Số hóa trong ngành ngân hàng là xu hướng tất yếu để các ngân hàng tồn tại và phát triển trong thời đại mới trước sự tác động của cuộc cách mạng công nghiệp (CMCN) 4.0 và sự lớn mạnh của Fintech (công nghệ tài chính). Hàng loạt nhà băng đều đang chú trọng ngân hàng số và muốn tận dụng cuộc cách mạng công nghệ 4.0 để phát triển và để chiếm lĩnh thị trường. Đây không chỉ là xu hướng mà còn là nền tảng giúp giảm thiểu chi phí cho ngân hàng. Điều này buộc các ngân hàng phải tính tới bài toán kiện toàn hệ thống công nghệ lõi, gia tăng giá trị dịch vụ, tính bảo mật và kiểm soát rủi ro.
Bên cạnh những cơ hội từ ứng dụng công nghệ 4.0 (như giảm chi phí, gia tăng lợi nhuận, đưa lại nhiều tiện ích cho khách hàng), những tác động của cuộc cách mạng công nghiệp 4.0 tới ngành Ngân hàng khiến rủi ro an ninh mạng như lừa đảo, hacker… trong lĩnh vực này ngày càng trở nên lớn hơn và thường trực hơn, do sự kết nối mở, liên tục, đa chiều, phức tạp. Những lo ngại về vấn đề bảo mật trong các giao dịch thanh toán ngày càng tăng. Thiệt hại liên quan đến lĩnh vực này tăng theo cấp số nhân. Nhận diện những rủi ro công nghệ trong hoạt động ngân hàng số để có những giải pháp ngăn ngừa, hạn chế là cần thiết và đang được ngành Ngân hàng đặc biệt quan tâm.
Nhận diện rủi ro, thách thức trong hoạt động ngân hàng điện tử
Trước hết là những thách thức an toàn thông tin mạng. Có thể thấy, ngân hàng phải tự quản lý và chịu trách nhiệm hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng. Tuy nhiên, để triển khai được đồng bộ và hiệu quả thì cần có sự vào cuộc nhiều cơ quan.
.JPG)
Giải pháp số hóa thẻ tokenization
Bên cạnh đó, vấn đề kỹ thuật để đảm bảo tính bảo mật, an toàn cho giao dịch điện tử là một thách thức rất lớn phụ thuộc vào công nghệ, cách thức sử dụng của bên cung cấp và bên sử dụng. Như vậy, trong môi trường điện tử, cần cơ chế để chống gian lận và có cơ sở pháp lý vững chắc để xử lý trường hợp tranh chấp xảy ra, nhất là khi sử dụng chữ ký điện tử, nghĩa là đồng thời cả về kỹ thuật và cơ sở pháp lý.
Về đảm bảo an toàn về tài nguyên viễn thông, đối với vòng ngoài về truyền thông mạng, định danh và định tuyến, ứng cứu sự cố an toàn thông tin mạng cấp quốc gia đã có Bộ Thông tin và Truyền thông chịu trách nhiệm, nhưng phần bên trong là cung cấp thông tin về sản phẩm dịch vụ của ngân hàng thì các thông tin và cơ chế mã hóa, bảo mật do ngân hàng đảm nhiệm. Vấn đề đặt ra là ngoài việc đảm bảo an toàn, ổn định thì công nghệ nào sẽ được cho là tin cậy và nếu có rủi ro về công nghệ đó thì căn cứ cơ sở pháp lý nào xác định, từ đó thực hiện xử lý rủi ro đúng pháp luật.
Về chống gian lận trong giao dịch điện tử, một tín hiệu đáng mừng cho ngân hàng số đó là nhiều giải pháp và công nghệ phòng ngừa gian lận đã được tăng cường đáng kể và đem lại hiệu quả rất khả quan. Tuy nhiên, trong thế giới phẳng thì không có biên giới địa lý nào, dẫn đến các luồng gian lận điện tử sẽ chảy vào những nơi có công nghệ thấp hơn, những hệ thống dễ tổn thương hơn. Đây là sự gia tăng rủi ro cho những vùng quốc gia có công nghệ thấp, còn nhiều lỗ hổng, vì vậy, việc đầu tư và giảm khoảng cách về chất lượng công nghệ là một thách thức khi cung cấp hạ tầng giao dịch điện tử, ngân hàng số.
