Giải pháp tăng cường an ninh, bảo mật trong phát triển ngân hàng số

Giải pháp tăng cư ờng an ninh, bảo mật trong phát triển ngân hàng s ố Số hóa trong ngành ngân hàng là xu hư ớng tất yếu để các ngân hàng tồn tại và phát tri ển trong th ời đại mới trước

Giải pháp tăng cư ờng an ninh, bảo mật trong phát triển ngân hàng s ố

Số hóa trong ngành ngân hàng là xu hư ớng tất yếu để các ngân hàng tồn tại và phát tri ển trong th ời đại mới trước sự tác động của cuộc cách mạng công nghi ệp (CMCN) 4.0 và s ự lớn mạnh của Fintech (công ngh ệ tài chính) Hàng lo ạt nhà băng đều đang chú trọng ngân hàng s ố và muốn tận dụng cuộc cách mạng công ngh ệ 4.0 để phát triển và đ ể chiếm lĩnh thị trường Đây không chỉ là xu hướng mà còn là nền tảng giúp giảm thiểu chi phí cho ngân hàng Đi ều này buộc các ngân hàng ph ải tính tới bài toán kiện toàn hệ thống công ngh ệ lõi, gia tăng giá tr ị dịch

vụ, tính bảo mật và kiểm soát r ủi ro

Bên cạnh những cơ hội từ ứng dụng công nghệ 4.0 (như gi ảm chi phí, gia tăng lợi nhuận, đưa lại nhiều tiện ích cho khách hàng), những tác động của cuộc cách mạng công nghi ệp 4.0 t ới ngành Ngân hàng khi ến rủi ro an ninh mạng như lừa đảo, hacker… trong lĩnh v ực này ngày càng tr ở nên lớn hơn

và thường trực hơn, do sự kết nối mở, liên tục, đa chiều, phức tạp Những

lo ngại về vấn đề bảo mật trong các giao d ịch thanh toán ngày càng tăng Thiệt hại liên quan đến lĩnh vực này tăng theo c ấp số nhân Nhận diện

những rủi ro công ngh ệ trong hoạt động ngân hàng s ố để có những giải pháp ngăn ngừa, hạn chế là cần thiết và đang được ngành Ngân hàng đặc biệt quan tâm

Nhận diện rủi ro, thách thức trong hoạt động ngân hàng đi ện tử

Trước hết là những thách thức an toàn thông tin mạng Có thể thấy, ngân hàng phải tự quản lý và ch ịu trách nhiệm hoạt động an toàn thông tin

mạng, quyền, trách nhi ệm của cơ quan, tổ chức, cá nhân trong vi ệc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật

về an toàn thông tin m ạng; kinh doanh trong lĩnh v ực an toàn thông tin mạng; phát tri ển nguồn nhân lực an toàn thông tin m ạng; quản lý nhà nư ớc

về an toàn thông tin m ạng Tuy nhiên, đ ể triển khai đư ợc đồng bộ và hiệu quả thì cần có sự vào cu ộc nhiều cơ quan

Giải pháp s ố hóa th ẻ tokenization

Bên cạnh đó, vấn đề kỹ thuật để đảm bảo tính b ảo mật, an toàn cho giao dịch điện tử là một thách thức rất lớn phụ thuộc vào công ngh ệ, cách thức

sử dụng của bên cung cấp và bên sử dụng Như vậy, trong môi trư ờng điện

tử, cần cơ chế để chống gian l ận và có cơ sở pháp lý vững chắc để xử lý trường hợp tranh chấp xảy ra, nhất là khi sử dụng chữ ký điện tử, nghĩa là đồng thời cả về kỹ thuật và cơ sở pháp lý

