Gia tăng bảo mật trong hoạt động thanh toán trực tuyến

	Các ngân hàng cảnh báo giao dịch giả mạo ngân hàng điện tử
	Nâng cao an toàn bảo mật trong thanh toán là trọng tâm chỉ đạo điều hành của NHNN
	Tư vấn bảo mật cho chủ tài khoản

Thanh toán trực tuyến là nhu cầu tất yếu của xã hội hiện đại, giúp mang lại những giá trị to lớn qua việc xóa bỏ những giới hạn về không gian và thời gian, rút ngắn thời gian giao dịch, tăng vòng quay của dòng vốn, đáp ứng nhu cầu phát triển kinh tế - xã hội. Song song với những lợi ích như đã nêu, thanh toán trực tuyến cũng đang đối mặt với những thách thức to lớn từ các gian lận và tội phạm công nghệ cao có tính tổ chức, xuyên biên giới. Lường trước những mối nguy hại tiềm ẩn, NHNN đã tăng cường các giải pháp bảo mật trong thanh toán trực tuyến.

Ảnh minh họa

Cục trưởng Cục Công nghệ thông tin Lê Mạnh Hùng cho biết: Việt Nam trong thời gian qua đã ban hành nhiều chính sách, tiêu chuẩn về an toàn thông tin, bao gồm từ Luật (Luật Giao dịch điện tử, Luật An toàn thông tin mạng và sắp tới là Luật An ninh mạng), Nghị định (Nghị định số 35/2007/NĐ-CP về giao dịch điện tử trong hoạt động ngân hàng; Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ) đến các Thông tư hướng dẫn.

Trên cơ sở ấy, NHNN đã ban hành nhiều văn bản quy phạm pháp luật về đảm bảo an toàn hoạt động công nghệ thông tin trong ngành tiệm cận với các chuẩn mực quốc tế về an toàn thông tin như ISO 27001, PCI DSS... Bên cạnh đó, NHNN còn là đầu mối thường xuyên tiếp nhận các cảnh báo về lỗ hổng bảo mật, nguy cơ mất an toàn của hệ thống công nghệ thông tin từ Bộ Công an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông và các tập đoàn, công ty công nghệ thông tin đối tác để cảnh báo, chỉ đạo các đơn vị trong toàn Ngành kiểm tra, rà soát và có giải pháp kịp thời phòng, tránh, không để xảy ra các hiện tượng mất an toàn.

Thực hiện chỉ đạo của NHNN, tại Trung tâm dữ liệu chính và Trung tâm dữ liệu dự phòng và các hệ thống quan trọng, các TCTD đã đầu tư, trang bị các giải pháp an ninh bảo mật cơ bản như: Tường lửa (Firewall); Hệ thống phát hiện xâm nhập (IPS/IDS); Hệ thống phòng chống virus; Xác thực đa thành tố đối với các giao dịch điện tử; Mã hóa dữ liệu đối với các hệ thống quan trọng. Hệ thống ứng dụng, máy chủ, máy trạm được quản lý, thường xuyên rà soát, cập nhật kịp thời các bản vá lỗ hổng để ngăn ngừa tội phạm xâm nhập tấn công vào hệ thống. Thực tế, các TCTD đều đã trang bị các giải pháp tăng cường an toàn, an ninh mạng như: Hệ thống quản lý sự kiện an ninh; Hệ thống phòng chống thư rác; Hệ thống lọc nội dung web; Hệ thống quản lý file nhật ký; Hệ thống đánh giá điểm yếu ứng dụng và mạng; Công nghệ chữ ký số PKI.

Bên cạnh đó, nhiều TCTD đã triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001, PCI DSS. Số lượng các TCTD đạt các tiêu chuẩn này đã tăng lên hàng năm. Đối với chuẩn PCI DSS, trên 60% các TCTD đã và đang triển khai áp dụng tiêu chuẩn an ninh dữ liệu thẻ PCI DSS, trong đó có 10 TCTD đạt chứng chỉ PCI DSS. Đối với chuẩn ISO 27001, trên 64% các TCTD đã và đang triển khai áp dụng, trong đó có 10 TCTD đã lấy chứng chỉ đạt tiêu chuẩn ISO 27001. Trong năm 2017, các TCTD cũng đã tích cực triển khai chương trình CSP SWIFT để tăng cường đảm bảo an toàn cho hoạt động chuyển tiền quốc tế qua hệ thống SWIFT.