Về danh tính điện tử (eID), hiện tại, công nghệ xác thực đã trở thành một nền công nghiệp phát triển và chúng ta không gặp khó khăn khi lựa chọn công nghệ tin cậy từ công nghệ sinh trắc và công nghệ số. Vấn đề nằm ở chỗ ngân hàng sẽ sử dụng mô hình định danh điện tử nào và triển khai đồng bộ để người dân dễ dùng và các cơ quan chính phủ chấp nhận.
Ngoài ra, rủi ro đến từ các hình thức tấn công ngày càng tinh vi của tội phạm mạng, lại không bị giới hạn về không gian, thời gian, cách thức tấn công. Tội phạm mạng không chỉ tấn công vào các tổ chức ngân hàng, mà còn tấn công, khai thác thông tin người dùng từ chính người sử dụng dịch vụ qua các hình thức phát tán virus, mã độc tinh vi qua email, phần mềm miễn phí, mạng xã hội…, qua đó thực hiện lừa đảo trực tuyến, đánh cắp thông tin của khách hàng, mua bán, sử dụng trái phép thông tin khách hàng. Bản thân người sử dụng cũng chưa ý thức được việc bảo vệ thông tin của mình, cũng như việc chia sẻ thông tin cá nhân trên các mạng xã hội.
Vì vậy, bên cạnh việc đầu tư, tăng cường bảo mật cho các hệ thống của ngân hàng, cũng phải đồng thời hướng dẫn, quảng bá nâng cao nhận thức của người dùng khi sử dụng các dịch vụ trực tuyến.
Bảo mật thông tin xuất phát từ phía ngân hàng và khách hàng
Thứ nhất, an toàn, bảo mật hệ thống thông tin từ phía ngân hàng. Khi chuyển đổi hoạt động sang mô hình ngân hàng số đồng nghĩa với việc áp dụng phương thức cung cấp dịch vụ trên nền tảng công nghệ mới, do đó mô hình quản lý cũng phải thay đổi để thích nghi, ví dụ: Quản trị từ xa qua môi trường mạng, không làm việc tại văn phòng; đa dạng dịch vụ trực tuyến, hỗ trợ kết nối đa phương tiện. Cấu trúc và vai trò của các bộ phận cấu thành của tổ chức phải đáp ứng được yêu cầu linh hoạt, hiệu quả trong quản lý rủi ro.
Việc phát triển đa dạng dịch vụ kéo theo hệ thống công nghệ thông tin (CNTT) phải mở rộng, có những đặc điểm: Cấu trúc hệ thống CNTT ngày càng đa dạng, phức tạp; tích hợp nhiều loại thiết bị, sản phẩm khác nhau (máy chủ, phần mềm hệ thống, cơ sở dữ liệu, thiết bị truyền thông và an ninh...).
Bên cạnh đó, việc cung cấp dịch vụ ngân hàng số trên môi trường mạng Internet hiện nay gặp nhiều thách thức về tội phạm công nghệ cao. Do đó, hạ tầng ứng dụng CNTT cho ngân hàng số nếu không được quản lý, kiểm soát chặt chẽ sẽ dễ bị mất an toàn nếu bất cứ thành phần nào có lỗ hổng bảo mật hoặc năng lực tổ chức quản lý kém, không am hiểu đầy đủ về đặc tính của mô hình dịch vụ mới.
Một rủi ro nữa từ phía ngân hàng, đó là đạo đức nhân viên ngân hàng. Đôi khi trường hợp xảy ra mất tiền của khách hàng lại do có sự cấu kết của chính nhân viên ngân hàng.
Thứ hai, an toàn bảo mật thông tin từ phía khách hàng. Hệ thống công nghệ thông tin dù hiện đại thế nào đi nữa thì vẫn cần sự tương tác với con người trong việc cung cấp thông tin đầu vào. Các sai sót trong quá trình tương tác không đúng với quy định, hoặc vượt ngoài tầm kiểm soát, sàng lọc thông tin đầu vào thiếu chặt chẽ sẽ dẫn đến mất an toàn cho hệ thống/cho khách hàng. Nếu như ngân hàng có thể chủ động kiểm soát hoạt động từ nhà băng, thì bên phía khách hàng lại phụ thuộc vào chính họ và các yếu tố bên ngoài khác. Thực tế, “Tin tặc có thể dễ dàng “trộm” tiền trong tài khoản, đôi khi không phải bằng cách khai thác lỗ hổng bảo mật ngân hàng, mà do chính thói quen giao dịch trực tuyến của chủ thẻ”.
Vì vậy, một trong các rào cản lớn trong việc đảm bảo an toàn bảo mật khi cung cấp dịch vụ ngân hàng số tại Việt Nam là nhận thức về an toàn thông tin của người dùng trên môi trường mạng.
Công tác đảm bảo an ninh, an toàn bảo mật tại các ngân hàng Việt Nam
Về phía NHNN, với chức năng quản lý nhà nước về tiền tệ, hoạt động Ngân hàng, NHNN luôn quan tâm và chỉ đạo sát sao công tác bảo đảm an ninh, an toàn các hệ thống thông tin trong Ngành nói chung và trong lĩnh vực thanh toán nói riêng. Trên cơ sở các quy định của Nhà nước, NHNN đã ban hành nhiều văn bản quy phạm pháp luật về đảm bảo an toàn hoạt động CNTT trong Ngành tiệm cận với các chuẩn mực quốc tế về an toàn thông tin (ATTT).
Mới đây, NHNN cũng ban hành Bộ tiêu chuẩn cơ sở về thẻ chip nội địa và Bộ tiêu chuẩn ban hành Quyết định công bố tiêu chuẩn cơ sở về thẻ chip nội địa và tiêu chuẩn cơ sở “Đặc tả kỹ thuật QR-Code trong lĩnh vực thanh toán tại Việt Nam” nhằm đảm bảo an ninh, an toàn, bảo mật trong hoạt động thẻ ngân hàng và thanh toán qua mã QR Code, tạo thuận lợi cho việc gia tăng các tính năng, tiện ích cho chủ thẻ.
Về phía các TCTD, đón đầu xu hướng phát triển của CMCN 4.0, các ngân hàng Việt Nam đã chủ động nghiên cứu, đầu tư mạnh mẽ vào một số công nghệ thành tựu của CMCN 4.0 trong sản phẩm, dịch vụ, hoạt động và quản trị của mình. Nổi bật nhất là việc triển khai thực tế các công nghệ số nền tảng như: Điện toán đám mây, Phân tích dữ liệu lớn, Trí tuệ nhân tạo, các ứng dụng, giải pháp như xác thực sinh trắc học, trao đổi dữ liệu mở qua giao diện chương trình ứng dụng (open API)… nhằm nâng cao hiệu quả hoạt động, gia tăng trải nghiệm khách hàng.
Nhiều TCTD đã triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001, PCI DSS. Đối với các giao dịch điện tử, để đảm bảo an toàn cũng như thuận tiện cho khách hàng, nhiều ngân hàng đã triển khai các giải pháp xác thực mới như xác thực bằng sinh trắc học (vân tay, tĩnh mạch lòng bàn tay, giọng nói), chữ ký số trên mobile; thanh toán sử dụng QR code.
Để nâng cao nhận thức cho khách hàng trong việc đảm bảo an toàn bảo mật các giao dịch trực tuyến, các TCTD bằng nhiều phương thức phong phú đã làm tốt công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm công nghệ cao và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ.
Bản thân các ngân hàng đã đầu tư nhiều giải pháp bảo đảm an toàn thông tin (ATTT) tiên tiến như: Tường lửa thế hệ mới, phần mềm ngăn chặn mã độc, giải pháp chống thất thoát dữ liệu, hệ thống phát hiện ngăn chặn xâm nhập; ban hành các quy định, quy trình nội bộ kiểm soát hoạt động công nghệ thông tin…
Tuy nhiên, như thế vẫn chưa đủ trước tình hình tấn công mạng ngày càng gia tăng với mức độ tinh vi khó lường.