Về đảm bảo an toàn về tài nguyên viễn thông, đối với vòng ngoài v ề truyền thông mạng, định danh và định tuyến, ứng cứu sự cố an toàn thông tin mạng cấp quốc gia đã có B ộ Thông tin và Truy ền thông ch ịu trách nhi ệm, nhưng phần bên trong là cung cấp thông tin về sản phẩm dịch vụ của ngân hàng thì các thông tin và cơ ch ế mã hóa, bảo mật do ngân hàng đảm nhiệm Vấn đề đặt ra là ngoài vi ệc đảm bảo an toàn, ổn định thì công ngh ệ nào sẽ được cho là tin cậy và nếu có rủi ro về công nghệ đó thì căn cứ cơ sở pháp

lý nào xác định, từ đó thực hiện xử lý rủi ro đúng pháp luật

Về chống gian lận trong giao d ịch điện tử, một tín hi ệu đáng mừng cho ngân hàng s ố đó là nhi ều giải pháp và công ngh ệ phòng ngừa gian l ận đã được tăng cường đáng kể và đem lại hiệu quả rất khả quan Tuy nhiên, trong thế giới phẳng thì không có biên gi ới địa lý nào, dẫn đến các luồng gian lận điện tử sẽ chảy vào những nơi có công ngh ệ thấp hơn, nh ững hệ

thống dễ tổn thương hơn Đây là s ự gia tăng rủi ro cho nh ững vùng quốc gia có công nghệ thấp, còn nhiều lỗ hổng, vì vậy, việc đầu tư và giảm

khoảng cách về chất lượng công ngh ệ là một thách th ức khi c ung cấp hạ tầng giao d ịch điện tử, ngân hàng số

Về danh tính điện tử (eID), hi ện tại, công ngh ệ xác thực đã tr ở thành một nền công nghi ệp phát triển và chúng ta không g ặp khó khăn khi l ựa chọn công nghệ tin cậy từ công ngh ệ sinh tr ắc và công ngh ệ số Vấn đề nằm ở chỗ ngân hàng sẽ sử dụng mô hình đ ịnh danh đi ện tử nào và triển khai đồng

bộ để người dân dễ dùng và các cơ quan chính ph ủ chấp nhận

Ngoài ra, rủi ro đến từ các hình thức tấn công ngày càng tinh vi c ủa tội phạm mạng, lại không bị giới hạn về không gian, th ời gian, cách th ức tấn công Tội phạm mạng không ch ỉ tấn công vào các t ổ chức ngân hàng, mà còn tấn công, khai thác thông tin ngư ời dùng từ chính ngư ời sử dụng dịch

vụ qua các hình thức phát tán virus, mã đ ộc tinh vi qua email, ph ần mềm miễn phí, mạng xã hội…, qua đó thực hiện lừa đảo trực tuyến, đánh cắp thông tin c ủa khách hàng, mua bán, s ử dụng trái phép thông tin khách

hàng Bản thân ngư ời sử dụng cũng chưa ý th ức đư ợc việc bảo vệ thông tin của mình, cũng như vi ệc chia sẻ thông tin cá nhân trên các mạng xã hội

Vì vậy, bên cạnh vi ệc đầu tư, tăng cư ờng bảo mật cho các hệ thống của ngân hàng, cũng phải đồng thời hướng dẫn, quảng bá nâng cao nhận thức của người dùng khi sử dụng các dịch vụ trực tuyến

Bảo mật thông tin xu ất phát t ừ phía ng ân hàng và khách hàng

Thứ nhất, an toàn, bảo mật hệ thống thông tin t ừ phía ngân hàng Khi

chuyển đổi hoạt động sang mô hình ngân hàng s ố đồng nghĩa v ới việc áp dụng phương th ức cung c ấp dịch vụ trên nền tảng công nghệ mới, do đó mô hình quản lý cũng phải thay đổi để thích nghi, ví d ụ: Quản trị từ xa qua môi trường mạng, không làm việc tại văn phòng; đa dạng dịch vụ trực

tuyến, hỗ trợ kết nối đa phương ti ện Cấu trúc và vai trò c ủa các bộ phận cấu thành của tổ chức phải đáp ứng đư ợc yêu cầu linh ho ạt, hiệu quả trong quản lý rủi ro