Ông Đào Minh Tuấn, Chủ tịch Hiệp hội thẻ Việt Nam chia sẻ, thời gian qua, các ngân hàng đối mặt với nhiều rủi ro. Tổ chức thẻ quốc tế đã đưa ra những con số cụ thể về rủi ro, tội phạm thẻ, nhất là thẻ từ. Các ngân hàng quốc tế cũng đã có lộ trình để chuyển đổi từ thẻ từ sang thẻ chíp. Tuy nhiên, trên thực tế những nỗ lực chưa đạt kết quả như mong đợi. Hiện nay, các ngân hàng quốc tế vẫn vừa cung cấp thẻ từ vừa cung cấp thẻ chíp. Với thẻ từ, mức độ rủi ro có giảm nhưng vẫn còn ở mức cao. Đối với các ngân hàng Việt Nam theo thông lệ cũng phải đối mặt với những chuyện đó. Riêng đối với lĩnh vực ngân hàng nói chung, lĩnh vực thẻ nói riêng, các ngân hàng đã rất nỗ lực đưa ra giải pháp, cụ thể là giải pháp chống tội phạm thẻ, đặc biệt là thẻ ATM. Tuy nhiên, chúng ta cũng phải xác định là với ngân hàng, yếu tố rủi ro với thẻ từ còn duy trì. Với Hiệp hội thẻ, ngoài chia sẻ thông tin và giải pháp, Hiệp hội nhận chỉ đạo của Ngân hàng Nhà nước trong lộ trình chuyển từ thẻ từ sang thẻ chíp. Điều kiện cần thiết là sự chỉ đạo sát sao của NHNN, các chuẩn về thẻ hiện nay cũng đã ban hành. Ngoài ra, về công nghệ, các ngân hàng cũng tiếp cận, đầu tư hệ thống rất lớn và cũng xác định được trong thời gian sớm nhất đến năm 2020, toàn bộ các ngân hàng phải chuyển đổi sang thẻ chíp. Liên quan tới vấn đề rủi ro với thẻ thời gian qua, ngoài các giải pháp trong lộ trình đề ra, bản thân các ngân hàng cũng phải có sự phối hợp chặt chẽ với Bộ Công an ngăn chặn loại tội phạm này. Tội phạm thẻ đến từ cả khu vực châu Âu, từ nước láng giềng… với nhiều thủ đoạn khác nhau. “Chúng tôi đã phối hợp chặt chẽ với cơ quan công an và các địa phương để triển khai, phòng ngừa, phát hiện sớm, sau khi phát hiện thì chia sẻ kịp thời để hạn chế rủi ro”, ông Đào Minh Tuấn cho hay.

Theo Cục trưởng Cục Công nghệ Thông tin Lê Mạnh Hùng, trong năm 2018, NHNN thực hiện rà soát, hoàn thiện và tổ chức triển khai chính sách về an ninh bảo mật công nghệ thông tin, chính sách về quản lý rủi ro công nghệ thông tin tuân thủ các văn bản pháp luật của Nhà nước và các quy định của NHNN.

Đồng thời xây dựng kế hoạch ứng dụng công nghệ thông tin, trong đó chú trọng triển khai các chương trình, kế hoạch theo quy định của NHNN như: Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng đã được Thống đốc ban hành tại Quyết định số 630/QĐ-NHNN ngày 31/3/2017, áp dụng các công nghệ xác thực mạnh, phòng chống Phishing để cung cấp cho khách hàng sử dụng dịch vụ an toàn; Kế hoạch chuyển đổi thẻ từ sang thẻ chíp.

NHNN cũng sẽ xây dựng lộ trình triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật cho hệ thống công nghệ thông tin cũng như các dịch vụ thanh toán trực tuyến, thanh toán thẻ (ISO 27001, PCI/DSS); Trang bị các hệ thống hỗ trợ giám sát giao dịch điện tử, điều tra gian lận, từng bước tổng hợp, phân tích dữ liệu của khách hàng và xây dựng bộ quy tắc để phát hiện và ngăn chặn sớm các gian lận; xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định hoặc các dấu hiệu bất thường khác.

Đặc biệt, sẽ xây dựng trung tâm điều hành an ninh mạng để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng.