• Thứ Tư, 27/05/2009 10:52 (GMT+7)

    Internet Banking tại Singapore: An toàn thông tin và vai trò quản lý

    Tạp chí TGVT đã có cuộc trao đổi với ông Tony Chew, trưởng bộ phận Công Nghệ Quản Lý Rủi Ro, ngân hàng Trung Ương Singapore (MAS) về các giải pháp an toàn thông tin (ATTT) cho hệ thống Internet Banking và vai trò của cơ quan quản lý nhà nước trong lĩnh vực này.

    Không thể lường trước rủi ro từ Internet Banking

    Thế Giới Vi Tính: Ông có thể cho biết vai trò của Chính Phủ (CP) Singapore trong việc đảm bảo ATTT nói chung và trong Internet Banking (I-B) nói riêng?

    Ông Tony Chew: Trước tiên chúng ta hãy trở lại với mục tiêu hoạt động của ngành ngân hàng (NH). Ở tất cả các quốc gia, mong muốn của ngành NH là hoạt động an toàn, hiệu quả, mang lại các dịch vụ tốt cho người dùng. Để đạt được mục tiêu đó, các hệ thống dịch vụ NH như I-B phải tạo cho người dùng cảm giác tin cậy. Muốn vậy, vai trò của NH Trung Ương (TW) như MAS phải xây dựng những quy định để điều chỉnh các hoạt động đó. Cụ thể, MAS đã phải nghiên cứu bối cảnh an ninh ở các quốc gia khác và xây dựng tiêu chuẩn phù hợp cho Singapore và giúp các NH thương mại (TM) triển khai được các tiêu chuẩn đó. Mặt khác, MAS phải giúp các NHTM không bị ảnh hưởng đến uy tín cũng như hình ảnh của họ khi bị tấn công; tạo lòng tin của người dùng đối với các dịch vụ trực tuyến và khuyến khích họ sử dụng. Như vậy, có thể thấy vai trò của CP Singapore là xây dựng, ban hành các tiêu chuẩn, các quy định, các định hướng để các NH tuân thủ và khi họ tuân thủ, hệ thống của họ sẽ được an toàn.

    Các quy định do MAS đưa ra có giá trị như thế nào? Được biết ở một số quốc gia có Luật ATTT (chẳng hạn như Mỹ), còn ở Singapore thì sao?

    So với Mỹ, tôi cho rằng hệ thống quyền lực và pháp lý của MAS còn mạnh hơn rất nhiều. Ngoài việc đưa ra các hướng dẫn, chính phủ Singapore còn cho phép MAS có quyền đưa ra các luật, quy định. Ví dụ, MAS đã ban hành luật về hoạt động của NH (Banking Act). Các NHTM ở Singapore nếu không tuân thủ các nghị định, hướng dẫn sẽ bị buộc phải đóng cửa. Như vậy, MAS có quyền rất lớn. Tất nhiên chúng tôi đưa ra những quy định này để khuyến khích các NH tự nguyện tham gia. Nhưng nếu họ không tham gia, MAS sẽ có những chế tài áp đặt.

    Tháng 12/2006, Singapore chính thức đưa vào vận hành hệ thống 2FA (Two factor authentication - hệ thống xác thực 2 nhân tố) để đảm bảo an toàn cho hệ thống Internet Banking tại quốc gia này. Để xác thực, hệ thống ATTT sử dụng nhiều nhân tố khác nhau như What you have (cái bạn có, chẳng hạn mật khẩu, token), What you know (cái bạn biết – bao gồm các câu hỏi) hay What you are (cái bạn làm)... Hệ thống 2FA sử dụng 2 nhân tố xác thực thuộc hai nhóm khác nhau kể trên để xác thực giúp tăng tính an toàn.
    Quá trình triển khai và hiệu quả của hệ thống này cũng đã được ông Tony Chew trình bày tại hội thảo “Đảm bảo an toàn hệ thống thông tin cho Internet Banking” do VNISA tổ chức ngày 7/4/2009 tại Hà Nội.

     

    Trên thực tế, Singapore có Banking Act trao cho MAS rất nhiều quyền nhưng chưa bao giờ chúng tôi sử dụng quyền đó mang tính chủ quan. MAS thường chọn phương án hợp tác giữa NH TW với NHTM và các đối tác liên quan để cùng thảo luận, tìm ra một giải pháp có ích cho tương lai của ngành tài chính-NH. Chẳng hạn, ngoài làm việc với các NHTM, MAS làm việc với các nhà cung cấp giải pháp an ninh như McAfee, Entrust, Symantec... để tìm ra giải pháp hữu hiệu nhất cho lĩnh vực tài chính-NH ở Singapore với giá hợp lý nhất.

    Quan điểm của chúng tôi khi xây dựng chiến lược ATTT là chúng ta không bao giờ biết được tất cả. Vì vậy, chúng tôi làm việc với các bên và lắng nghe ý kiến của họ. Trước khi ban hành một chính sách nào đó, chúng tôi soạn dự thảo và gửi nhờ các bên đóng góp ý kiến.

