Rủi ro và thách thức an ninh mạng trong lĩnh vực ngân hàng tại Việt Nam

 30 Nguyễn V. Phương, Trần V. Diễn. HCMCOUJS-Kinh tế và Quản trị Kinh doanh, 16(2), 30-44 
Rủi ro và thách thức an ninh mạng trong lĩnh vực ngân hàng 
tại Việt Nam 
Risks and challenges for cybersecurity in the banking sector 
in Vietnam 
Nguyễn Văn Phương1*, Trần Văn Diễn1 
1Trung tâm Đào tạo Quản lý công, Trường Đại học Quốc tế, Đại học Quốc gia Thành Phố 
Hồ Chí Minh, Việt Nam 
*Tác giả liên hệ, Email: nvphuong@hcmiu.edu.vn 
THÔNG TIN TÓM TẮT 
DOI:10.46223/HCMCOUJS. 
econ.vi.16.2.612.2021 
Ngày nhận: 09/08/2020 
Ngày nhận lại: 28/09/2020 
Duyệt đăng: 19/11/2020 
Từ khóa: 
an ninh mạng, rủi ro, thách thức, 
ngân hàng trực tuyến, Internet 
Keywords: 
cybersecurity, risks, challenges, 
online banking, Internet 
Không gian mạng cung cấp tiềm năng vô hạn về hội nhập 
toàn cầu và phát triển kinh tế xã hội trong thế kỷ 21. Tuy nhiên, 
rủi ro và thách thức về an ninh mạng đã trở thành mối quan tâm 
hàng đầu của người sử dụng Internet; đặc biệt trong lĩnh vực ngân 
hàng. Chính vì thế nghiên cứu này nhằm khám phá và làm rõ 
những rủi ro, thách thức về an ninh mạng trong lĩnh vực ngân 
hàng tại Việt Nam. Nghiên cứu này sử dụng phương pháp định 
tính thông qua 10 cuộc phỏng vấn chuyên sâu và ứng dụng phần 
mềm NVIVO để phân tích nội dung phỏng vấn. Kết quả nghiên 
cứu nhằm giúp cho người sử dụng dịch vụ ngân hàng online và 
các nhà quản lý ngân hàng thấy rõ vấn đề an ninh mạng. Đồng 
thời kết quả nghiên cứu này sẽ làm sáng tỏ cách thức mà các nhà 
hoạch định chính sách có thể phát triển khung chính sách an ninh 
mạng trong lĩnh vực ngân hàng, cân bằng các khía cạnh lợi ích 
của việc sử dụng dịch vụ ngân hàng trực tuyến. 
ABSTRACT 
Cyberspace provides limitless potentialities for global 
integration and socio-economic development in the 21st century. 
However, cybersecurity risks and challenges have become the top 
concerns of Internet users; especially in the banking sector. 
Therefore, this study aims to explore and clarify the risks and 
challenges of cybersecurity in the banking sector. This study uses 
a qualitative method and utilizes NVIVO software to analyze the 
findings from 10 in-depth interviews. The research results aim to 
help online banking users and banking managers clarify the 
problems of cybersecurity. In addition, the findings shed a new 
light on how policymakers can develop a cybersecurity policy 
framework in the banking sector and balance the beneficial 
aspects of using online banking services. 
 Nguyễn V. Phương, Trần V. Diễn. HCMCOUJS-Kinh tế và Quản trị Kinh doanh, 16(2), 30-44 31 
1. Giới thiệu 
Ngày nay, thương mại kỹ thuật số, việc trao đổi thông tin và mạng lưới cơ sở hạ tầng Viễn 
thông chủ yếu dựa vào nền tảng mạng lưới toàn cầu, gần hơn nửa dân số Thế giới đã kết nối vào 
mạng lưới Internet (Nye, 2017; Weiss & Jankauskas, 2018). Khi những tiềm ẩn rủi ro của không 
gian mạng ngày một gia tăng trong xã hội hiện đại (Choucri, 2019), cả hai lĩnh vực công và tư đều 
quan tâm đến khả năng ứng phó với các vấn đề an ninh mạng (Bossong & Wagner, 2017; Weiss 
& Jankauskas, 2018). Thực tế, một cuộc tấn công mạng thành công có thể làm sập mạng của các 
đơn vị Chính phủ, làm mất kiểm soát của hoạt động kinh doanh, làm xói mòn niềm tin của công 
chúng về các giao dịch tài chính hay phát tán thông tin không chính xác làm thiệt hại rất lớn về 
kinh tế và uy tín của chính quyền hay doanh nghiệp. Ví dụ, cụ thể như trường hợp mạng của hãng 
hàng không Vietnam Airlines bị tấn công vào tháng 07 năm 2016. Một trường hợp gần đây thông 
tin cá nhân của gần 5 triệu khách hàng của công ty Thế Giới Di Động bị lộ, bị rò rỉ vào tháng 11 
năm 2018. Trong lĩnh vực Ngân hàng, Ngân hàng Sacombank bị làm giả thẻ tín dụng (tháng 04 
năm 2017), và ngân hàng Đông Á cũng xảy ra trường hợp tương tự vào tháng 11 năm 2018. Trong 
thực tế ngày càng nhiều khách hàng sử dụng điện thoại cho các giao dịch mua bán và thanh toán 
online. Điều đó làm cho việc đảm bảo an toàn thông tin của khách hàng trước sự tấn công của tin 
tặc ngày trở nên quan trọng. Đặc biệt, việc đảm bảo xác thực thông tin của người được cấp quyền 
truy cập dữ liệu đòi hỏi phải nhanh và tiện lợi là vô cùng quan trọng. 
