Quy định hàng loạt yêu cầu “nghĩa vụ bảo mật”, Vietcombank đẩy trách nhiệm về khách hàng?

Chuyên gia bảo mật đều có chung nhận định, thay vì đưa ra hàng loạt yêu cầu buộc khách hàng thực hiện, Vietcombank nên tập trung bổ sung các biện pháp công nghệ để đảm bảo khách hàng ít gặp phải rủi ro khi thực hiện giao dịch trực tuyến với Vietcombank (Ảnh minh họa. Nguồn: Internet)

9 nhóm “nghĩa vụ bảo mật” khách hàng Vietcombank phải thực hiện từ 10/5

Như ICTnews đã thông tin, Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) ngày 7/4/2017 đã ra thông báo điều chỉnh nội dung thỏa thuận sử dụng dịch vụ ngân hàng điện tử. Trong thông báo được đăng tải công khai trên website của Vietcombank tại địa chỉ vietcombank.com.vn, ngân hàng cho biết, từ ngày 10/5/2017, Điều kiện và điều khoản sử dụng dịch vụ ngân hàng điện tử mới sẽ chính thức áp dụng với các khách hàng cá nhân dùng dịch vụ.

Cụ thể, các dịch vụ ngân hàng điện tử của Vietcombank sẽ áp dụng Điều kiện và điều khoản điều chỉnh gồm dịch vụ ngân hàng trực tuyến VCB-iB@nking; dịch vụ ngân hàng qua điện thoại di động VCB-Mobile B@nking và Mobile Bankplus; dịch vụ ngân hàng qua tin nhắn di dộng VCB-SMS B@nking; và dịch vụ ngân hàng qua điện thoại cố định VCB-Phone B@nking.

Đáng chú ý, trong Điều kiện và điều khoản sử dụng dịch vụ ngân hàng điện tử mới sắp được áp dụng với đối tượng khách hàng cá nhân, Vietcombank đã dành hẳn mục 4 để quy định cụ thể về “Nghĩa vụ bảo mật của khách hàng”, với hàng loạt yêu cầu khách hàng phải tuân thủ và những việc khách hàng không được làm như: Khách hàng phải giữ bí mật các yếu tố định danh của mình, phòng tránh và ngăn chặn việc sử dụng trái phép các yếu tố định danh đó (4.2); Khách hàng cần đổi mật khẩu thường xuyên và khi có yêu cầu từ dịch vụ; không nên chọn mật khẩu có tính cá nhân, dễ suy đoán và đã sử dụng trước đây (4.3)...

Cùng với đó, Vietcombank cũng yêu cầu khách hàng không truy cập dịch vụ từ bất cứ thiết bị nào kết nối với hệ thống máy tính cục bộ (hay mạng LAN) nếu không đảm bảo rằng không ai khác có thể theo dõi hay sao chép việc truy cập của khách hàng (4.7); Khách hàng phải chịu trách nhiệm đảm bảo rằng thiết bị đầu cuối và các thiết bị khác mà khách hàng sử dụng (trừ các thiết bị của Vietcombank cung cấp để khách hàng tự thực hiện) để kết nối với các dịch vụ là không có và được bảo vệ chắc chắn khỏi virus và các phần mềm máy tính gây hại (4.8)…

Cũng trong Điều khoản và Điều kiện sử dụng dịch vụ ngân hàng điện tử mới của Vietcombank, trách nhiệm của khách hàng với yêu cầu giao dịch gian lận được quy định cụ thể. Theo đó, Vietcombank yêu cầu khách hàng “cam kết chịu trách nhiệm cho tất cả các tổn thất và chi phí do các giao dịch gian lận đã được thực hiện nếu khách hàng đã hành động thiếu cẩn trọng hoặc nếu khách hàng làm sai, làm không đúng, không đầy đủ bất cứ nghĩa vụ bảo mật nào hoặc các yêu cầu thông báo được nêu tại Mục 4”.

Nhiều quy định không hợp lý “làm khó” khách hàng!

Trao đổi với ICTnews, các chuyên gia hoạt động trong lĩnh vực an toàn thông tin mạng tỏ ra khá băn khoăn trước những quy định Vietcombank yêu cầu khách hàng phải tuân thủ tại điều khoản về “Nghĩa vụ bảo mật của khách hàng” trong thỏa thuận sử dụng dịch vụ ngân hàng điện tử mới của ngân hàng mình.

Một chuyên gia bảo mật đã có nhiều năm kinh nghiệm trong việc cung cấp dịch vụ cho khối ngân hàng (xin được giấu tên) nhận định, để đảm bảo an ninh, đúng là cần khách hàng cũng phải có ý thức trong việc bảo vệ thông tin cá nhân cũng như chính tài khoản của mình.

"Tuy nhiên, việc Vietcombank nêu ra quá nhiều điều kiện khách hàng “không được làm” hoặc “phải tuân thủ”, ví dụ như chịu trách nhiệm và đảm bảo máy tính của mình không có và được bảo vệ chắc chắn khỏi virus và các phần mềm máy tính gây hại; hay phải đổi mật khẩu thường xuyên...là điều không hợp lý. Và khách hàng phải chịu trách nhiệm nếu xảy ra rủi ro khi vô tình không tuân thủ các “yêu cầu” của Vietcombank", chuyên gia này cho hay.

Còn theo ông Nguyễn Hồng Văn, Phó Viện trưởng Viện Công nghệ An toàn thông tin: “Với những quy định mới về nghĩa vụ bảo mật cho khách hàng, gần như Vietcombank có thể đẩy được hoàn toàn trách nhiệm cho các khách hàng sử dụng dịch vụ trong rất nhiều trường hợp có sự cố, rủi ro xảy ra trong quá trình giao dịch”.

Ông Văn cho rằng 2 nhóm yêu cầu Vietcombank đưa ra tại các điểm 4.7 và 4.8 tại mục 4 quy định “Nghĩa vụ bảo mật của khách hàng” thì ngay cả các chuyên gia cũng khó có thể đảm bảo được, chứ chưa nói là các khách hàng, người sử dụng thông thường.

Phân tích rõ hơn về nhận định kể trên, ông Văn nói: “Chỉ cần 2 khái niệm “virus” và “mạng LAN” được Vietcombank đưa ra trong nội dung Nghĩa vụ bảo mật của khách hàng cũng đã làm khó rất nhiều cho người dùng. Bởi lẽ, đa số người dùng không biết mã độc là gì, mạng LAN là mạng như thế nào, họ chỉ biết mạng mình dùng có kết nối Internet hay không và việc ngân hàng yêu cầu người dùng phải xác định mạng đó có bị kiểm soát hay không thì lại càng bất khả thi.

Thậm chí, ngay với các chuyên gia an toàn thông tin như chúng tôi cũng khó biết được mạng trong công ty, đơn vị mình có ai kiểm soát hay không? Hay giả sử như như khi tôi đến một quán cafe, một khách sạn, tôi có nhu cầu giao dịch với ngân hàng và sử dụng mạng tại quán café, khách sạn đó để thực hiện giao dịch thì tôi cũng không thể biết được mạng Internet ở địa điểm đó có bị ai kiểm soát hay không?”.

Tương tự, với quy định khách hàng phải chịu trách nhiệm đảm bảo máy tính mình dùng để kết nối với các dịch vụ của Vietcombank là “không có và được bảo vệ chắc chắn khỏi virus và các phần mềm máy tính gây hại”, ông Nguyễn Hồng Văn nhận định, hiện nay, việc máy tính nhiễm virus, phần mềm độc hại đang là một vấn đề nhức nhối của cả thế giới, trong đó có Việt Nam.

Theo thông tin từ VNCERT, thống kê thời điểm quý II/2016, Việt Nam ở vị trí thứ bảy trong Top 10 nước mà người dùng gặp các nguy cơ lây nhiễm mã độc khi online nhiều nhất; và số liệu thống kê tại Securelist.com trong quý III/2016, Việt Nam dẫn đầu thế giới về mức độ lây nhiễm mã độc máy tính cao nhất.

Vị chuyên gia này nhấn mạnh, trong bối cảnh chung hiện nay là máy tính nhiễm virus rất nhiều, xét ở góc độ kỹ thuật, việc ngân hàng đòi hỏi thiết bị, máy tính của người dùng hoàn toàn không có virus là vô cùng khó, ngay cả với chuyên gia chứ đừng nói với người dùng bình thường.

“Tôi cho rằng việc Vietcombank yêu cầu người dùng đảm bảo máy tính của mình không nhiễm virus là “làm khó” người dùng. Hơn thế, trong quy định của Vietcombank, tôi cũng không thấy nói gì đến việc virus đó có liên quan gì đến sự cố có thể xảy ra hay không. Và nếu như vậy, tôi liên tưởng rằng khi có một sự cố giao dịch gian lận xảy ra, Vietcombank kiểm tra máy tính của người dùng và bắt được 1 con virus bất kỳ nào đó thì phải chăng lúc đó ngân hàng có quyền phủ nhận hoàn toàn trách nhiệm của họ với sự cố?. Nếu vậy, với quy định mới này, chắc chắn khách hàng của Vietcombank sẽ là những người bị “cầm dao đằng lưỡi””, ông Văn bình luận.

Ông Văn cho rằng, để đảm bảo an toàn cho hoạt động giao dịch trực tuyến, thay vì đưa ra hàng loạt yêu cầu, bao gồm cả những yêu cầu “làm khó” cho khách hàng, Vietcombank nên tập trung làm tốt các biện pháp đảm bảo an ninh cho hệ thống giao dịch điện tử của ngân hàng mình.

Cụ thể như, hệ thống của ngân hàng cần thực hiện mã hóa dữ liệu trước khi truyền trên đường truyền để nếu bị tấn công, hacker dù có bắt được gói tin đó thì cũng không lấy được username và password của khách hàng. Hay như với yêu cầu nhập Mã xác thực (còn gọi là mã capcha) nhằm ngăn chặn việc dùng tool tự động hiện đang được sử dụng trong các giao dịch trực tuyến, các ngân hàng cần nâng cấp các mã cáp capcha để sao cho virus không thể tương tác được với các mã capcha đó.

Ngoài ra, chuyên gia Nguyễn Hồng Văn cũng nêu đề xuất về việc các đơn vị bảo hiểm và các ngân hàng nên nghiên cứu để có hình thức mua bảo hiểm cho giao dịch thanh toán trực tuyến: “Khi đó, bất kỳ người dùng nào gặp sự cố, nếu không ai chứng minh được rằng họ cố ý ăn cắp tiền của họ để đổ lỗi cho ngân hàng thì rủi ro đó được san sẻ cho toàn xã hội. Như vậy, ngân hàng cũng nhẹ gánh, bảo hiểm cũng có việc làm và người dùng cũng được bảo vệ”.

Theo ICTNews