Xây dựng niềm tin cho khách hàng với chiến lược đảm bảo an ninh thông tin hiệu quả

15:02 | 05/04/2010

Xây dựng niềm tin cho khách hàng với chiến lược đảm bảo an ninh thông tin hiệu quả

http://125.212.203.61:1003/files/images/site-2/20100405/web/xay-dung-niem-tin-cho-khach-hang-voi-chien-luoc-dam-bao-an-ninh-thong-tin-hieu-qua-6-133155.png

Trong những năm gần đây, vấn đề bảo mật thông tin trở thành một chủ đề thu hút sự chú ý, thu hút sự quan tâm của cả khách hàng – những người sử dụng dịch vụ và doanh nghiệp – những người cung cấp dịch vụ, trở thành bài toán tương đối nan giải không chỉ đối với các nhà quản trị hệ thống mà cả lãnh đạo doanh nghiệp. Đặc biệt trong các ngân hàng, nơi mà hệ thống công nghệ thông tin (CNTT) chi phối toàn bộ hoạt động và luồng trao đổi thông tin qua hệ thống CNTT chính là “luồng tiền” thì vấn đề an toàn, bảo mật thông tin mang tính quyết định. Bảo mật và an toàn thông tin (BM&ATTT) có quan hệ chặt chẽ với quản trị rủi ro tác nghiệp nên khi ngân hàng không đảm bảo được an ninh thông tin, không chỉ những dịch vụ mới như ngân hàng trực tuyến bị ảnh hưởng mà những hoạt động truyền thống như huy động vốn và cho vay cũng bị tác động bất lợi. Mặc dù có tầm quan trọng như vậy, nhưng cho đến nay, ở nhiều nơi, vấn đề BM&ATTT vẫn chưa được xem xét và giải quyết một cách hợp lý, thấu đáo. Coi bảo mật như một “cỗ máy” tiêu tốn kinh phí và gây cản trở quá trình kinh doanh, nên nhiều ngân hàng chỉ triển khai để đáp ứng các quy định bắt buộc của các tổ chức hữu quan hay đối phó với các kiến nghị của khách hàng. Nhận rõ sự nguy hại của quan điểm thụ động trên, VietinBank đã xây dựng một chiến lược đảm bảo an toàn thông tin hiệu quả, gắn an toàn thông tin với quản trị rủi ro tác nghiệp và phát triển niềm tin của khách hàng, đem lại lợi thế cho doanh nghiệp.

Trong môi trường cạnh tranh gay gắt hiện nay, các ngân hàng đang phải quan tâm phát triển quy mô hệ thống, đổi mới các sản phẩm dịch vụ, tạo uy tín và thu hút khách hàng. Việc mở rộng dịch vụ đòi hỏi sự gia tăng công nghệ và đi kèm với những nguy cơ bảo mật mới. Mặt khác, việc mở cửa hội nhập và phát triển mạnh mẽ của các dịch vụ tài chính, ngân hàng, đặc biệt là các dịch vụ điện tử, đã xóa đi các giới hạn không gian, tạo điều kiện thuận lợi nảy sinh các loại hình tội phạm công nghệ cao và chính sự phát triển nhanh chóng của chúng sẽ trở thành rào cản đối với ứng dụng ngân hàng.