Việc phát triển đa d ạng dịch vụ kéo theo h ệ thống công nghệ thông tin (CNTT) ph ải mở rộng, có những đặc điểm: Cấu trúc hệ thống CNTT ngày càng đa dạng, phức tạp; tích hợp nhiều loại thiết bị, sản phẩm khác nhau (máy chủ, phần mềm hệ thống, cơ sở dữ liệu, thiết bị truyền thông và an ninh )

Bên cạnh đó, việc cung c ấp dịch vụ ngân hàng s ố trên môi trư ờng mạng Internet hiện nay gặp nhiều thách thức về tội phạm công nghệ cao Do đó,

hạ tầng ứng dụng CNTT cho ngân hàng s ố nếu không đư ợc quản lý, ki ểm soát chặt chẽ sẽ dễ bị mất an toàn n ếu bất cứ thành ph ần nào có l ỗ hổng bảo mật hoặc năng lực tổ chức quản lý kém, không am hi ểu đầy đủ về đặc tính của mô hình d ịch vụ mới

Một rủi ro nữa từ phía ngân hàng, đó là đ ạo đức nhân viên ngân hàng Đôi khi trường hợp xảy ra mất tiền của khách hàng lại do có sự cấu kết của chính nhân viên ngân hàng

Thứ hai, an toàn bảo mật thông tin từ phía khách hàng H ệ thống công nghệ thông tin dù hiện đại thế nào đi nữa thì v ẫn cần sự tương tác v ới con người trong việc cung cấp thông tin đ ầu vào Các sai sót trong quá trình tương tác không đúng với quy định, hoặc vượt ngoài tầm kiểm soát, sàng lọc thông tin đầu vào thiếu chặt chẽ sẽ dẫn đến mất an toàn cho hệ thống/cho khách hàng Nếu như ngân hàng c ó thể chủ động kiểm soát hoạt động từ nhà băng, thì bên phía khách hàng l ại phụ thuộc vào chính h ọ và các yếu tố bên ngoài khác Thực tế, “Tin tặc có thể dễ dàng “tr ộm” tiền trong tài kho ản, đôi khi không phải bằng cách khai thác l ỗ hổng bảo mật ngân hàng, mà do chính thói quen giao d ịch trực tuyến của chủ thẻ”

Vì vậy, một trong các rào c ản lớn trong việc đảm bảo an toàn b ảo mật khi cung cấp dịch vụ ngân hàng số tại Việt Nam là nh ận thức về an toàn thông tin của người dùng trên môi trư ờng mạng

Công tác đảm bảo an ninh, an toàn b ảo m ật tại các ngân hàng Vi ệt Nam

Về phía NHNN, v ới chức năng quản lý nhà nư ớc về tiền tệ, hoạt động Ngân hàng, NHNN luôn quan tâm và ch ỉ đạo sát sao công tác b ảo đảm an ninh,

an toàn các hệ thống thông tin trong Ngành nói chu ng và trong lĩnh v ực

thanh toán nói riêng Trên cơ sở các quy định của Nhà nước, NHNN đã ban hành nhiều văn bản quy ph ạm pháp lu ật về đảm bảo an toàn hoạt động CNTT trong Ngành ti ệm cận với các chuẩn mực quốc tế về an toàn thông tin (ATTT)

Mới đây, NHNN cũng ban hành B ộ tiêu chu ẩn cơ sở về thẻ chip nội địa và

Bộ tiêu chuẩn ban hành Quy ết định công bố tiêu chuẩn cơ sở về thẻ chip nội địa và tiêu chuẩn cơ sở “Đặc tả kỹ thuật QR-Code trong lĩnh v ực thanh toán tại Việt Nam” nhằm đảm bảo an ninh, an toàn, b ảo mật trong hoạt động thẻ ngân hàng và thanh toán qua mã QR Code, t ạo thuận lợi cho việc gia tăng các tính năng, tiện ích cho chủ thẻ

