MỘT VÀI Ý KIẾN VỀ BẢO MẬT VÀ QUẢN LÝ RỦI RO CÁC GIAO DỊCH NGÂN HÀNG ĐIỆN TỬ

NGUYỄN ANH TUẤN – VIETTINBANK 1. Những hình thức gian lận mới và những biện pháp bảo mật lỗi thời Một điểm yếu căn bản của mô hình bảo mật hiện đang được áp dụng phổ biến là đặt trọng tâm vào xác thực người dùng trước khi giao dịch trong khi bỏ qua việc xác thực từng giao dịch. Tuy nhiên, điểm yếu đó chưa được nhìn nhận một cách thấu đáo. Thay vì thừa nhận điểm yếu không thể chối cãi của mô hình bảo mật dựa trên xác thực người dùng, nhiều nơi lại đổ lỗi cho biện pháp thực hiện. Xác thực bằng mật khẩu được thay thế bằng xác thực hai yếu tố (two-factor authentication), thẻ từ được thay thế bằng thẻ chip để chống làm giả. Và quả thực, việc sử dụng biện pháp xác thực hai yếu tố hay tăng độ phức tạp của các token định danh đem lại tác dụng tức thì: gian lận giảm nhanh trong một thời gian ngắn. Nhưng hãy cảnh giác, những biện pháp cải tiến tạm thời đó không giúp chúng ta ngăn chặn và đẩy lùi gian lận trong môi trường thương mại điện tử. Các phương pháp xác thực hai yếu tố hiện đang được quảng bá rộng rãi như giải pháp cho nạn đánh cắp mật khẩu trên Internet. Xác thực hai yếu tố có thể chặn đứng nạn đánh cắp mật khẩu nhờ yếu tố biến động theo thời gian nhưng không giúp chúng ta chống lại những cách tấn công kiểu mới như ngựa thành Troa hay phishing. Hiện nay đã bắt đầu xuất hiện những cách tấn công hệ thống xác thực người dùng rất khó chống đỡ, đó là: - Người trung gian: Hacker dựng một website ngân hàng giả và lừa người dùng truy cập vào đó. Khi người dùng nhập mật khẩu (dù là mật khẩu có sử dụng xác thực hai yếu tố), hacker liền dùng mật khẩu để truy cập trang web thực sự. Người dùng sẽ không bao giờ nhận ra họ vào nhầm trang web giả trong khi hacker tranh thủ chèn thêm giao dịch gian lận cùng với giao dịch thật của khách hàng.   - Ngựa thành Troa: Hacker cài chương trình xấu vào máy người dùng và đợi đến khi họ đăng nhập vào website của ngân hàng thì lợi dụng thời cơ chèn thêm các giao dịch gian lận. Ngay cả những hình thức xác thực qua hai kênh giao tiếp khác nhau (ví dụ như kiểm tra thêm mã bí mật được gửi tới điện thoại di động của khách hàng qua tin nhắn SMS) cũng chịu chung số phận. Mặc dù việc ăn trộm ở cả hai kênh sẽ trở nên hết sức khó khăn nhưng điều đó không có ý nghĩa. Những hacker làm trang web giả hay cài đặt ngựa thành Troa vào máy tính người dùng không cần đụng một ngón tay vì chúng nhờ chính người dùng để vượt qua hệ thống xác thực. Xác thực hai yếu tố có thể phát huy tác dụng với việc đăng nhập trong mạng nội bộ của các tổ chức nhưng sẽ bó tay với các trường hợp xác thực qua Internet. Xét ở một phương diện khác, xác thực hai yếu tố không phải mới xuất hiện trong những năm gần đây. Các loại thẻ chính là một hình thức token định danh trong xác thực hai yếu tố và đã hiện diện trên thế giới mấy chục năm nay. Cho tới khi mức độ gian lận do thẻ giả tăng cao, người ta mới chuyển sang sử dụng thẻ chip. Thẻ chip giúp chúng ta ngăn chặn và giảm thiểu nguy cơ làm giả thẻ nhưng không có tác dụng chống lại thủ đoạn ăn cắp định danh và cũng không giúp gì cho những giao dịch trên Internet. Thống kê ở Anh cho thấy sau khi triển khai thẻ chip thì gian lận bằng cách giả mạo thẻ giảm