Một kết quả khảo sát của Cục Thương mại điện tử và CNTT trong giai đoạn 3 năm (từ 2006- 2008) cho thấy vấn đề BM&ATTT, trong đó bao gồm cả thông tin cá nhân, luôn được các doanh nghiệp đánh giá là một trong những rào cản lớn nhất (xếp thứ 3 trong số 7 trở ngại lớn nhất) đối với sự phát triển thương mại điện tử ở Việt Nam. Mặc dù không có số liệu thống kê về khách hàng trong nước, chúng ta có thể nhận thấy một điều tương tự qua số liệu của các tổ chức Gartner và Cyber Security Industry Alliance, theo đó 14% số người được hỏi đã ngừng sử dụng dịch vụ thanh toán hóa đơn trực tuyến và 4% ngừng luôn cả việc sử dụng dịch vụ ngân hàng trực tuyến. Nhưng đó vẫn chưa phải là thách thức lớn nhất với các ngân hàng. Nguy cơ lớn hơn cả sự ngần ngại của khách hàng và thất thoát thông tin do gian lận trực tuyến gây ra ảnh hưởng tới uy tín của ngân hàng. Thương hiệu mà các ngân hàng đã phải tốn nhiều năm và không ít chi phí để gây dựng có thể bị tiêu hủy chỉ trong một ngày khi một sự cố rủi ro tác nghiệp lớn xảy ra. Nhưng điều đó không có nghĩa là các ngân hàng có thể “bình chân như vại” trước những vụ việc nhỏ, lẻ mới phát sinh như gian lận thẻ, gian lận trong dịch vụ ngân hàng trực tuyến.... Theo khảo sát Consumer Banking Survey 2005 của Financial Insights, gần 10% phân khúc khách hàng sinh lợi nhiều nhất cho ngân hàng ở Mỹ đã chuyển sang sử dụng dịch vụ của ngân hàng khác để tránh trở thành nạn nhân của gian lận trực tuyến. Mỗi sự cố, dù rất nhỏ, sẽ dần bào mòn lòng tin của khách hàng và thông qua tác động của truyền thông đại chúng, lan toả rộng hơn trên thị trường. Ngay cả trong môi trường mà dịch vụ ngân hàng điện tử chưa phổ biến như ở nước ta, sự giảm sút lòng tin của khách hàng không chỉ đơn thuần tác động đến dịch vụ ngân hàng điện tử. Gian lận hay sự cố trong dịch vụ ngân hàng điện tử chính là dấu hiệu của chất lượng dịch vụ khách hàng chưa cao. Vì thế những khách hàng lớn tuổi, những người chưa từng biết tới ATM hay sử dụng dịch vụ ngân hàng trên Internet, cũng có thể sẽ bỏ qua dịch vụ truyền thống của những ngân hàng có nhiều “tai tiếng”.

Để đối phó với những nguy cơ tiềm tàng, từ năm 2001, VietinBank đã triển khai một chiến lược đảm bảo an toàn, bảo mật tổng thể, bảo vệ theo chiều sâu. Đó là sự kết hợp của nhiều thành phần bảo mật khác nhau: an toàn vật lý, bảo mật hạ tầng mạng, bảo mật hệ thống, bảo mật host, bảo mật ứng dụng, bảo mật dữ liệu, bảo mật cho người dùng,... Các hệ thống BM&ATTT được đội ngũ chuyên trách về an toàn thông tin liên tục xem xét và thực hiên theo một quá trình bảo mật thông tin khép kín, tạo thành một chu trình được lặp lại liên tục nhằm không ngừng hoàn thiện hệ thống an toàn thông tin của ngân hàng.

Hệ thống CNTT của VietinBank đã có những biện pháp an ninh cần thiết bao gồm:
- Phần mềm chống virus và mã độc được cập nhật thường xuyên.
-  Tường lửa.
-  Lọc thư rác.
-  Bảo mật kết nối giữa máy trạm và máy chủ.
-  Phần mềm/phần cứng xác thực cho người dùng nội bộ.
-  Phần mềm/phần cứng xác thực cho người dùng bên ngoài (khách hàng, đối tác).
-  Hệ thống phát hiện thâm nhập (IDS).
-  Lưu trữ thường xuyên các dữ liệu trọng yếu đối với hoạt động kinh doanh.
- Trung tâm dữ liệu dự phòng.

