Bảo mật ngân hàng từ xa
15/11/2010
Đảm bảo cung cấp các dịch vụ CNTT an toàn cho khách hàng ở xa đang trở thành một trong những chỉ tiêu về năng lực cạnh tranh của các tổ chức tài chính.
 |
| Russ Bank cung ấp dịch vụ tại Moskva và 35 chi nhánh cấp vùng của Liên bang Nga. |
Bài viết từ kinh nghiệm triển khai ở Russ Bank (Ngân hàng Cổ phần Nga, thành lập năm 1994, cung cấp dịch vụ tài chính cho khách hàng ở Moskva và 35 chi nhánh tại các vùng (chủ thể cấp bang, tỉnh) của Liên bang Nga).
Bối cảnh
Sự phổ biến rộng rãi và dễ tiếp cận của các hệ thống dịch vụ ngân hàng từ xa (NHTX) kết hợp với khả năng bảo vệ kém sẽ thu hút tội phạm. Chính vì thế, vấn đề bảo vệ người dùng các dịch vụ đó là hết sức cấp bách. Dịch vụ NHTX là thuật ngữ chung dành cho các công nghệ cung ứng dịch vụ trên cơ sở phục vụ khách hàng từ xa của các ngân hàng, khách hàng không phải đến quầy giao dịch mà thường sử dụng mạng máy tính hay mạng điện thoại. NHTX cho người dùng tự do chọn lựa thời gian, địa điểm, thiết bị để quản lý tài khoản từ xa và tiết kiệm thì giờ cho họ.
Khi chọn ngân hàng, khách hàng quan tâm trước hết đến hệ thống các tính năng và hệ thống bảo mật của NHTX. Thật không đơn giản khi phải đảm bảo sự cân đối thông minh những yêu cầu mâu thuẫn nhau này. Nhưng, việc có một tổ hợp tốt giữa tiện ích, tính năng và sự bảo vệ sẽ hỗ trợ đảm bảo ngân hàng có ưu thế nhất định trước các đối thủ và tìm tổ hợp đó là việc quan trọng sống còn cho một ngân hàng hiện đại đang phải chịu các sức ép cạnh tranh khốc liệt. Điều quan trọng là phải coi thông tin lưu thông trong hệ thống NHTX như là tiền bạc ở ngoài đời thực vậy. Cho nên, phải tạo được các điều kiện để nguy cơ sử dụng bất hợp pháp loại thông tin này được loại trừ hoàn toàn, việc đó là việc không thể xảy ra và, luôn luôn có đủ khả năng tìm ra người muốn chiếm đoạt loại thông tin này.
“Đầu năm 2010, chúng tôi đã phân tích các rủi ro thông tin gắn liền với việc khai thác tổ hợp NHTX (cả từ phía ngân hàng lẫn từ phía khách hàng) và trên cơ sở những dữ liệu nhận được, chúng tôi đã quyết định triển khai dự án hiện đại hoá hệ thống đảm bảo an ninh thông tin (ANTT) cho NHTX. Việc giải quyết những nhiệm vụ đặt ra là không thể nếu không có sự thay đổi quy trình công nghệ liên quan dịch vụ khách hàng của hệ thống NHTX cũng như nếu không hiện đại hoá nội bộ các quy trình kinh doanh”, ông Lev Shumsky, Phó Giám đốc quản lý hạ tầng, Bộ phận CNTT Russ Bank kể.
Các rủi ro và nguy cơ
Bối cảnh
Sự phổ biến rộng rãi và dễ tiếp cận của các hệ thống dịch vụ ngân hàng từ xa (NHTX) kết hợp với khả năng bảo vệ kém sẽ thu hút tội phạm. Chính vì thế, vấn đề bảo vệ người dùng các dịch vụ đó là hết sức cấp bách. Dịch vụ NHTX là thuật ngữ chung dành cho các công nghệ cung ứng dịch vụ trên cơ sở phục vụ khách hàng từ xa của các ngân hàng, khách hàng không phải đến quầy giao dịch mà thường sử dụng mạng máy tính hay mạng điện thoại. NHTX cho người dùng tự do chọn lựa thời gian, địa điểm, thiết bị để quản lý tài khoản từ xa và tiết kiệm thì giờ cho họ.