    Hãy vượt qua mối e ngại về nhận thức người dùng

    Nhiều NH ở Việt Nam vẫn rụt rè khi triển khai I-B vì e ngại nhận thức và ý thức của người dùng có thể ảnh hưởng đến sự an toàn hệ thống của họ. Vậy tại sao Singapore mạnh dạn triển khai I-B?

    Về giải pháp, nhận thức của người dùng không phải là vấn đề lớn nếu chúng ta giải quyết theo từng giai đoạn một. Ở Việt Nam, giai đoạn đầu có thể tập trung vào phân khúc khách hàng có thu nhập cao, có nhận thức tốt để triển khai các giải pháp an ninh. Các NH thường cho rằng triển khai các giải pháp an ninh sẽ gặp khó khăn từ người dùng. Qua thực tế tại Singapore, chúng tôi nhận thấy đó là quan điểm sai lầm. Nếu bắt đầu từ nhóm KH có trình độ cao, nhận thức tốt, có khả năng giao dịch nhiều để triển khai các biện pháp an ninh thì hiệu ứng lan truyền sẽ rất tốt. Còn nếu khách e ngại về tính phức tạp của giải pháp an ninh thì hãy để họ thử trực tiếp. Ví dụ giải pháp hệ thống xác thực 2 nhân tố (2FA-Two factor authentication). Mới đầu, người dùng cũng e ngại nhưng sau khi bấm token để lấy mã pin họ cảm thấy động tác này không khác gì việc sử dụng điện thoại. Nếu ai đã quen với việc sử dụng điện thoại thì cũng rất dễ quen với token. Qua đây, tôi muốn nói với các NH là hãy vuợt qua mối e ngại ban đầu về vấn đề của người dùng. Sẽ không có vấn đề gì nếu chúng ta có các chương trình đào tạo họ phù hợp và những chương trình triển khai phù hợp.

    Ông có thể chia sẻ những điểm cần lưu ý khi xây dựng chiến lược ANTT cho I-B?

    Với vai trò là NH TW, chúng tôi thường nghiên cứu, rà soát lại các tiêu chuẩn hoặc việc triển khai ở các quốc gia trên thế giới như châu Âu, Mỹ. Dựa trên đó, chúng tôi tùy biến thành bộ quy định cho Singapore. Như vậy chúng tôi có bộ quy định được tập hợp từ những cái tốt. Chúng tôi đã soạn ra bộ quy định “Quản lý rủi ro về công nghệ và giao dịch NH qua Internet” (IBTRM - Internet Banking and Technology Risk Management). Nếu đọc IBTRM, quý vị sẽ thấy nó là tập hợp những gì tinh túy nhất từ quy định của các nước khác. Quý vị có thể download sử dụng miễn phí bộ quy định này tại website của chúng tôi (www.mas.gov.sg).

    Với Việt Nam, tôi nghĩ các bạn là một quốc gia đi sau nhưng có những lợi điểm khác. Cụ thể, trong hệ thống NH của VN không có các hệ thống cũ nên không phải băn khoăn về việc tận dụng lại hệ thống đã đầu tư. Việt Nam có thể áp dụng ngay các hướng dẫn, tiêu chuẩn mới, sử dụng các bài học của các NH trên thế giới để triển khai ngay hệ thống hiện đại. Mặt khác, giá cả của các giải pháp an ninh cho I-B ở thời điểm hiện nay đã hợp lý hơn. Khuyến nghị của cá nhân tôi là đừng triển khai I-B rồi mới triển khai hệ thống ATTT kiểu như 2FA, sẽ rất phức tạp và tốn kém. Nên triển khai đồng thời, sẽ hiệu quả và rẻ hơn rất nhiều. Tại Singapore, I-B và 2FA là bộ đôi không thể tách rời.

    Xin trân trọng cảm ơn ông !

    Internet Banking Việt Nam: Luôn phải nhận thức dược rủi ro
    Tại hội thảo “Đảm bảo an toàn hệ thống thông tin cho Internet Banking”, ông Vũ Quốc Thành, tổng thư ký hiệp hội ATTT (VNISA) cho biết, đã đến lúc Việt Nam cần mạnh dạn rút ra bài học từ kinh nghiệm triển khai hệ thống I-B của các nước trên thế giới. “Về phía cơ quan quản lý nhà nước, một hệ thống chính sách ATTT hoàn thiện sẽ giúp cho NH giảm thiểu được rất nhiều rủi ro. Trong đó, chính sách sẽ bao gồm việc nhắc nhở, cảnh báo chúng ta rằng kinh doanh NH luôn luôn có điểm yếu. Nhận thức về rủi ro cần được liên tục quán triệt ở mọi cấp độ và trở thành “văn hóa” của tổ chức.”

    Thu Nga (thực hiện)

    ID: B0905_66