Các kỹ thuật nén và giải mã nội dung giao dịch online qua thiết bị điện thoại di động được 
thiết kế dựa trên nền tảng của giao dịch ngân hàng trực tuyến. Mà cấu trúc thiết kế hệ thống giao 
dịch ngân hàng trực tuyến lại có sự khác biệt tùy theo cách vận hành của từng ngân hàng và nghiệp 
vụ phát sinh; ví dụ như các dịch vụ bên trong ngân hàng và các dịch vụ qua bên thứ ba, đơn vị lưu 
trữ dịch vụ. Như vậy, việc đảm bảo an ninh dịch vụ ngân hàng trực tuyến là vấn đề nan giải thông 
qua mô hình yêu cầu-phản hồi mà ở đó đòi hỏi sự xác thực thông tin của khách hàng, hệ thống 
ngân hàng phải thông suốt thông qua hệ thống cơ sở hạ tầng gồm hệ thống mạng công nghệ thông 
tin, bộ định tuyến ( ... n, dữ liệu của máy 
tính hoặc thông qua máy tính của họ để xâm nhập vào hệ thống máy tính của một đơn vị, cơ quan, 
doanh nghiệp nào đấy mà máy tính cá nhân của họ được kết nối với hệ thống máy tính khác, điều 
này sẽ gây mất an toàn thông tin, an ninh mạng và tổn thất nghiêm trọng về kinh tế. Ngoài ra, các 
chương trình đào tạo về an ninh mạng và quản lý rủi ro cho người dùng trực tuyến chưa được triển 
khai rộng rãi. Bên cạnh đó các trường học cũng chưa cung cấp cho sinh viên, học viên của mình 
đủ kiến thức về an toàn thông tin và bảo đảm an ninh mạng để họ tự ngăn chặn các hành vi trộm 
cắp danh tính từ các hoạt động trực tuyến (như được đề cập bởi người trả lời số 1, 2 và 3). 
Điều đáng chú ý là kết quả từ các cuộc thảo luận nhóm cũng cung cấp bằng chứng là việc 
thiếu kiến thức về an ninh mạng. Nhìn chung, hầu hết các chuyên gia khuyên cáo rằng Chính phủ 
nên yêu cầu các trường Trung học Cơ sở và Trung học cung cấp một chương trình đào tạo để giáo 
dục các mối quan tâm về quyền riêng tư và bảo mật trực tuyến cho những người trẻ tuổi để họ nên 
biết cách tự bảo vệ bản thân và cộng đồng xã hội trong kỷ nguyên số. 
4.2. Khám phá mới 
Hình 1. Phân tích kết quả phỏng vấn trên phần mền NVIVO 
 Nguyễn V. Phương, Trần V. Diễn. HCMCOUJS-Kinh tế và Quản trị Kinh doanh, 16(2), 30-44 41 
Kết quả từ phần mềm NVIVO trình bày như trong Hình 1 cho thấy có sự quan hệ nhân quả 
trong an ninh mạng. Một vài nét chính của kết quả tổng hợp cho thấy: thứ nhất, ở góc độ chuyên 
môn, các nhà quản trị mạng cho rằng có rất nhiều lỗ hổng trong quản trị mạng tại Việt Nam hiện 
nay nên dễ dàng bị tin tặc xâm nhập. Nhiều nhà quản lý chưa hiểu rõ bản chất khái niệm thế nào 
là an ninh mạng và những tổn thất, thiệt hại do mất an ninh mạng gây ra. Vì vậy, họ chưa có đầu 
tư tương xứng để đảm bảo an toàn thông tin. 