Khi chọn ngân hàng, khách hàng quan tâm trước hết đến hệ thống các tính năng và hệ thống bảo mật của NHTX. Thật không đơn giản khi phải đảm bảo sự cân đối thông minh những yêu cầu mâu thuẫn nhau này. Nhưng, việc có một tổ hợp tốt giữa tiện ích, tính năng và sự bảo vệ sẽ hỗ trợ đảm bảo ngân hàng có ưu thế nhất định trước các đối thủ và tìm tổ hợp đó là việc quan trọng sống còn cho một ngân hàng hiện đại đang phải chịu các sức ép cạnh tranh khốc liệt. Điều quan trọng là phải coi thông tin lưu thông trong hệ thống NHTX như là tiền bạc ở ngoài đời thực vậy. Cho nên, phải tạo được các điều kiện để nguy cơ sử dụng bất hợp pháp loại thông tin này được loại trừ hoàn toàn, việc đó là việc không thể xảy ra và, luôn luôn có đủ khả năng tìm ra người muốn chiếm đoạt loại thông tin này.
“Đầu năm 2010, chúng tôi đã phân tích các rủi ro thông tin gắn liền với việc khai thác tổ hợp NHTX (cả từ phía ngân hàng lẫn từ phía khách hàng) và trên cơ sở những dữ liệu nhận được, chúng tôi đã quyết định triển khai dự án hiện đại hoá hệ thống đảm bảo an ninh thông tin (ANTT) cho NHTX. Việc giải quyết những nhiệm vụ đặt ra là không thể nếu không có sự thay đổi quy trình công nghệ liên quan dịch vụ khách hàng của hệ thống NHTX cũng như nếu không hiện đại hoá nội bộ các quy trình kinh doanh”, ông Lev Shumsky, Phó Giám đốc quản lý hạ tầng, Bộ phận CNTT Russ Bank kể.
Các rủi ro và nguy cơ
 |
| Do bảo mật thường là kém, chỗ làm việc của khách hàng là điểm yếu yếu nhất trên hệ thông ngân hàng từ xa... |
Internet đã và vẫn là môi trường không an toàn và khó kiểm soát đối với các ngân hàng. Nguy cơ chiếm quyền truy nhập của người dùng vào hệ thống NHTX qua Internet chính là điểm yếu nhất của các dịch vụ từ xa. Hiện, trong quá trình tấn công, bọn lừa đảo tác động một lượng lớn mắt xích sử dụng Internet như kênh kết nối. Nguyên lý vận hành trong các hệ thống NHTX không phải là thông tin mật, bất kỳ người nào muốn cũng có thể kết nối vào NHTX. Cách duy nhất bảo vệ khách hàng khỏi các hành động xấu là giữ kín thông tin nhận dạng khách hàng. Chính thông tin này là mục tiêu bị săn đuổi.
Đa số cuộc tấn công dụng ý xấu là trộm khoá đóng của chữ ký điện tử (CKĐT) và các dữ liệu nhận dạng khách hàng, vì có được thông tin này, kẻ xấu có thể tiếp tục tác động nhân danh người dùng hợp pháp của hệ thống NHTX. Trong trường hợp lưu trữ khoá đóng CKĐT trên ổ cứng hay USB, khách hàng đang mạo hiểm với tiền bạc của họ nên việc ứng dụng thiết bị bảo vệ khoá đóng CKĐT trở thành một trong những bước quan trọng hiện thực hoá toàn bộ dự án bảo mật NHTX này.
Theo kinh nghiệm thực tế, thành phần ít được bảo vệ nhất của NHTX là chỗ làm việc của người dùng - đại diện khách hàng - tổ chức bên ngoài ngân hàng. Nhân viên ngân hàng không biết vị trí làm việc này có được trang bị phần mềm diệt virus không, được cập nhật với tần suất nào, chính sách bảo mật ra sao, khách hàng có sử dụng phần mềm bản quyền không, có thể tin tưởng vào sự an toàn trong công việc của họ không… Thông thường, các ngân hàng đòi hỏi ngặt nghèo với khách hàng về trang bị bảo mật chỗ làm việc vẫn dùng giao dịch với các hệ thống NHTX cũng như phải thực hiện hàng loạt biện pháp kiểm tra hệ điều hành về trạng thái cập nhật các bản vá lỗi… Nhưng, để làm những việc này, phải xây dựng hệ thống ANTT, đòi hỏi trình độ nhất định ở nhóm nhân viên CNTT phục vụ khách hàng… Tiếc là không phải tổ chức nào cũng có được những chuyên gia như thế.
