Ngân hàng ngại đầu tư hệ thống bảo mật
- Thứ hai - 12/09/2016 17:22
- In ra
- Đóng cửa sổ này
Nhiều máy ATM không được lắp hệ thống bảo mật thông tin hoặc được lắp để “làm vì” - Ảnh: K.Linh
Khách hàng khó phát hiện “bẫy”
Trường hợp mới nhất bị mất tiền trong tài khoản là chủ thẻ Visa Debit của Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) Phạm Thị Minh Hạnh. Theo đó, tối 1/9 khi đang đi với bạn, điện thoại của chị Hạnh liên tục nhận tin nhắn tài khoản phát sinh 4 giao dịch thành công với tổng số tiền hơn 20 triệu đồng. Ngân hàng đã tạm ứng trước số tiền bị mất cho khách hàng nhưng đến nay vẫn chưa có kết quả điều tra vụ việc. Đáng chú ý là vụ việc xảy ra trước khi diễn ra hội nghị trực tuyến 63 tỉnh, thành về đảm bảo an ninh, an toàn trong thanh toán điện tử và thanh toán thẻ của Ngân hàng Nhà nước.
Phó thống đốc Ngân hàng Nhà nước Nguyễn Kim Anh đã yêu cầu các ngân hàng phải tổng kiểm tra, rà soát toàn bộ các quy trình nghiệp vụ, hạ tầng công nghệ, nguồn nhân lực... của các hệ thống thanh toán và thanh toán thẻ. Hạng mục nào chưa tuân thủ quy định phải báo cáo Ngân hàng Nhà nước trước ngày 30/10 và khắc phục ngay trong năm 2016. Phó thống đốc cũng yêu cầu các ngân hàng định kỳ rà soát, bổ sung các thiết bị đảm bảo an ninh, an toàn cho ATM như lắp đặt camera giám sát, hệ thống báo động sự cố, hệ thống chống trộm…, kiểm tra ATM/POS để kịp thời phát hiện và ngăn chặn các thiết bị lắp đặt trái phép nhằm trộm cắp thông tin của chủ thẻ; Đồng thời nghiên cứu, áp dụng các công nghệ bảo mật tiên tiến như xác thực sinh trắc học, khóa công khai PKI, công nghệ 3D secure cho các khách hàng có giao dịch lớn và từng bước mở rộng cho toàn bộ các đối tượng khách hàng. |
Theo giám đốc trung tâm thẻ của một ngân hàng cổ phần, chưa có kết quả điều tra song trường hợp của chị Hạnh cũng như một số trường hợp bất ngờ mất tiền khác liên tiếp xảy ra gần đây có thể rơi vào một trong những trường hợp là khách hàng đã giao dịch tại ATMbị gắn thiết bị theo dõi, thẻ của khách hàng đã bị người khác sử dụng… Trong trường hợp khách quan là khách hàng đã từng giao dịch tại các ATM đã bị gắn thiết bị theo dõi thì bản thân khách hàng rất khó phát hiện.
Đại tá Trần Văn Doanh, Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao (C50, Bộ Công an), cho biết, thủ phạm thường sử dụng một bảng nhựa có chứa thiết bị lấy cắp thông tin ốp ngoài khe quẹt thẻ. Khi thẻ ATM được đưa vào khe cắm sẽ bị tội phạm lấy toàn bộ thông tin lưu trữ trên dải từ. Tinh vi hơn, tội phạm có thể lắp một camera nhỏ ngụy trang trong thanh nhựa hoặc bảng quảng cáo ốp ngay phía trên bàn phím của máy ATM để ghi lại toàn bộ hoạt động nhập mã PIN của khách khi rút tiền. Hình thức tội phạm này đã bị C50 phát hiện liên tục trong ba năm trở lại đây tại: Hà Nội, TP.HCM, Huế, Quảng Nam, Ninh Thuận, Vũng Tàu…
Đại tá Doanh cho hay, Cục C50 đã kiến nghị Ngân hàng Nhà nước chỉ đạo các ngân hàng thương mại lắp thiết bị và phần mềm chống trộm cho các máy ATM nhưng vẫn còn nhiều ATM chưa được cài đặt thiết bị này. Hoặc có ATM đã lắp đặt thiết bị chống trộm nhưng chỉ “làm vì” do chỉ để ở chế độ không chống được việc trộm cắp thông tin thẻ.
Nâng cấp an toàn bảo mật cho thanh toán điện tử
Trước hàng loạt vụ mất tiền trong tài khoản khách hàng tại một số ngân hàng vừa qua, ông Đặng Công Hoàn, GĐ Kinh doanh thẻ và Dịch vụ chấp nhận thẻ Techcombank cho biết, ngân hàng này thường xuyên chú trọng đầu tư nâng cấp hệ thống bảo mật. “Hiện tại chúng tôi đang áp dụng cơ chế bảo mật cho giao dịch Ebanking thông qua OTP sinh ra bởi Hard token (Token Key tách rời), OTP thông qua SMS/email. Để thực hiện nhận OTP theo hình thức này, chúng tôi tổ chức đăng ký rất cẩn thận, trong đó đăng ký lần đầu, khách hàng sẽ phải thực hiện tại quầy”, ông Đặng Công Hoàn cho hay.
Bên cạnh đó, theo ông Hoàn, hệ thống tài khoản thẻ của Techcombank cũng áp dụng tiêu chuẩn bảo mật quốc tế PCI DSS (bộ tiêu chuẩn bảo mật, kiểm soát thất thoát dữ liệu qua các hệ thống giao dịch giữa thẻ và tài khoản thẻ do Hội đồng Tiêu chuẩn Bảo mật - SSC gồm các tổ chức thẻ quốc tế lớn trên thế giới như: Visa, MasterCard, American Express (AMEX), Discover Financial Services, JCB International)... Ông Hoàn cho biết, để đạt được tiêu chuẩn PCI DSS, các ngân hàng cần đáp ứng 12 yêu cầu khắt khe dành cho hệ thống về chính sách an ninh thông tin, quy trình xử lý dữ liệu, cấu trúc mạng máy tính… Yêu cầu khắt khe và đầu tư cho bảo mật đồng nghĩa với việc tăng thêm chi phí, giảm lợi nhuận.
Chính vì thế, ông Trần Công Quỳnh Lân, Phó tổng GĐ Ngân hàng TMCP Công thương (VietinBank) cho biết, để bảo đảm lợi nhuận, các ngân hàng đang buộc phải thu phí cho các tính năng tăng cường bảo mật, trong khi bản thân khách hàng lại không hiểu rõ về giá trị của các tính năng này do trong nhiều trường hợp, các tính năng tăng cường bảo mật gây thêm nhiều phiền toái cho khách hàng. “Chính vì thế, có một sự thật trớ trêu là đầu tư về bảo mật cho hệ thống online banking lại làm cho hệ thống giảm sức cạnh tranh trên thị trường và các ngân hàng phần nào e ngại việc này”, Phó tổng GĐ Vietinbank cho hay.
Ông Lân cũng cho rằng, thời gian tới, Ngân hàng Nhà nước cần yêu cầu các ngân hàng phải triển khai đồng bộ hình thức an toàn bảo mật tiên tiến của các nước trên thế giới để nâng cấp an toàn bảo mật cho thanh toán điện tử và thanh toán thẻ.