Về phía các TCTD, đón đ ầu xu hư ớng phát triển của CMCN 4.0, các ngân hàng Việt Nam đã chủ động nghiên cứu, đầu tư mạnh mẽ vào một số công nghệ thành tựu của CMCN 4.0 trong s ản phẩm, dịch vụ, hoạt động và quản trị của mình Nổi bật nhất là việc triển khai thực tế các công nghệ số nền tảng như: Đi ện toán đám mây, Phân tích d ữ liệu lớn, Trí tuệ nhân t ạo, các ứng dụng, giải pháp như xác thực sinh trắc học, trao đổi dữ liệu mở qua giao diện chương trình ứng dụng (open API)… nh ằm nâng cao hiệu quả hoạt động, gia tăng tr ải nghiệm khách hàng

Nhiều TCTD đã tri ển khai áp d ụng các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001 , PCI DSS Đ ối với các giao d ịch điện tử, để đảm bảo

an toàn cũng như thuận tiện cho khách hàng, nhiều ngân hàng đã triển khai các giải pháp xác thực mới như xác th ực bằng sinh tr ắc học (vân tay, tĩnh mạch lòng bàn tay, gi ọng nói), ch ữ ký số trên mobile; thanh toán sử dụng

QR code

Để nâng cao nhận thức cho khách hàng trong việc đảm bảo an toàn bảo mật các giao d ịch trực tuyến, các TCTD bằng nhiều phương th ức phong phú đã làm tốt công tác truy ền thông đ ến khách hàng về các thủ đoạn của tội phạm công nghệ cao và các bi ện pháp b ảo vệ thông tin cá nhân trong vi ệc sử dụng các dịch vụ ngân hàng đi ện tử và thanh toán th ẻ

Bản thân các ngân hàng đã đ ầu tư nhiều giải pháp bảo đảm an toàn thông tin (ATTT) tiên ti ến như: Tư ờng lửa thế hệ mới, phần mềm ngăn ch ặn mã độc, giải pháp chống thất thoát dữ liệu, hệ thống phát hiện ngăn chặn xâm

nhập; ban hành các quy đ ịnh, quy trình n ội bộ kiểm soát hoạt động công nghệ thông tin…

Tuy nhiên, như thế vẫn chưa đủ trước tình hình tấn công mạng ngày càng gia tăng với mức độ tinh vi khó lường

Giải pháp hạn chế rủi ro công ngh ệ trong giao d ịch ngân hàng đi ện tử

Về phía NHNN:

- NHNN cần tiếp tục hoàn thiện khung kh ổ pháp lý đ ối với sản phẩm, dịch

vụ mới; tạo dựng môi trư ờng pháp lý thúc đ ẩy đổi mới sáng tạo của các tổ chức Fintech, khuy ến khích các giải pháp Fintech an toàn hi ệu quả

- Nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế về an ninh, an toàn

hệ thống thông tin vào các văn b ản quy phạm pháp luật điều chỉnh hoạt động ứng dụng CNTT của các TCTD, tổ chức trung gian thanh toán

- Đưa vào áp d ụng khung đánh giá r ủi ro CNTT theo thông l ệ quốc tế để nâng cao chất lượng công tác thanh tra, ki ểm tra tuân th ủ các quy đ ịnh về

an toàn b ảo mật tại các TCTD, t ổ chức trung gian thanh toán

- Giám sát, đôn đốc các TCTD hoàn thành tri ển khai K ế hoạch áp d ụng các giải pháp về an toàn b ảo mật trong thanh toán tr ực tuyến và thanh toán th ẻ ngân hàng; Đẩy mạnh triển khai kế hoạch chuyển đổi thẻ từ sang thẻ chíp

- Chỉ đạo các TCTD kiện toàn b ộ máy chuyên trách v ề an ninh thông tin (ANTT) Tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh CNTT ngành Ngân hàng