Tính bức xúc của nhiệm vụ giảm thiểu rủi ro cho khách hàng tăng cao đặc biệt vì nhiều khách hàng không thực hiện các đòi hỏi của ngân hàng về bảo mật vị trí làm việc dùng để kết nối NHTX; khi có sự cố thì họ muốn quy các thiệt hại lên ngân hàng theo điều 1095 Bộ Luật dân sự (Nga). Điều khoản 1095 đòi hỏi bắt buộc thông tin cho khách hàng về các rủi ro có thể khi sử dụng công nghệ nào đó. Dĩ nhiên, yếu tố này từ quan điểm kinh doanh được đánh giá như 1 nguy cơ tiềm năng nên ngân hàng phải nhận được từ khách hàng cam kết thực hiện mọi đòi hỏi bảo mật khi làm việc từ xa với tài khoản của mình.
Đa số cuộc tấn công dụng ý xấu là trộm khoá đóng của chữ ký điện tử (CKĐT) và các dữ liệu nhận dạng khách hàng, vì có được thông tin này, kẻ xấu có thể tiếp tục tác động nhân danh người dùng hợp pháp của hệ thống NHTX. Trong trường hợp lưu trữ khoá đóng CKĐT trên ổ cứng hay USB, khách hàng đang mạo hiểm với tiền bạc của họ nên việc ứng dụng thiết bị bảo vệ khoá đóng CKĐT trở thành một trong những bước quan trọng hiện thực hoá toàn bộ dự án bảo mật NHTX này.
Theo kinh nghiệm thực tế, thành phần ít được bảo vệ nhất của NHTX là chỗ làm việc của người dùng - đại diện khách hàng - tổ chức bên ngoài ngân hàng. Nhân viên ngân hàng không biết vị trí làm việc này có được trang bị phần mềm diệt virus không, được cập nhật với tần suất nào, chính sách bảo mật ra sao, khách hàng có sử dụng phần mềm bản quyền không, có thể tin tưởng vào sự an toàn trong công việc của họ không… Thông thường, các ngân hàng đòi hỏi ngặt nghèo với khách hàng về trang bị bảo mật chỗ làm việc vẫn dùng giao dịch với các hệ thống NHTX cũng như phải thực hiện hàng loạt biện pháp kiểm tra hệ điều hành về trạng thái cập nhật các bản vá lỗi… Nhưng, để làm những việc này, phải xây dựng hệ thống ANTT, đòi hỏi trình độ nhất định ở nhóm nhân viên CNTT phục vụ khách hàng… Tiếc là không phải tổ chức nào cũng có được những chuyên gia như thế.
Tính bức xúc của nhiệm vụ giảm thiểu rủi ro cho khách hàng tăng cao đặc biệt vì nhiều khách hàng không thực hiện các đòi hỏi của ngân hàng về bảo mật vị trí làm việc dùng để kết nối NHTX; khi có sự cố thì họ muốn quy các thiệt hại lên ngân hàng theo điều 1095 Bộ Luật dân sự (Nga). Điều khoản 1095 đòi hỏi bắt buộc thông tin cho khách hàng về các rủi ro có thể khi sử dụng công nghệ nào đó. Dĩ nhiên, yếu tố này từ quan điểm kinh doanh được đánh giá như 1 nguy cơ tiềm năng nên ngân hàng phải nhận được từ khách hàng cam kết thực hiện mọi đòi hỏi bảo mật khi làm việc từ xa với tài khoản của mình.
 |
| Hình minh hoạ. |
Công nghệ áp dụng
Tuân thủ luật định hiện hành, Russ Bank quyết định chỉ sử dụng những giải pháp được FSB (Cơ quan An ninh Liên bang Nga), FSTEK (Cơ quan Liên bang Nga về Kỹ thuật và Kiểm soát xuất khẩu). Các phần mềm của Công ty Crypto-Pro như phương tiện bảo mật thông tin Crypto-Pro CSP và Trung tâm chứng thực (Crypto-Pro Center) trên cơ sở công nghệ hạ tầng khoá công khai PKI được sử dụng làm nhân mã hoá. Những chi tiết này trở thành thành phần công nghệ thứ nhất của dự án hiện đại hoá hệ thống đảm bảo ANTT cho NHTX.