Giải pháp hạn chế rủi ro công nghệ trong giao dịch ngân hàng điện tử
Về phía NHNN:
- NHNN cần tiếp tục hoàn thiện khung khổ pháp lý đối với sản phẩm, dịch vụ mới; tạo dựng môi trường pháp lý thúc đẩy đổi mới sáng tạo của các tổ chức Fintech, khuyến khích các giải pháp Fintech an toàn hiệu quả.
- Nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế về an ninh, an toàn hệ thống thông tin vào các văn bản quy phạm pháp luật điều chỉnh hoạt động ứng dụng CNTT của các TCTD, tổ chức trung gian thanh toán.
- Đưa vào áp dụng khung đánh giá rủi ro CNTT theo thông lệ quốc tế để nâng cao chất lượng công tác thanh tra, kiểm tra tuân thủ các quy định về an toàn bảo mật tại các TCTD, tổ chức trung gian thanh toán.
- Giám sát, đôn đốc các TCTD hoàn thành triển khai Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng; Đẩy mạnh triển khai kế hoạch chuyển đổi thẻ từ sang thẻ chíp.
- Chỉ đạo các TCTD kiện toàn bộ máy chuyên trách về an ninh thông tin (ANTT). Tiếp tục đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố an ninh CNTT ngành Ngân hàng.
- Phối hợp với các cơ quan chức năng Bộ Thông tin và Truyền thông, Bộ Công an, Bộ Quốc phòng và các tổ chức cung cấp dịch vụ hạ tầng CNTT... để chia sẻ thông tin và hỗ trợ hoạt động đảm bảo an toàn, an ninh mạng của ngành Ngân hàng.
- Tiếp tục đẩy mạnh công tác truyền thông, nâng cao nhận thức cho cán bộ, nhân viên trong ngành Ngân hàng và người dân trong việc nhận diện và giảm thiểu các rủi ro của hoạt động ngân hàng trên không gian mạng.
Về phía các ngân hàng thương mại, các tổ chức cung ứng dịch vụ thanh toán:
a) Các giải pháp về môi trường chính sách, quy trình:
- Rà soát, hoàn thiện và tổ chức triển khai chính sách về an ninh bảo mật CNTT, chính sách về quản lý rủi ro CNTT tuân thủ các văn bản pháp luật của Nhà nước và các quy định của NHNN;
- Xây dựng kế hoạch hoàn thành triển khai các nhiệm vụ được quy định tại các văn bản của NHNN;
- Xây dựng lộ trình triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật cho hệ thống CNTT cũng như các dịch vụ thanh toán trực tuyến, thanh toán thẻ (ISO 27001, PCI/DSS);
- Rà soát chặt chẽ các quy trình đăng ký, kích hoạt sử dụng dịch vụ ngân hàng điện tử đảm bảo cung cấp dịch vụ cho đúng khách hàng.
b) Các giải pháp về công nghệ
- Triển khai rà soát, đánh giá rủi ro và các giải pháp an ninh bảo mật cho toàn bộ vòng đời của một hệ thống thông tin.
- Trang bị các hệ thống hỗ trợ giám sát giao dịch điện tử, điều tra gian lận, từng bước tổng hợp, phân tích dữ liệu của khách hàng và xây dựng bộ quy tắc để phát hiện và ngăn chặn sớm các gian lận; xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định hoặc các dấu hiệu bất thường khác.
- Xây dựng trung tâm điều hành an ninh mạng để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng. Thường xuyên đánh giá các điểm yếu, lỗ hổng của hệ thống CNTT. Xây dựng và triển khai diễn tập các quy trình, kịch bản ứng phó với các sự cố an toàn thông tin mạng.
c) Các giải pháp về tổ chức, nguồn nhân lực, tài chính
- Kiện toàn bộ máy CNTT các cấp theo hướng chuyên môn hoá, làm chủ công nghệ, hạn chế sự phụ thuộc vào các đối tác bên ngoài. Xây dựng đội ngũ cán bộ chuyên trách về an toàn thông tin, có đạo đức, kỷ luật, nhằm ngăn ngừa sự câu kết với tội phạm mạng.
- Xây dựng, cập nhật kịch bản và tổ chức diễn tập nội bộ về ứng cứu sự cố ANTT tối thiểu 1 lần/năm.
- Tăng cường công tác kiểm toán nội bộ đảm bảo an toàn các hoạt động nghiệp vụ và hạ tầng CNTT.