- Phối hợp với các cơ quan ch ức năng Bộ Thông tin và Truy ền thông, B ộ Công an, Bộ Quốc phòng và các t ổ chức cung cấp dịch vụ hạ tầng CNTT

để chia sẻ thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng của ngành Ngân hàng

- Tiếp tục đẩy mạnh công tác truyền thông, nâng cao nh ận thức cho cán bộ, nhân viên trong ngành Ngân hàng và ngư ời dân trong việc nhận diện và giảm thiểu các rủi ro c ủa hoạt động ngân hàng trên không gian m ạng

Về phía các ngân hàng thương m ại, các tổ chức cung ứng dịch vụ thanh toán:

a) Các gi ải pháp v ề môi trường chính sách, quy trình:

- Rà soát, hoàn thi ện và tổ chức triển khai chính sách v ề an ninh bảo mật CNTT, chính sách v ề quản lý rủi ro CNTT tuân th ủ các văn bản pháp lu ật của Nhà nư ớc và các quy đ ịnh của NHNN;

- Xây dựng kế hoạch hoàn thành tri ển khai các nhi ệm vụ được quy đ ịnh tại các văn bản của NHNN;

- Xây dựng lộ trình triển khai áp d ụng các tiêu chu ẩn quốc tế về an ninh bảo mật cho hệ thống CNTT cũng như các d ịch vụ thanh toán trực tuyến, thanh toán thẻ (ISO 27001, PCI/DSS);

- Rà soát ch ặt chẽ các quy trình đăng ký, kích ho ạt sử dụng dịch vụ ngân hàng điện tử đảm bảo cung cấp dịch vụ cho đúng khách hàng

b) Các gi ải pháp v ề công ngh ệ

- Triển khai rà soát, đánh giá r ủi ro và các giải pháp an ninh b ảo mật cho toàn bộ vòng đời của một hệ thống thông tin

- Trang b ị các hệ thống hỗ trợ giám sát giao d ịch điện tử, điều tra gian lận, từng bư ớc tổng hợp, phân tích d ữ liệu của khách hàng và xây d ựng bộ quy tắc để phát hiện và ngăn ch ặn sớm các gian lận; xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào th ời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định hoặc các dấu hiệu bất thường khác

- Xây dựng trung tâm đi ều hành an ninh m ạng để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng Thường xuyên đánh giá các điểm yếu, lỗ hổng của hệ thống CNTT Xây dựng và triển khai diễn tập các quy trình, k ịch bản ứng phó v ới các sự cố an toàn thông tin mạng

c) Các gi ải pháp về tổ chức, nguồn nhân l ực, tài chính

- Kiện toàn bộ máy CNTT các cấp theo hướng chuyên môn hoá, làm ch ủ công nghệ, hạn chế sự phụ thuộc vào các đ ối tác bên ngoài Xây d ựng đội ngũ cán bộ chuyên trách về an toàn thông tin, có đạo đức, kỷ luật, nhằm ngăn ngừa sự câu kết với tội phạm mạng

- Xây dựng, cập nhật kịch bản và tổ chức diễn tập nội bộ về ứng cứu sự cố ANTT tối thiểu 1 lần/năm

- Tăng cường công tác kiểm toán nội bộ đảm bảo an toàn các ho ạt động nghiệp vụ và hạ tầng CNTT

- Tăng cường công tác truyền thông đ ến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp b ảo vệ thông tin cá nhân trong vi ệc sử dụng các dịch vụ ngân hàng đi ện tử và thanh toán th ẻ

- Dành một nguồn tài chính nh ất định cho vi ệc đầu tư cơ s ở hạ tầng-kỹ thuật, ứng dụng khoa học công nghệ hiện đại, trong đó có công ngh ệ bảo mật

d) Chia s ẻ thông tin giữa các ngân hàng:

Việc chia sẻ thông tin giữa các ngân hàng cũng c ần được tăng cường để hạn chế được rủi ro bị tấn công B ởi có những lỗ hổng rất đơn giản chỉ cần cảnh báo cho nhau là có th ể xử lý đư ợc lỗi đó, nhưng hiện chưa có một cơ chế trao đổi, cách thức xử lý để ứng xử trong những tình hu ống khẩn cấp

Về phía khách hàng:

Để phòng tránh những rủi ro không đáng có, bạn có thể thực hiện những biện pháp sau đây

- Tuyệt đối không cung c ấp thông tin b ảo mật các dịch vụ ngân hàng điện

tử (mật khẩu truy c ập, OTP, mật khẩu truy cập địa chỉ e-mail cá nhân) cho bất cứ ai và bằng bất cứ hình thức nào (nhắn tin, tr ả lời điện thoại, tiết lộ trực tiếp ) Ch ỉ báo thông tin cá nhân tr ừ khi chủ động gọi điện đến

hotline (1900545413) để được trợ giúp và ngân hàng yêu cầu phối hợp cung cấp thông tin đ ịnh danh khách hàng

- Tránh truy c ập các website không đáng tin c ậy, hoặc nhấp vào bất kỳ đường dẫn nào yêu cầu cung cấp, cập nhật thông tin cá nhân và thông tin dịch vụ ngân hàng điện tử Sau khi kết thúc sử dụng dịch vụ hoặc hoàn thành các giao d ịch thanh toán tr ực tuyến, phải tiến hành đ ăng xuất tài khoản Tuyệt đối không ch ọn chế độ lưu mật khẩu đăng nhập Internet

Banking trên thi ết bị sử dụng chung, máy tính công c ộng…

- Người dùng c ần bảo vệ và thay đổi thường xuyên mật khẩu truy cập các dịch vụ ngân hàng điện tử, thẻ, e-mail và cài đặt mật khẩu đảm bảo nguyên tắc an toàn Ưu tiên s ử dụng máy tính cá nhân có cài đ ặt cập nhật các phần mềm diệt virus để truy c ập các dịch vụ ngân hàng điện tử của ngân hàng

- Thường xuyên c ập nhật hệ điều hành, phần mềm mới từ nhà cung cấp, tránh cập nhật từ các ngu ồn giả mạo

- Với thẻ tín dụng: Ngoài việc không cho ngư ời khác mư ợn thẻ, cất giữ thẻ cẩn thận, khách hàng không nên đ ể số tiền quá lớn trong th ẻ ATM hoặc đặt hạn mức thấp nhất có th ể cho thẻ tín dụng Bên cạnh đó, chủ thẻ nên chủ động ngừng kích hoạt dịch vụ Internet Banking khi không có nhu c ầu sử dụng và kích ho ạt trở lại khi c ần dùng; đăng ký d ịch vụ SMS Banking để nắm bắt kịp thời giao dịch phát sinh Đây cũng là m ột biện pháp hiệu quả

để bảo vệ tài khoản

Kết luận

Công nghệ đóng va i trò quan trọng trong chiến lược dài hạn của các ngân hàng để nâng cao hiệu quả hoạt động, quản lý rủi ro và từ đó có nhiều cơ hội hơn cho phát tri ển Rõ ràng, đ ầu tư vào công ngh ệ là việc cần thiết nhưng trên hết còn là câu chuyện ứng phó với các vấn đề về bảo mật, tăng cường an ninh mạng Khi những giải pháp giảm thiểu rủi ro khi sử dụng sản phẩm, dịch vụ ngân hàng s ố, ngân hàng đi ện tử được ngân hàng quan tâm đầu tư; kiến thức về của người dân được nâng cao thì sẽ dần xóa bỏ tâm lý e ng ại của người dân khi sử dụng các sản phẩm, dịch vụ ngân hàng,

từ đó thúc đ ẩy thanh toán không dùng ti ền mặt