Để bảo vệ các chìa khoá CKĐT, phải chọn vật mang nó. Đã có 1 dự án thử nghiệm, sử dụng một số sản phẩm có cung ứng trên thị trường Nga. Tiêu chí tuyển chọn là mức độ bảo mật của chìa khoá CKĐT với sự có mặt của tất cả các chứng nhận, đơn giản trong cài đặt vận hành nơi làm việc của khách hàng, khả năng tính toán tập trung và quản lý các vật mang. Kết quả, các chuyên gia Russ Bank chọn khoá USB eToken của Công ty Aladdin. Giải pháp này là thành phần công nghệ thứ hai của dự án.
“Một trong những nhiệm vụ then chốt khi thiết kế hệ thống đảm bảo ANTT cho NHTX là tích hợp tất cả các thành phần của hệ thống đảm bảo ANTT, giữa chúng với nhau và mở rộng trong ngân hàng theo hệ thống NHTX”, Shumsky nhận xét. Đòi hỏi chính với giải pháp tích hợp là sử dụng các công nghệ chuẩn để tương tác với trung tâm chứng thực, hệ thống bảo vệ mã, USB-Token và hệ thống NHTX.
Tổ hợp phần mềm Advanpost IAM CHR_D Pro là sản phẩm của Công ty Công nghệ Phát triển Doanh nghiệp (Nga) được chọn làm giải pháp tích hợp cho việc ứng dụng. Để đánh giá hiệu quả của hệ thống đã chọn, tại Russ Bank đã thực hiện thêm một dự án thử nghiệm nữa. Dự án này xác nhận tính hiệu quả của nó và giúp mọi người tin chắc vào sự đơn giản trong ứng dụng. Việc sử dụng hệ thống điện tử luân chuyển hồ sơ tài liệu lồng trong sản phẩm đã đảm bảo tổ chức hiệu quả quy trình kinh doanh liên quan các dịch vụ cung cấp cho khách hàng của NHTX. “Việc lựa chọn hệ thống Avanport là do phải nâng tính bảo mật cho hệ thống NHTX và xây dựng hệ thống tổng thể quản lý truy nhập”, Shumsky kể.
Tuân thủ luật định hiện hành, Russ Bank quyết định chỉ sử dụng những giải pháp được FSB (Cơ quan An ninh Liên bang Nga), FSTEK (Cơ quan Liên bang Nga về Kỹ thuật và Kiểm soát xuất khẩu). Các phần mềm của Công ty Crypto-Pro như phương tiện bảo mật thông tin Crypto-Pro CSP và Trung tâm chứng thực (Crypto-Pro Center) trên cơ sở công nghệ hạ tầng khoá công khai PKI được sử dụng làm nhân mã hoá. Những chi tiết này trở thành thành phần công nghệ thứ nhất của dự án hiện đại hoá hệ thống đảm bảo ANTT cho NHTX.
Để bảo vệ các chìa khoá CKĐT, phải chọn vật mang nó. Đã có 1 dự án thử nghiệm, sử dụng một số sản phẩm có cung ứng trên thị trường Nga. Tiêu chí tuyển chọn là mức độ bảo mật của chìa khoá CKĐT với sự có mặt của tất cả các chứng nhận, đơn giản trong cài đặt vận hành nơi làm việc của khách hàng, khả năng tính toán tập trung và quản lý các vật mang. Kết quả, các chuyên gia Russ Bank chọn khoá USB eToken của Công ty Aladdin. Giải pháp này là thành phần công nghệ thứ hai của dự án.
“Một trong những nhiệm vụ then chốt khi thiết kế hệ thống đảm bảo ANTT cho NHTX là tích hợp tất cả các thành phần của hệ thống đảm bảo ANTT, giữa chúng với nhau và mở rộng trong ngân hàng theo hệ thống NHTX”, Shumsky nhận xét. Đòi hỏi chính với giải pháp tích hợp là sử dụng các công nghệ chuẩn để tương tác với trung tâm chứng thực, hệ thống bảo vệ mã, USB-Token và hệ thống NHTX.