- Tăng cường công tác truyền thông đến khách hàng về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ.
- Dành một nguồn tài chính nhất định cho việc đầu tư cơ sở hạ tầng-kỹ thuật, ứng dụng khoa học công nghệ hiện đại, trong đó có công nghệ bảo mật.
d) Chia sẻ thông tin giữa các ngân hàng:
Việc chia sẻ thông tin giữa các ngân hàng cũng cần được tăng cường để hạn chế được rủi ro bị tấn công. Bởi có những lỗ hổng rất đơn giản chỉ cần cảnh báo cho nhau là có thể xử lý được lỗi đó, nhưng hiện chưa có một cơ chế trao đổi, cách thức xử lý để ứng xử trong những tình huống khẩn cấp.
Về phía khách hàng:
Để phòng tránh những rủi ro không đáng có, bạn có thể thực hiện những biện pháp sau đây.
- Tuyệt đối không cung cấp thông tin bảo mật các dịch vụ ngân hàng điện tử (mật khẩu truy cập, OTP, mật khẩu truy cập địa chỉ e-mail cá nhân) cho bất cứ ai và bằng bất cứ hình thức nào (nhắn tin, trả lời điện thoại, tiết lộ trực tiếp...). Chỉ báo thông tin cá nhân trừ khi chủ động gọi điện đến hotline (1900545413) để được trợ giúp và ngân hàng yêu cầu phối hợp cung cấp thông tin định danh khách hàng.
- Tránh truy cập các website không đáng tin cậy, hoặc nhấp vào bất kỳ đường dẫn nào yêu cầu cung cấp, cập nhật thông tin cá nhân và thông tin dịch vụ ngân hàng điện tử. Sau khi kết thúc sử dụng dịch vụ hoặc hoàn thành các giao dịch thanh toán trực tuyến, phải tiến hành đăng xuất tài khoản. Tuyệt đối không chọn chế độ lưu mật khẩu đăng nhập Internet Banking trên thiết bị sử dụng chung, máy tính công cộng…
- Người dùng cần bảo vệ và thay đổi thường xuyên mật khẩu truy cập các dịch vụ ngân hàng điện tử, thẻ, e-mail và cài đặt mật khẩu đảm bảo nguyên tắc an toàn. Ưu tiên sử dụng máy tính cá nhân có cài đặt cập nhật các phần mềm diệt virus để truy cập các dịch vụ ngân hàng điện tử của ngân hàng.
- Thường xuyên cập nhật hệ điều hành, phần mềm mới từ nhà cung cấp, tránh cập nhật từ các nguồn giả mạo.
- Với thẻ tín dụng: Ngoài việc không cho người khác mượn thẻ, cất giữ thẻ cẩn thận, khách hàng không nên để số tiền quá lớn trong thẻ ATM hoặc đặt hạn mức thấp nhất có thể cho thẻ tín dụng. Bên cạnh đó, chủ thẻ nên chủ động ngừng kích hoạt dịch vụ Internet Banking khi không có nhu cầu sử dụng và kích hoạt trở lại khi cần dùng; đăng ký dịch vụ SMS Banking để nắm bắt kịp thời giao dịch phát sinh. Đây cũng là một biện pháp hiệu quả để bảo vệ tài khoản.
Kết luận
Công nghệ đóng vai trò quan trọng trong chiến lược dài hạn của các ngân hàng để nâng cao hiệu quả hoạt động, quản lý rủi ro và từ đó có nhiều cơ hội hơn cho phát triển. Rõ ràng, đầu tư vào công nghệ là việc cần thiết nhưng trên hết còn là câu chuyện ứng phó với các vấn đề về bảo mật, tăng cường an ninh mạng. Khi những giải pháp giảm thiểu rủi ro khi sử dụng sản phẩm, dịch vụ ngân hàng số, ngân hàng điện tử được ngân hàng quan tâm đầu tư; kiến thức về của người dân được nâng cao thì sẽ dần xóa bỏ tâm lý e ngại của người dân khi sử dụng các sản phẩm, dịch vụ ngân hàng, từ đó thúc đẩy thanh toán không dùng tiền mặt.
Thanh Thúy
Nguồn: TCNH chuyên đề THNH số 3/2019