Thứ hai, do bản chất mạng không an toàn nên tin tặc có thể xâm nhập bất cứ lúc nào khi 
họ muốn. Các phần mềm gián điệp luôn tồn tại trong rất nhiều hệ thống máy tính của doanh nghiệp 
cho phép thanh toán trực tuyến và của người dùng hiện nay là lỗ hổng lớn bên trong máy tính để 
tin tặc dễ tấn công. Bên cạnh đó người dùng tại Việt Nam hiện nay chưa có thói quen đặt mật khẩu 
an toàn khi sử dụng thông tin cá nhân khi trao đổi qua mạng và hệ thống máy vi tính cá nhân. 
Thứ ba, về quản lý nhà nước chưa có những điều luật hay chế tài cụ thể giúp hạn chế tấn 
công mạng và đảm bảo an toàn thông tin. Sự bùng nổ công nghệ thông tin và mạng free-wifi, mạng 
4G, nên người dùng rất thuận tiện truy cập thông tin qua Internet nhưng không có đảm bảo an toàn 
thông tin. Đây cũng là cửa ngõ mở cho tin tặc xâm nhập vào thiết bị cá nhân để lấy cắp thông tin. 
Thứ tư, các doanh nghiệp triển khai kinh doanh trực tuyến và cho phép thanh toán trực 
tuyến thì chưa có đầu tư bài bản về thiết kế mạng an toàn và khách hàng thì cũng không quan tâm 
đến việc thông tin cá nhân bị mất cắp, tiết lộ. Trong khi đó do biện pháp chế tài của nhà nước chưa 
có nên các nhà cung cấp dịch vụ thiếu đầu tư công nghệ để bảo vệ thông tin của khách hàng. 
Thứ năm, khi có sự cố tấn công mạng xảy ra thì thiếu sự hợp tác giữa các đơn vị với đội 
ngũ chuyên trách trong việc khoanh vùng để hạn chế thiệt hại. Mặt khác các doanh nghiệp thường 
giấu thông tin bị tin tặc tấn công vì muốn giữ uy tín của doanh nghiệp. 
Thứ sáu, hiện nay các doanh nghiệp đầu tư nâng cấp thiết bị công nghệ thông tin không 
đồng bộ nên rất khó đảm bảo an toàn thông tin. Bên cạnh đó, nhà nước chưa có chính sách quy 
định chuẩn hóa thiết bị công nghệ thông tin để đảm bảo an toàn cho người dùng. Bên cạnh đó, ý 
thức người dùng còn kém. Các chương trình đào tạo ở các cấp chưa quan tâm đến vấn đề giáo dục 
về an ninh mạng cho giới trẻ. 
Cuối cùng, nhiều doanh nghiệp nói chung và ngân hàng thương mại nói riêng vẫn chưa đủ 
năng lực và nguồn lực để đưa ra một quy trình nghiêm ngặt để bảo vệ thông tin kinh doanh và 
thông tin khách hàng của mình. Do nguồn tài chính bị hạn chế, nhiều ngân hàng thương mại vẫn 
còn khó khăn trong việc triển khai các tài liệu kinh doanh được mã hóa trước khi lưu trữ trong 
không gian mạng. 
4.3. Thảo luận kết quả 
Tất cả các chuyên gia đều đồng ý rằng làm thế nào để bảo vệ an ninh mạng trong nền kinh 
tế Kỹ thuật số là một vấn đề đáng lo ngại và rất nan giải. Việc triển khai hệ thống giám sát, cơ sở 
hạ tầng Công nghệ thông tin và truyền thông, người dùng Internet có hành vi đã tạo ra nhiều rủi 
ro và thách thức an ninh mạng trong kinh doanh trực tuyến và thanh toán giao dịch trực tuyến. 
Dựa trên các kết quả định tính, các báo cáo về vi phạm An ninh dữ liệu đã không bắt buộc 
các cá nhân, doanh nghiệp, ngân hàng thương mại bị sự cố phải báo cáo hay khai báo cho cơ quan, 
ban ngành chức năng. Ngoài ra, cộng đồng doanh nghiệp và cá nhân không được công bố nơi họ 
phải báo cáo các sự cố của các cuộc tấn công mạng. Cho đến nay, Chính phủ đã thành lập Trung 
tâm ứng phó khẩn cấp máy tính Việt Nam (VNCERT) từ năm 2017. Tuy nhiên, hầu hết người 
dùng Internet bình thường không nhận ra Trung tâm này ngoại trừ các chuyên gia trong lĩnh vực 
bảo mật mạng hoặc khoa học máy tính. Do đó, các nhà hoạch định Chính sách nên cập nhật Luật 
 42 Nguyễn V. Phương, Trần V. Diễn. HCMCOUJS-Kinh tế và Quản trị Kinh doanh, 16(2), 30-44 
mới trong các nghĩa vụ báo cáo, vi phạm bắt buộc và nơi công dân nên báo cáo. Kết quả này cho 
thấy có sự khác biệt với các nghiên cứu trước tại các Quốc gia phát triển, khi có sự cố về an ninh 
mạng thì họ có những quy trình nghiêm ngặt báo cáo sự cố và lực lượng phản ứng nhanh (Weiss 
& Jankauskas, 2018). 