Tổ hợp phần mềm Advanpost IAM CHR_D Pro là sản phẩm của Công ty Công nghệ Phát triển Doanh nghiệp (Nga) được chọn làm giải pháp tích hợp cho việc ứng dụng. Để đánh giá hiệu quả của hệ thống đã chọn, tại Russ Bank đã thực hiện thêm một dự án thử nghiệm nữa. Dự án này xác nhận tính hiệu quả của nó và giúp mọi người tin chắc vào sự đơn giản trong ứng dụng. Việc sử dụng hệ thống điện tử luân chuyển hồ sơ tài liệu lồng trong sản phẩm đã đảm bảo tổ chức hiệu quả quy trình kinh doanh liên quan các dịch vụ cung cấp cho khách hàng của NHTX. “Việc lựa chọn hệ thống Avanport là do phải nâng tính bảo mật cho hệ thống NHTX và xây dựng hệ thống tổng thể quản lý truy nhập”, Shumsky kể.
 |
| Russ Bank có kế hoạch mở rộng khả năng tiếp cận, làm việc trên hệ thống ngân hàng từ xa cho các khách hàng công ty... |
Triển khai nhanh
Việc khai thác thử nghiệm hệ thống hiện đại hoá bắt đầu từ tháng 5/2010. Đến cuối tháng 8/2010, dự án được đưa vào khai thác chính thức. 3 tháng là thời gian cho các công việc hiệu chỉnh. “Khi thực hiện những dự án tương tự, phải lưu ý đặc biệt các tổ chức kết nối vào dự án vì đụng chạm nhiều quy trình kinh doanh trong ngân hàng. Phải thống nhất các khía cạnh kinh tế, tư pháp và kỹ thuật của dự án đang được triển khai, trong đó, không được phép quên các vấn đề đảm bảo an ninh”, Shumsky bình luận.
Bước chuyển sang công nghệ bảo mật hiện đại cho Russ Bank thêm ưu thế cạnh tranh trong việc giới thiệu các dịch vụ NHTX ra thị trường. Theo các đánh giá, thời hạn hoàn vốn của dự án sẽ không quá 15 tháng nhờ các cắt giảm chi phí trực tiếp và gián tiếp liên quan đến khai thác hệ thống NHTX. Trong thời gian tới, Russ Bank có kế hoạch mở rộng khả năng tiếp cận, làm việc trên hệ thống NHTX cho các khách hàng công ty. Trong đó, với các khách hàng VIP, có thể gỡ bỏ các hạn chế về tổng số chi và lệnh chi.
Việc khai thác thử nghiệm hệ thống hiện đại hoá bắt đầu từ tháng 5/2010. Đến cuối tháng 8/2010, dự án được đưa vào khai thác chính thức. 3 tháng là thời gian cho các công việc hiệu chỉnh. “Khi thực hiện những dự án tương tự, phải lưu ý đặc biệt các tổ chức kết nối vào dự án vì đụng chạm nhiều quy trình kinh doanh trong ngân hàng. Phải thống nhất các khía cạnh kinh tế, tư pháp và kỹ thuật của dự án đang được triển khai, trong đó, không được phép quên các vấn đề đảm bảo an ninh”, Shumsky bình luận.
Bước chuyển sang công nghệ bảo mật hiện đại cho Russ Bank thêm ưu thế cạnh tranh trong việc giới thiệu các dịch vụ NHTX ra thị trường. Theo các đánh giá, thời hạn hoàn vốn của dự án sẽ không quá 15 tháng nhờ các cắt giảm chi phí trực tiếp và gián tiếp liên quan đến khai thác hệ thống NHTX. Trong thời gian tới, Russ Bank có kế hoạch mở rộng khả năng tiếp cận, làm việc trên hệ thống NHTX cho các khách hàng công ty. Trong đó, với các khách hàng VIP, có thể gỡ bỏ các hạn chế về tổng số chi và lệnh chi.
Ý kiến bạn đọc
TIN TỨC MỚI
• 10 thương vụ "cá lớn nuốt cá bé" nổi bật nhất thế giới công nghệ trong năm 2016 (19/12/2016)
• Cạnh tranh bán lẻ trực tuyến ngày càng khốc liệt (16/12/2016)
• Phạm vi và đối tượng của Thương mại điện tử (16/12/2016)
• Năm 2016, thương mại điện tử tăng mạnh (15/12/2016)
• Cung cấp giải pháp tìm kiếm thông tin thương mại Thủ đô (15/12/2016)
• Thương mại điện tử Việt Nam 2016: "Tam quốc diễn nghĩa" Trung - Thái - Hàn, doanh nghiệp Việt gồng mình đấu với cả 3 (14/12/2016)
• Online Friday 2016 lập kỷ lục doanh thu (09/12/2016)
• Đại gia bán lẻ đua làm thương mại điện tử (04/12/2016)
• Để ngành hậu cần song hành cùng thương mại điện tử (02/12/2016)
• Cyber Monday khác gì với Black Friday? (02/12/2016)
TIN TỨC CŨ
