Ngân hàng Nhà nước đề xuất quy định mới về bảo mật dịch vụ Online Banking

Ngân hàng Nhà nước (NHNN) vừa công bố dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Online Banking), đề ra các nguyên tắc đảm bảo an toàn và bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Online Banking.

Theo dự thảo, hệ thống Online Banking phải tuân thủ theo quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên, đảm bảo tính bí mật và toàn vẹn của thông tin khách hàng, cũng như đảm bảo tính sẵn sàng của hệ thống Online Banking để cung cấp dịch vụ một cách liên tục.

Các giao dịch của khách hàng được đánh giá mức độ rủi ro tối thiểu theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch. Trên cơ sở đó, cung cấp hình thức xác thực giao dịch phù hợp cho khách hàng lựa chọn, tuân thủ các quy định áp dụng xác thực đa yếu tố khi thay đổi thông tin định danh khách hàng và áp dụng các hình thức xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quy định. Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.

Hệ thống Online Banking sẽ được kiểm tra và đánh giá an ninh, bảo mật định kỳ hàng năm. Đồng thời, NHNN cũng yêu cầu thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro. Từ đó kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.

Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới. 

Ngoài ra, đơn vị cung cấp dịch vụ phải thiết lập hệ thống an ninh bảo mật tối thiểu gồm: Tường lửa ứng dụng; Tường lửa cơ sở dữ liệu; Hệ thống giám sát, cảnh báo tập trung đối với các hành vi tấn công hoặc hành vi bất thường. Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ (phân vùng trung gian giữa mạng nội bộ và mạng Internet).

Cùng với đó, phải thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Online Banking. Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện khi không thể kết nối từ mạng nội bộ và bảo đảm an toàn. Đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

Việc kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking phải tuân thủ tối thiểu các quy định: Phải được người có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối; Phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương.

Về thiết bị kết nối, phải được cài đặt các phần mềm bảo đảm an ninh bảo mật, khi đăng nhập hệ thống phải sử dụng biện pháp xác thực đa yếu tố. Tại các phần mềm tiện ích, phải sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật.

Dự thảo cũng yêu cầu đơn vị quản lý lỗ hổng và điểm yếu của hệ thống với các biện pháp phòng chống, dò tìm phát hiện thay đổi của trang tin điện tử và phần mềm ứng dụng Online Banking. Đồng thời, thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking. 

Để kịp thời ngăn chặn các tình huống mất an toàn và bảo mật thông tin, các đơn vị phải phối hợp với các cơ quan quản lý nhà nước, đối tác công nghệ thông tin kịp thời nắm bắt các sự cố.

Việc dò quét lỗ hổng và điểm yếu của hệ thống Online Banking phải được thực hiện tối thiểu mỗi năm một lần hoặc khi tiếp nhận thông tin về lỗ hổng, điểm yếu mới. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng và đưa ra phương án xử lý kịp thời cũng là một yêu cầu quan trọng trong dự thảo Thông tư này. Việc thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro.