I. GIỚI THIỆU

Ngân Hàng TMCP Công Thương Việt Nam (VietinBank) được thành lập từ năm 1988 sau khi tách ra từ Ngân hàng Nhà nước Việt Nam. Là Ngân hàng thương mại lớn, giữ vai trò quan trọng, trụ cột của ngành Ngân hàng Việt Nam. Có hệ thống mạng lưới trải rộng toàn quốc với 01 Sở giao dịch, 151 Chi nhánh và trên 1000 Phòng giao dịch/ Quỹ tiết kiệm. Có 9 Công ty hạch toán độc lập là Công ty Cho thuê Tài chính, Công ty Chứng khoán Công thương, Công ty Quản lý Nợ và Khai thác Tài sản, Công ty Bảo hiểm VietinBank, Công ty Quản lý Quỹ, Công ty Vàng bạc đá quý, Công ty Công đoàn, Công ty Chuyển tiền toàn cầu, Công ty VietinAviva và 05 đơn vị sự nghiệp là Trung tâm Công nghệ Thông tin, Trung tâm Thẻ, Trường Đào tạo và phát triển nguồn nhân lực, nhà nghỉ Bank Star I và nhà nghỉ Bank Star II - Cửa Lò.

Vietinbank là ngân hàng đầu tiên của Việt Nam được cấp chứng chỉ ISO 9001:2000. Là thành viên của Hiệp hội Ngân hàng Việt Nam, Hiệp hội ngân hàng Châu Á, Hiệp hội Tài chính viễn thông Liên ngân hàng toàn cầu (SWIFT), Tổ chức Phát hành và Thanh toán thẻ VISA, MASTER quốc tế.

Vietinbank là ngân hàng đầu tiên tại Việt Nam mở chi nhánh tại Châu Âu, đánh dấu bước phát triển vượt bậc của nền tài chính Việt Nam trên thị trường khu vực và thế giới. Không ngừng nghiên cứu, cải tiến các sản phẩm, dịch vụ hiện có và phát triển các sản phẩm mới nhằm đáp ứng cao nhất nhu cầu của khách hàng.


II.THÁCH THỨC

Trong những năm gần đây, có thể thấy rằng các tội phạm CNTT (hacker) đã chuyển dần mục tiêu tấn công vào các hệ thống thông tin của các tổ chức, đặc biệt là các tổ chức có lượng khách hàng và giao dịch kinh doanh lớn, hoạt động trong các lĩnh vực Viễn thông, Tài chính, các Doanh nghiệp lớn và đặc biệt là Ngân hàng.

Gần đây nhất, các hacker đã chuyển dịch phương thức tấn công trực tiếp vào các tầng ứng dụng - nơi chứa các dữ liệu nhạy cảm của doanh nghiệp. Theo báo cáo của các tổ chức bảo mật, các tấn công trên tầng ứng dụng chiếm đến 60% các tấn công ghi nhận được trên Internet, trong đó, các tấn công nhằm vào các ứng dụng và dịch vụ web chiếm đến 80%.

Riêng đối với các Ngân hàng, các tấn công nhằm vào các dịch vụ giao dịch trực tuyến cung cấp cho các khách hàng, sử dụng các phương thức tấn công truyền thống như: Tấn công DoS/DDoS với mục tiêu có chủ đích hay tấn công thông qua các giao thức trên tầng ứng dụng nhằm đánh sập các server cung cấp dịch vụ

Một trong những xu hướng tấn công mới nảy sinh chính là Điện thoại di động sử dụng dịch vụ Broadband - dịch vụ truy cập Internet tốc độ cao từ máy tính thông qua công nghệ truyền dữ liệu trên mạng điện thoại di động được cho là có mức độ đe dọa ngang bằng với các mối nguy đến từ Internet trong thời gian tới

Trong kế hoạch đầu tư phát triển bảo mật hệ thống CNTT cũng như bảo vệ các giá trị kinh doanh của Vietinbank, HPT đề xuất trang bị Hệ thống giám sát và phát hiện gian lận (Fraud Detection) nhằm giải quyết các nhu cầu bảo mật trong kinh doanh của Ngân hàng.

Giải pháp sẽ đáp ứng các yêu cầu sau:

Giảm thiểu rủi ro trong các giao dịch ngân hàng, giám sát và cảnh báo những hành động gây thiệt hại bởi hành vi gian lận theo thời gian thực Phát hiện các hành vi cố ý gian lận của người dùng bằng việc ghi lại các hành vi và gửi cảnh báo sớm tới người quản trị hệ thống.

Giúp thực thi các chính sách an ninh bảo mật của ngân hàng khi phát hiện các vi phạm bảo mật và những trường hợp ngoại lệ.

Nâng cao khả năng tuân thủ các quy định theo chuẩn chung của ngân hàng bằng cách tạo ra một dấu vết đầy đủ của tất cả các hoạt động của người dùng cuối, bao gồm cả những truy vấn bình thường mà không để lại bất kỳ dấu vết trong hầu hết các hệ thống.

Phát hiện vi phạm kinh doanh trong thời gian thực và hỗ trợ cho phép đưa ra những hành động cảnh báo, can thiệp ngay lập tức.

Tăng hiệu quả công việc, đánh giá hiệu quả của sản phẩm ứng dụng và đáp ứng sự hài lòng của khách hàng bằng cách phát hiện những tiến trình xử lý chậm và gây nghẽn cổ chai trên hệ thống dịch vụ, cho phép đưa ra các cảnh báo ngay lập tức về mức độ của từng dịch vụ.

Lưu trữ toàn bộ các giao dịch tài chính được thực hiện trên hệ thống giao dịch trực tuyến, giao dịch ATM đồng thời vẫn giảm thiểu dung lượng lưu trữ. Phân quyền theo nhóm đối tượng, loại dữ liệu được hiển thị.

Phân tích các giao dịch và lập các báo cáo định kỳ, bất kỳ theo yêu cầu và cảnh báo giao dịch có giá trị, mang tính chất bất thường hoặc đáng ngờ. Chuyển cảnh báo qua các kênh thông báo như email, SMS, SNMP.

Không gây ảnh hưởng tới hệ thống hiện tại trong và sau quá trình triển khai.

III. GIẢI PHÁP

Dựa trên những yêu cầu của Ngân hàng TMCP Công Thương Việt Nam, HPT đề xuất sử dụng sản phẩm Intellinx vào hệ thống của ngân hàng để đáp ứng các yêu cầu trên.

Intellinx là công ty tiên phong trong các giải pháp theo dõi, giám sát hành vi người dùng cuối nhằm dò quét và ngăn chặn các hành vi lừa đảo, gian lận trong giao dịch tài chính, giao dịch trực tuyến, cũng như đánh cắp thông tin. Giải pháp Intellinx cho phép các tổ chức lớn giải quyết các thách thức khi đối mặt với đa dạng các hành vi lừa đảo bởi người dùng cuối, những người có quyền truy cập vào tổ chức từ bên ngoài hệ thống. Intellinx dò quét các hành vi lừa đảo và các sự dò rỉ thông tin trong thời gian thực được sinh ra khi người dùng cuối truy cập vào các ứng dụng giao dịch tài chính của tổ chức.

Intellinx cho phép các tổ chức tuân thủ các điều luật chính phủ bao gồm PCI DSS, GLBA, FACTA Red-Flags, Sarbanes- Oxley và Basel II. Intellinx là công nghệ agent-less nên sẽ không có bất kỳ rủi ro, tăng tải cho hạ tầng công nghệ thông tin của doanh nghiệp.

Hiện nay, Vietinbank đã phát hành sử dụng trên 8 triệu thẻ ATM và đang phát triển mới các dịch vụ thanh toán điện tử, dựa trên kết quả chương trình POC giải pháp Intellinx cho ngân hàng Vietinbank, HPT đề xuất triển khai Intel- linx cho các dịch vụ như sau:

- ATM

- IPAY

- Để đáp ứng nhu cầu trong giai đoạn đầu của Vietinbank trên 2 hệ thống dịch vụ trên, HPT đề xuất như sau:

- Intellinx sẽ chia 2 channel cho từng dịch vụ (ATM và IPAY)

- Với dịch vụ ATM, trong giai đoạn đầu HPT đề xuất sử dụng Intellinx để giám sát với license khoảng 10 triệu user đồng thời trên toàn bộ hệ thống ATM của Vietinbank

- Với Edịch vụ IPAY, trong giai đoạn đầu HPT để xuất sử dụng Intellinx để giám sát và ghi lại các phiên người dùng truy cập vào để thực hiện các tác vụ với licence khoảng 50,000 trang giao dịch/ngày

- Với phạm vi kiểm soát hệ thống, HPT để xuất với 5 license cho quản trị viên để thực hiện các thao tác vận hành chỉnh sửa, kiểm soát và tạo các báo cáo phù hợp với nhu cầu phân tích của ngân hàng trên hệ thống Intellinx.

