Tội phạm công nghệ cao gia tăng trong thời khủng hoảng không phải là đặc thù của riêng Việt Nam mà của nhiều nước trên thế giới. Theo ước tính của McAfee trong năm 2008, các doanh nghiệp trên toàn thế giới đã thiệt hại hơn 1 nghìn tỷ USD do các vụ mất cắp sở hữu trí tuệ và việc khắc phục thiệt hại do mất an toàn thông tin gây ra. McAfee cũng đưa ra dự báo sự suy yếu của kinh tế thế giới sẽ làm gia tăng các vụ mất cắp dữ liệu trong năm 2009. Đích nhắm của tội phạm công nghệ cao thường nằm trong lĩnh vực tài chính, ngân hàng, thanh toán trực tuyến với mục tiêu là kiếm tiền bất hợp pháp.

Trên thị trường giải pháp thanh toán qua mạng viễn thông hiện nay, vấn đề an toàn và bảo mật được nhiều dịch vụ thanh toán  sử dụng như thuật toán khóa bí mật (private key) để mã hóa nội dung tin nhắn. Để dùng thuật toán này, mã bí mật buộc phải đặt trên thiết bị di động của khách hàng. Đây là khe hở có thể khiến mật khẩu của khách hàng bị đánh cắp hoặc xảy ra tình trạng gian lận thương mại. Nhiều dịch vụ sử dụng cơ chế sinh số ngẫu nhiên thay cho cơ chế mã hóa dữ liệu gửi nhận nên cũng có khá nhiều rủi ro trong việc đảm bảo an toàn dữ liệu. Ngoài ra, một số giải pháp ứng dụng cài trên thiết bị di động dùng mã hóa đối xứng, điều này cũng gặp nhiều rủi ro trong bảo mật.

Công nghệ RSA giúp bảo vệ dữ liệu một cách an toàn trên Internet cũng như xác thực để nhận dạng các đối tác trong thương mại điện tử. Công nghệ này được phát triển, áp dụng rộng rãi trong thương mại điện tử nhằm đảm bảo tính an toàn của dữ liệu. Nó còn được sử dụng để ngăn chặn các hacker ăn cắp dữ liệu bằng cách “nghe trộm” các cuộc gọi trên điện thoại di động  và các kênh dữ liệu khác.

Ra đời năm 1977 tại MIT, RSA được liệt vào một trong các giải thuật mã hóa bất đối xứng được dùng thông dụng nhất cho đến nay. RSA được đặt tên từ ba nhà khoa học phát minh ra nó: Ron Rivest, Adi Shamir, và Leonard Adleman. Thuật toán được dùng hàng ngày trong các giao dịch thương mại điện tử qua web browser (SSL), PGP, dùng cho chữ ký điện tử đảm bảo tính toàn vẹn của các thông điệp khi lưu chuyển trên Internet, phân phối & cấp phát các chìa khóa điện tử, v.v..

Thuật toán RSA có hai khóa: khóa công khai và khóa bí mật. Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã. Khóa công khai được công bố rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng. Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân bí mật (cùng cặp key) mới có thể giải mã được.

Các giải pháp bảo mật ứng dụng trong FTL Ewallet

Mã hóa kênh dữ liệu SMS

Với giải pháp FTL Ewallet của Công ty CP Công nghệ Tài chính Viễn thông FTL (FTL), vấn đề an toàn và bảo mật được đặt lên hàng đầu, mang lại độ tin tưởng cao về tính an toàn cho ngân hàng cũng như cho người sử dụng. Giải pháp sử dụng  mã hóa công khai Public Key RSA 1024 (mã hóa bất đối xứng) đảm bảo tất cả các tin nhắn rời khỏi điện thoại của KH được mã hóa đảm bảo nội dung tin nhắn không bị lộ hay thay đổi trên đường truyền.

Với mã hóa RSA 1024 bit, giải pháp FTL Ewallet sẽ mang lại độ an toàn và bảo mật cao cho khách hàng khi sử dụng hệ thống. Tin nhắn từ Ewallet Client được mã hóa toàn bộ bằng Public Key trước khi gửi lên hệ thống xử lý giao dịch. Đây cũng là điểm khác biệt so với các chương trình Mobile Banking hiện nay tại Việt Nam chỉ sử dụng mã hóa đối xứng và có độ lớn mã hóa nhỏ (128 bit), nếu tin nhắn bị bắt trên đường truyền thì thời gian giải mã được mật khẩu trong tin nhắn là rất nhỏ.

Ngoài ra, các yêu cầu như bảo mật dữ liệu khách hàng, bảo mật dữ liệu giao dịch và xác thực người sử dụng luôn phải được đảm bảo an toàn. Tham gia vào quá trình giao dịch có khách hàng, quản trị viên, giao dịch viên, kiểm soát viên. Hệ thống cũng kết nối với nhiều hệ thống như SMSC, bank gateway, payment gateway. Vì thế, nguy cơ về bảo mật, lộ mật khẩu, PIN của người sử dụng, dữ liệu khi đi qua SMSC, paygate, bank gate bị sửa đổi hoặc bị gửi lại do vô tình hay cố ý và các gian lận trong giao dịch có thể rất dễ xảy ra, dễ bị làm giả và lợi dụng. Để đảm bảo nhiều rủi ro về bảo mật, hệ thống FTL Ewallet sử dụng các phương pháp như bảo mật mật khẩu người sử dung (NSD), phân quyền sử dụng và theo dõi hoạt động, mã hóa SMS, lọc bỏ SMS trùng, sử dụng SSL trong kết nối giữa các hệ thống thông tin, mã hóa dữ liệu cấu hình và nhận dạng gian lận.

Vấn đề xác thực người dùng

Sử dụng bảo mật mật khẩu NSD, phương pháp sẽ hạn chế mật khẩu yếu, mật khẩu phải có chứa các ký tự đặc biệt (chữ hoa, chữ thường, chữ số), mật khẩu không được trùng với 5 mật khẩu gần đây. Khi mã hóa một chiều mật khẩu của NSD khi lưu vào CSDL, giới hạn thời gian hiệu lực của mật khẩu (3 tháng) và sẽ tạm khóa tài khoản nếu người sử dụng nhập sai mật khẩu 5 lần liên tiếp. Tất cả các tham số bảo mật trên đều có thể cấu hình được.

Vấn đề bản tin trùng SMS

Hệ thống xử lý giao dịch của FTL Ewallet có có chế loại bỏ tin SMS trùng. Trong nhiều trường hợp do vô tình hay cố ý, SMSC có thể gửi lại tin nhắn từ NSD. Do vậy, khi tạo SMS gửi đi, Ewallet client sẽ gửi kèm giờ hiện tại trên điện thoại. Hệ thống Ewallet sẽ chỉ chấp nhận tin nhắn có giờ SMS lớn hơn giờ SMS của tin cuối cùng mà hệ thống nhận được. Điều này đảm bảo các tin được Ewallet xử lý là duy nhất.

Kết nối giữa các hệ thống thông tin trong Ewallet

Để mã hóa SSL với các kết nối giữa các hệ thống thông tin thì trong mỗi phiên giao dịch, Ewallet và hệ thống liên quan sẽ tạo cặp khóa RSA 2048 với key ngẫu nhiên làm khóa giao dịch. Mọi thông tin trao đổi sẽ được mã hóa với khóa này. Điều này đảm bảo dữ liệu không bị lộ hay thay đổi (với key ngẫu nhiên ngoài hai hệ thống giao tiếp, không ai có thể giải mã được tin)

An toàn dữ liệu khách hàng

Bên cạnh đó, FTL Ewallet có hệ thống mã hóa dữ liệu cấu hình đảm bảo an toàn thông tin hệ thống. Các file dữ liệu cấu hình thường lưu các dữ liệu nhạy cảm như user/password, địa chỉ IP, Port, v.v. kết nối đến CSDL và các hệ thống khác. Các file này sẽ được mã hóa Triple – DES, giảm thiểu việc rò rỉ thông tin.

Nhận dạng gian lận

Với hệ thống nhận dạng gian lận, Ewallet cung cấp báo cáo nhận dạng gian lận theo các tiêu chí như giá trị giao dịch lớn bất thường, số lượng giao dịch nhiều bất thường. Điều này giúp người sử dụng sớm phát hiện các giao dịch nghi ngờ gian lận trong tài khoản và kịp thời có biện pháp ngăn chặn phù hợp.

Quản trị hệ thống nghiệp vụ

FTL Ewallet có hệ thống Provisioning để thực hiện nghiệp vụ Mobile Banking như đăng ký khách hàng, đặt lại PIN/mật khẩu, đóng mở tại khoản, đặt lại hạn mức, chuyển/nộp tiền tại quầy. Hệ thống này có phân quyền cho NSD và nhóm người NSD, theo dõi thay đổi (logging), theo dõi truy cập (access log) giúp quản trị hệ thống nghiệp vụ an toàn.

Các biện pháp bảo mật trên thỏa mãn hầu hết các yêu cầu khắt khe về an toàn bảo mật của Ngân hàng. Cũng chính vì lý do này mà Tien Phong Bank và Ngân hàng Quốc tế Việt Nam (VIB) đã chấp nhận giải pháp của FTL và sẽ triển khai dịch vụ tới khách hàng của mình trong thời gian tới. An toàn bảo mật trong hệ thống ngân hàng và thương mại điện tử vẫn còn nhiều vấn đề phải bàn, FTL không ngừng cập nhật công nghệ giải pháp nhằm đáp ứng các yêu bảo mật mới. Hy vọng trong thời gian tới, các giải pháp thanh toán ở VN sẽ từng bước nâng cao các vấn đề bảo mật, từ đó, dỡ bỏ rào cản tâm lý e ngại của khách hàng trong lĩnh vực tài chính ngân hàng nói riêng và thương mại điện tử nước nhà nói chung.