Safeword đơn giản hóa việc truy cập cho người dùng và nhà quản trị như là công việc hằng ngày. Với chỉ một danh định người dùng và số pin duy nhất, người dùng không cần phải nhớ nhiều mật khẩu cùng lúc.
Safeword bảo vệ thông tin ngân hàng thông qua một kiến trúc ngang hàng thực sự, điều này có nghĩa là một máy chủ có thể nhân bản theo thời gian thực đến một máy chủ khác trong mạng, do đó luôn luôn một phiên bản sao chép cho máy chủ quản lý việc xác thực. Bất kỳ một thay đổi trên bất kỳ máy chủ nào đều được tự động cập nhật cho những máy chủ còn lại. Đó là cấp độ đáng tin cậy nhất của hệ thống, quyết định khả năng dẫn đầu trong thị trường trong công nghệ của Safeword. Người dùng sẽ không bao giờ bị từ chối kết nối bởi hệ thống máy chủ lỗi, và có thể tiết kiệm cho doanh nghiệp hàng ngàn thậm chí hàng triệu dollar.
Ngân hàng chọn Safeword bởi vì sức mạnh bảo mật và giảm thiểu rủi ro cho các kiểu tấn công khác nhau. “Mật khẩu cố định quá dễ mất, và rất cần thiết để biết ai là người thực sự kết nối vào hệ thống, những hành vi và phạm vi hoạt động của họ như thế nào”, theo lời của người phát ngôn của ngân hàng.
Ngân hàng cũng nhận thấy Safeword dễ dàng sử dụng, hỗ trợ tích hợp với nhiều hệ thống, mở rộng không giới hạn, và khả năng chịu lỗi cao.
4.2.3.2 Tổ chức quản lý và sử dụng trang thiết bị
Tổ chức hội nghị tập huấn toàn ngành về phương pháp luận, phương pháp triển khai, sử dụng phần mềm và xác định nhiệm vụ triển khai.
Tập huấn về chuẩn hóa dữ liệu
Chương trình đào tạo bám sát thực tiễn kinh doanh và yêu cầu của tiến trình phát triển, hiện đại hóa, cạnh tranh và hội nhập. Các chương trình đào tạo được xây dựng bài bản và khoa học.
4.3. MỘT SỐ BIỆN PHÁP NHẰM NÂNG CAO CHẤT LƯỢNG BẢOMẬT THÔNG TIN KHÁCH HÀNG TRONG THANH TOÁN TRỰC MẬT THÔNG TIN KHÁCH HÀNG TRONG THANH TOÁN TRỰC TUYẾN TẠI NGÂN HÀNG NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM
4.3.1 Công tác đào tạo
+ Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thông tin khách hàng. Tất cả thông tin khách hàng của ngân hàng đều phải đảm bảo bí mật.
+ Việc xử lý, loại bỏ tất cả những tư liệu, giấy tờ liên quan đến khách hàng đều phải huỷ qua máy tài liệu. Các loại giấy tờ, thông tin, phần mềm in ấn vi tính đều không được mang ra khỏi công ty.
+ Giáo dục đạo đức cho nhân viên
+ Cùng với việc áp dụng kỹ thuật và biện pháp quản lý để đảm bảo an toàn thông tin cho khách hàng, doanh nghiệp cũng nên coi việc đảm bảo an toàn cho thông tin khách hàng là chuẩn mực đạo đức và nhân viên phục vụ khách hàng phải thực hiện điều này, ngoài ra doanh nghiệp phải chú ý đến kỷ luật cá nhân và giám sát lẫn nhau.
+ Nếu xảy ra việc thông tin mật lọt ra ngoài, doanh nghiệp phải lập