- Mô hình giải pháp Intellinx mà HPT đề xuất sẽ giải quyết các yêu cầu thực tế của Vietinbank

Với kiến trúc triển khai được chúng tôi đề xuất như trên, giải pháp Intellinx sẽ bao gồm các tính năng triển khai chính như sau:

- Thực hiện việc lưu trữ toàn bộ các giao dịch (kể cả quản trị) đến máy chủ ATM, máy chủ web.

- Hỗ trợ lưu trữ database trên SAN cung cấp bởi riêng ngân hàng

- Phân tích các giao dịch nhằm lập các báo cáo theo yêu cầu

- Xác định các chính sách (rules) để thiết lập cảnh báo tới các hành vi nghi phạm của người dùng

- Chuyển cảnh báo qua các kênh thông báo như email, SMS, SNMP.

- Phát hiện các lỗi hệ thống, ứng dụng nhằm cảnh báo sớm.

Quản lý đưa ra báo cáo user experience trên cơ sở dữ liệu tích lũy.

Trên máy chủ sẽ được cài đặt các chức năng sau:

- Chỉ có những user đặc quyền mới có thể đọc nội dung giao dịch, cấu hình hệ thống

- Các user khác chỉ đọc báo cáo.

- Tất cả báo cáo phải tích hợp với hệ thống phân quyền tài liệu của Vietinbank

IV. LỢI ÍCH MANG LẠI

Bằng những nỗ lực không ngừng nghỉ và bề dày kinh nghiệm của mình, đội ngũ chuyên gia HPT đã hoàn thành dự án và đưa hệ thống giám sát, chống gian lận trong các kênh giao dịch ATM và IPAY cho hệ thống ngân hàng Vietinbank:

Nâng cao tính bảo mật, và an toàn hệ thống: Hệ thống có khả năng giám sát, phân tích hoạt động thực hiện giao dịch tài chính, phi tài chính dựa trên dữ liệu thu thập được từ các kênh ATM và IPAY Phát hiện giao dịch gian lận: tự động phát hiện các giao dịch tài chính gian lận và thực hiện cảnh báo thời gian thực.

Hệ thống phải giám sát được các hoạt động cụ thể của người dùng trên hệ thống ngân hàng cả bên trong và bên ngoài. Giám sát các ứng dụng theo thời gian thực, đưa ra cảnh báo các bất thường, vi phạm dựa trên một tập luật, dấu hiệu đã được định nghĩa.

Phân tích các giao dịch nhằm lập các báo cáo định kỳ, bất kỳ theo yêu cầu và cảnh báo giao dịch giá trị/bất thường/đáng ngờ. Phát hiện các lỗi hệ thống, ứng dụng nhằm cảnh báo sớm

Hiển thị các hoạt động của người dùng dưới dạng hình ảnh trực quan, cho phép nhìn thấy hình ảnh trên màn hình của người dùng khi người dùng thực hiện các thao tác.

Tiết kiệm chi phí đầu tư cho việc quản trị: Việc tự động và tập trung hóa quản lý, giảm thiểu các rủi ro xảy ra đối với khách hàng, người dùng cuối, ngăn chặn các hành vi lừa đảo, gian lận cũng như các tấn công từ người dùng nội bộ vào hệ thống

V. NHẬN XÉT CỦA KHÁCH HÀNG

Việc triển khai thành công dự án giám sát ứng dụng tập trung đánh dấu mốc quan trọng trong bước đi hiện đại hóa môi trường CNTT của Vietinbank. Đội ngũ chuyên viên tư vấn, thiết kế, triển khai chuyên nghiệp, thời gian thực hiện dự án đúng với tiến độ đề ra, hệ thống hiện nay đang vận hành ổn định, đạt mục tiêu đề ra, giảm thiểu rủi ro, giận cho toàn hệ thống giao dịch tài chính của ngân hàng.

Là một trong những giải pháp trọng điểm được Vietinbank đầu tư và triển khai, với vai trò đơn vị nhà thầu chính, HPT được ngân hàng Vietinbank đánh giá cao trong việc tích hợp thành công giải pháp để giám sát các giao dịch quan trọng đang được cung cấp cho hàng triệu khách hàng tại Việt Nam. Với tính chất quan trọng của dự án và với năng lực hiện tại, HPT nhận được sự tin tưởng tuyệt đối từ Vietinbank qua đó giải quyết được những vấn đề về các nguy cơ bảo mật, đảm bảo tính an toàn cho hệ thống thông tin nghiệp vụ Ngân hàng, nâng cao hiệu quả hoạt động của doanh nghiệp. Thông qua dự án, HPT tiếp tục khẳng định được năng lực trong lĩnh vực tích hợp hệ thống không chỉ với Vietinbank mà còn với các đơn vị khác hoạt động trong mảng tài chính ngân hàng của Việt Nam.