nhưng gian lận trong các giao dịch qua mạng tăng nhanh. Đó là chưa kể tới thủ đoạn gian lận thông qua ăn cắp định danh, thủ đoạn này rất phổ biến ở các nước Âu – Mỹ nhưng mới chỉ xuất hiện lác đác ở Việt Nam trong vài năm gần đây. Các công ty điện thoại di động là những người đầu tiên phải đối mặt với tệ nạn này (hiện tượng sử dụng giấy tờ giả để lập hợp đồng thuê bao điện thoại di động trả sau mà một số báo đã đưa tin không rõ có thể khiến người đọc hiểu nhầm là hệ thống tính cước tính sai) nhưng không phải các ngân hàng chưa chịu ảnh hưởng gì. Mặc dù các ngân hàng Việt Nam chưa phát hành thẻ tín dụng tín chấp thực sự nhưng trong các loại hình giao dịch khác, gian lận bằng định danh giả đã xuất hiện (ví dụ điển hình là vụ sử dụng hộ chiếu giả lập tài khoản để nhận các món chuyển tiền giả ở Ngân hàng Ngoại thương Việt Nam). Như vậy là các biện pháp xác thực người dùng mới chỉ khiến cho tội phạm mất một thời gian ngắn để tìm ra cách gian lận mới. Những tổ chức áp dụng công nghệ xác thực người dùng mới sẽ nhận thấy gian lận giảm đáng kể trong thời gian đầu vì tội phạm chuyển sang tấn công những mục tiêu dễ dàng hơn nhưng cuối cùng thì khi tất cả đều áp dụng công nghệ đó, số lượng gian lận sẽ giống nhau ở mọi nơi và lợi thế sẽ biến mất. Vì giới tội phạm ngày càng chuyển hướng và các cuộc tấn công mới không còn lợi dụng những lỗ hổng cũ trong hệ thống xác thực người dùng nên biện pháp xác thực hai yếu tố sẽ không giúp ích gì cho chúng ta. Nhiều người sẽ cho rằng bảo mật là một cuộc chạy đua không ngừng và việc nâng cấp công nghệ không phải là vô ích. Tất nhiên điều đó không sai nếu nó không khiến cho chúng ta bỏ qua những biện pháp hữu hiệu có khả năng làm giảm gian lận một cách triệt để: xác thực giao dịch. Khi tập trung vào việc xác thực từng khách hàng cụ thể thay vì xác thực các giao dịch mà họ thực hiện, các ngân hàng bị buộc phải chống lại các chiến thuật của bọn gian lận trong khi đáng lẽ nên chống lại bản thân gian lận. Nếu không tin tác dụng của mô hình bảo mật bằng xác thực giao dịch, các bạn hãy xem xét thị trường thẻ tín dụng ở Mỹ. Dù không có số liệu cụ thể nhưng chắc sẽ chắng có mấy người cho rằng tội phạm ở Mỹ hiểu biết về công nghệ kém tội phạm ở các nước khác trên thế giới nên không biết làm giả thẻ từ. Cũng không có căn cứ nào để khẳng định động cơ gian lận ở Mỹ thấp hơn. Trong khi luật pháp Mỹ buộc các tổ chức phát hành thẻ tín dụng phải chịu trách nhiệm về mọi giao dịch gian lận trừ 50 đôla đầu tiên nhưng họ vẫn kinh doanh tốt và không hề chết chìm vì gian lận. Họ xây dựng và áp dụng một loạt các công nghệ bảo mật để phát hiện và ngăn chặn các giao dịch gian lận trong khi hầu như không quan tâm đến việc xác thực chủ thẻ. Phần lớn số thẻ được phát hành là thẻ từ nhưng Visa và MasterCard không đặt mốc thời gian cho việc chuyển đổi sang thẻ chip. Các cơ sở chấp nhận thẻ chỉ kiểm tra chữ ký chủ thẻ. Giao dịch qua thư, điện thoại và Internet rất phổ biến mặc dù người bán không thể kiểm tra chữ ký chủ thẻ và thậm chí không kiểm tra được việc người mua có thẻ trong tay hay không. Các tổ chức phát hành thẻ không bắt buộc chủ thẻ phải bảo vệ đặc biệt gì đối với thẻ. Đó là vì họ không phải lo lắng về việc xác thực chủ thẻ mà tập trung vào xác thực các giao dịch. Điều đó cho chúng ta một bài học quan trọng. Dù chúng ta có xác thực người dùng bằng phương pháp xác thực hai yếu tố, bằng thẻ chip, bằng công nghệ sinh trắc học hay công nghệ gì đi nữa thì điều đó cũng không thể giải quyết được vấn đề. Vì mấu chốt của vấn đề là ngăn chặn các giao dịch gian lận nên để đạt được mục đích, chúng ta không thể đơn thuần dựa vào xác thực người dùng. Theo tôi những cách làm tương tự cũng nên được áp dụng cho các lĩnh vực dịch vụ tài chính khác để ngăn ngừa gian lận. Chúng ta có thể quy định hạn mức rút tiền như với các giao dịch ATM, trì hoãn một khoảng thời gian nhất định hoặc gọi điện cho khách hàng xác nhận đối với các khoản chuyển tiền lớn (một cách tương đối so với số dư thông thường của khách hàng), yêu cầu sự kiểm tra chặt chẽ và kỹ lưỡng hơn khi mở tài khoản hay thẻ tín dụng,… Kết hợp các biện pháp ngăn ngừa hợp lý có thể giúp các ngân hàng giải quyết vấn đề mà mọi phương pháp xác thực người dùng đều bó tay. 2.Công tác quản lý rủi ro của các giao dịch điện tử cần được nhìn nhận ở một góc độ mới Như chúng ta đã thấy ở phần trên, trọng tâm của công tác bảo mật cần được chuyển hướng từ xác thực khách hàng sang xác thực giao dịch. Ngay cả những giao dịch thủ công như rút tiền tiết kiệm cũng cần được cải tiến. Tại sao chỉ xác thực khách hàng dựa trên chứng minh thư và chữ ký trong khi chúng ta đều thấy rằng chứng minh thư rất dễ làm giả và các nhân viên ngân hàng không được đào tạo để kiểm tra chữ ký như công an hình sự. Nếu khách hàng đột nhiên rút trước hạn một số tiền lớn thì nên kiểm tra vân tay, ghi hình để làm bằng chứng. Những vụ chuyển tiền bất thường cần phải được kiểm tra đúp qua kênh đặc biệt. Nhưng ngay cả điều đó cũng chỉ góp phần làm giảm chứ không loại trừ hoàn toàn được các giao dịch gian lận. Hãy xét một ví dụ đơn giản mà chuyên gia bảo mật hàng đầu thế giới Bruce Schneier đã từng nêu: một khách hàng giàu có kiện công ty điện thoại vì hóa đơn cước quá lớn và bao gồm những cuộc gọi vị khách chưa bao giờ thực hiện. Khách hàng có thể chứng minh được họ đã bị lợi dụng. Hệ thống quản lý và phòng ngừa rủi ro của công ty điện thoại không phát hiện được vì số tiền cước vẫn nằm trong khả năng chi trả của khách hàng và các cuộc gọi không có gì quá bất thường. Không thể đặt mức giới hạn quá thấp vì sẽ gây phiền toái, khó chịu cho khách. Nếu buộc khách hàng chịu rủi ro thì có thể gây dư luận không tốt và đánh mất khách hàng. Vậy công ty điện thoại có thể làm gì trong trường hợp này. Theo Bruce Schneier, cách tốt nhất là tăng phí để dùng phần dôi ra để bù đắp cho những trường hợp rủi ro vì nếu nhà cung cấp dịch vụ phải chịu rủi ro thay cho một vài khách hàng thì thực chất chi phí đó cũng sẽ bị đẩy sang phía khách hàng và mỗi khách hàng sẽ chịu một ít thay vì một vài người ngẫu nhiên phải chịu rủi ro quá lớn. Ví dụ đó có rất nhiều điểm tương đồng với các dịch vụ ngân hàng điện tử, nhất là những vụ kiện gần đây liên quan tới giao dịch ATM tại Việt Nam. Sau vụ kiện của khách hàng Ngân hàng Kỹ thương đã có rất nhiều ý kiến khác nhau về cách xử lý. Theo một số người, giao dịch có PIN là không có gì phải bàn cãi – khách hàng phải chịu toàn bộ trách nhiệm. Ngược lại, có người lại cho rằng khả năng làm giả thẻ và đánh cắp PIN là rất lớn nên ngân hàng cần bảo vệ khách hàng tốt hơn. Theo giáo sư Ross Anderson (trường đại học Cambridge), việc luật pháp của Mỹ quy định nếu ngân hàng không chứng minh được khách hàng gian lận thì ngân hàng sẽ phải chịu rủi ro đã khiến các ngân hàng Mỹ xây dựng được hệ thống bảo mật và chống gian lận rất tốt. ý kiến này phần nào trùng với ý kiến của chuyên gia bảo mật Bruce Schneier khi ông cho rằng nên buộc các ngân hàng chịu trách nhiệm về rủi ro để có thể tìm ra những biện pháp bảo mật tốt hơn. Tuy nhiên việc gì cũng có hai mặt của nó, nếu các ngân hàng phải có trách nhiệm nâng cao chất lượng hệ thống bảo mật thì khách hàng cũng phải có trách nhiệm tự bảo vệ tài sản của mình. Nếu việc kiểm tra hệ thống bảo mật của ngân hàng mặc dù không đơn giản nhưng vẫn có thể thực hiện được thì việc kiểm tra hành vi giao dịch của khách hàng có tuân thủ quy trình bảo mật hay không lại cực kỳ phức tạp và tốn kém. Hơn nữa, trong môi trường kinh tế – xã hội chưa phát triển và luật pháp chưa chặt chẽ, việc buộc các ngân hàng phải chịu phần lớn trách nhiệm trong việc bảo mật và ngăn ngừa gian lận như ở Mỹ sẽ gây ra những rắc rối không nhỏ. Điều quan trọng là dù pháp luật có quy định như thế nào đi nữa thì các ngân hàng đều hiểu không thể hoàn toàn loại trừ trường hợp khách hàng bị lợi dụng cũng như không thể buộc khách hàng chịu hoàn toàn trách nhiệm tự bảo vệ. Đứng trước nguy cơ có thể chịu rủi ro, khách hàng chỉ có hai lựa chọn: từ chối sử dụng dịch vụ hoặc mua bảo hiểm. Vì từ chối sử dụng dịch vụ ngân hàng rõ ràng là điều không thể chấp nhận được trong xã hội hiện đại nên mua bảo hiểm là giải pháp duy nhất. Tuy nhiên, chưa có công ty bảo hiểm nào cung cấp loại hình dịch vụ này. Xét về phía các ngân hàng, chúng ta thấy rằng trong mọi loại hình dịch vụ, dù ít hay nhiều đều có chứa đựng yếu tố rủi ro và các ngân hàng đều phải lập các quỹ để bù đắp rủi ro nếu chúng xảy ra. Để có thể xây dựng và duy trì hệ thống bảo mật, lập quỹ dự phòng rủi ro thì các ngân hàng phải thu phí của khách hàng. Tới đây, chúng ta lại thấy rằng các ngân hàng cần giúp khách hàng san sẻ rủi ro và nếu cần thì tăng phí dịch vụ để trích một phần lập quỹ “bảo hiểm” cho khách. Nhưng lượng khách hàng sử dụng các dịch vụ điện tử của một ngân hàng (nhất là trong điều kiện hiện nay) còn nhỏ nên khả năng lấy số đông để bù đắp rủi ro không cao. Trong khi khách hàng gửi tiền tiết kiệm có sự bảo vệ phần nào của bảo hiểm tiền gửi, khách hàng mua vé tàu xe hay đi du lịch đã có sẵn bảo hiểm tai nạn thì tại sao chúng ta không đặt ra quy định về bảo hiểm tài sản chống lại nguy cơ gian lận cho khách hàng sử dụng các dịch vụ ngân hàng điện tử? Nếu có quy định đó, khách hàng sẽ an tâm hơn khi giao dịch với các ngân hàng có tham gia bảo hiểm vì họ biết mình được bảo hiểm và quan trọng hơn là ngân hàng nơi họ giao dịch đã tuân thủ những quy định về bảo mật và phòng chống gian lận. Giống như bảo hiểm nhân thọ sẽ không nhận bảo hiểm cho những người đã mắc bệnh hiểm nghèo, tổ chức bảo hiểm dịch vụ ngân hàng điện tử sẽ phải kiểm tra và chỉ chấp nhận bảo hiểm cho các ngân hàng tuân thủ các tiêu chuẩn/thông lệ bảo mật tốt nhất; hơn thế họ còn phải kiểm tra định kỳ để phạt hoặc cắt bảo hiểm của những ngân hàng vi phạm.