Kết hợp với biện pháp triển khai các giải pháp xác thực mạnh như PalmSecure, thẻ sinh khóa dùng một lần SecurId của RSA, việc cập nhật kiến thức về bảo mật cho các cán bộ phát triển ứng dụng và bổ sung chức năng kiểm soát của bộ phận chuyên trách trước cũng như sau khi cập nhật chương trình mới đã góp phần nâng cao độ an toàn của hệ thống. Trong điều kiện an toàn là mối quan tâm hàng đầu của ngân hàng cũng như khách hàng, VietinBank đã triển khai được một số dịch vụ qua Internet như: thanh toán qua Internet và SMS. Khách hàng có thể đăng ký sử dụng dịch vụ vấn tin ATM trực tuyến, không cần trực tiếp đến ngân hàng. Hơn thế nữa, các hệ thống cảnh báo, giám sát hoạt động giao dịch, biến động trên tài khoản và thông tin của khách hàng được triển khai đồng bộ với các dịch vụ được ngân hàng đưa ra nhằm giúp cho khách hàng kiểm soát tốt tài khoản của mình. Để tránh tình trạng có quá nhiều hệ thống giám sát và hệ thống ghi log nhưng không được đội ngũ quản trị thường xuyên rà soát và phân tích rủi ro, VietinBank đã xây dựng một hệ thống quản lý hạ tầng CNTT với tiêu chí đáp ứng yêu cầu theo chuẩn ITIL mới nhất, quản lý hệ thống công nghệ trên cơ sở chất lượng dịch vụ.

Bảo mật là một quá trình chứ không phải là một sản phẩm nên chỉ riêng đội ngũ cán bộ chuyên trách sẽ không thể đảm nhận hết trách nhiệm đảm bảo an toàn cho cả hệ thống. VietinBank đã thúc đẩy việc xây dựng các quy trình bảo mật theo chuẩn ISO 17799 và tăng cường giáo dục cho cán bộ nhân viên về sự cần thiết cũng như các biện pháp, quy định của ngân hàng, nhằm đưa BM&ATTT trở thành một phần hữu cơ trong mỗi quy trình dịch vụ. Ngân hàng cũng đã chủ động đưa ra những dịch vụ, tính năng mới giúp nâng cao độ an toàn cho khách hàng như nhắn tin thông báo biến động số dư, chống đọc trộm dữ liệu thẻ tại ATM.

Một nghiên cứu do MIT và Harvard thực hiện cách đây vài năm cho thấy: khi biểu tượng chiếc khóa vàng (thể hiện kết nối được mã hóa bằng HTTPS) được gỡ bỏ khỏi trang đăng nhập, 96% số người tham gia vẫn nhập mật khẩu một cách bình thường. Ngay cả khi cảnh báo về trang web khả nghi hiện ra, 57% số người tham gia vẫn bỏ qua cảnh báo để nhập mật khẩu. Những thiết bị sinh mã ngẫu nhiên sử dụng một lần có thể bị vô hiệu nếu khách hàng sử dụng Internet Banking không quan tâm đến việc bảo vệ máy tính, để cho mã độc của tin tặc chiếm quyền điều khiển máy của mình. Vì thế, các ngân hàng cần tuyên truyền một cách tích cực để khách hàng hiểu những nguy cơ về bảo mật và cách thức ngân hàng đang áp dụng để bảo vệ họ. Với mỗi sự cố xảy ra, cần nhấn mạnh cho khách hàng thấy lợi ích của các biện pháp bảo mật nâng cao mà nếu áp dụng, họ đã có thể tránh được tổn thất. Khi đã nhận thức được vấn đề, khách hàng sẽ vui lòng chia sẻ chi phí bảo mật với ngân hàng và chủ động hơn trong việc bảo vệ thông tin. Những điều khoản bắt buộc cần được đưa vào thoả thuận sử dụng dịch vụ để khách hàng hiểu những rủi ro có thể xảy ra và cho phép họ lựa chọn biện pháp phòng tránh. Hơn thế nữa, để san sẻ chi phí cho khách hàng, ngân hàng có thể cung cấp tiện ích bảo mật cao cấp miễn phí cho những khách hàng thân thiết, đồng thời đảm bảo mức độ an toàn tối thiểu cần có cho tất cả các khách hàng.