Kết quả nghiên cứu cho thấy rủi do trong vấn đề an ninh mạng tại các ngân hàng thương 
mại tại Việt Nam về cơ bản giống như cách thức mà các tin tặc thường xuyên sử dụng khi tấn 
công mạng (Ali et al., 2017; CRIC, 2005; DOPUK, 2013; Kaur, 2015; Pandalabs, 2012; RSA, 
2016; Web, 2013). Việc các ngân hàng thương mại đã tập trung đầu tư nhất để đảm bảo đạt được 
đến mức độ an minh mạng trong hoạt động giao dịch ngân hàng thương mại. Kết quả này cũng 
giống như các nghiên cứu trước đây của (Peotta et al., 2011). Kết quả nghiên cứu cho thấy việc 
tấn công mạng là không có phân biệt ranh giới, địa lý trên không gian mạng. Kết quả này cũng 
tương đồng với nghiên cứu (Christensen & Petersen, 2018). Vấn đề khác biệt trong nghiên cứu 
này đã làm rõ những thách thức cụ thể mà các ngân hàng thương mại phải vượt qua để đảm bảo 
việc thanh toán trực tuyến được thông suốt và bảo mật được thông tin cá nhân của khách hàng. 
Nghiên cứu cũng có những đóng góp nhất định trong khung lý thuyết xác định được các 
vấn đề rủi ro và thách thức có quan hệ nhân quả đối với việc đảm bảo an toàn thông tin mạng. Các 
cơ quan được giao quyền quản lý, kiểm soát về an toàn thông tin và an ninh mạng trong khi thực 
hiện nhiệm vụ chuyên trách của mình cũng như các hoạt động phòng, chống tấn công mạng; sau 
khi kiểm tra phát hiện các lỗ hổng của mạng máy tính tiềm ẩn những nguy cơ cao về mất an toàn 
an ninh mạng cũng như những lỗi của hệ thống về Công nghệ thông tin của các cơ quan, tổ chức 
không đảm bảo về an ninh mạng hay đã xử lý, ứng cứu một số tình huống nguy hiểm về an ninh 
mạng lại bị yêu cầu giữ bí mật về các vấn đề này là chưa phù hợp. 
Luật an ninh mạng còn đưa ra những yêu cầu bắt buộc các cá nhân, doanh nghiệp tự bảo 
vệ an toàn thông tin và an ninh mạng của mình và những bắt buộc về mặt Công nghệ để bảo đảm 
an ninh mạng nhưng chưa thật sự phù hợp với tình hình thực tế chung về mặt tài chính của toàn 
xã hội hiện nay như: khả năng tài chính của cá nhân, doanh nghiệp; thương mại Công nghệ hiện 
được bán tràn lan trên thị trường nhưng độ an toàn về chất lượng của Công nghệ chưa cao mà 
không có những quy định bắt buộc hay sự quản lý của Nhà nước về mặt Công nghệ nên những 
điều Luật này khó có thể thực thi và đi vào thực hiện. 
Từ kết quả của nghiên cứu đã chỉ ra những thách thức, rủi ro về an ninh mạng cho người 
dùng Internet trong các giao dịch thương mại trực tuyến và thanh toán trực tuyến tại Việt Nam 
hiện nay, đồng thời cũng chỉ ra những khiếm khuyết về kiến thức an ninh mạng của người 
dùng Internet; một tỷ lệ không nhỏ, chiếm số đông trong xã hội cộng đồng người dân Việt 
Nam, họ thường xuyên tham gia vào các hoạt động trên không gian mạng nhưng họ hoàn toàn 
thiếu kiến thức về an ninh mạng, số người có kiến thức về an ninh mạng còn rất thấp và chưa 
thật sự đồng đều, thậm chí còn hiểu sai về an ninh mạng. 
Trước thực trạng trên, để đáp ứng được yêu cầu về phát triển Công nghệ thông tin, phát 
triển đất nước theo kịp nền kinh tế Kỹ thuật số của thế giới mà Chính Phủ đã đề ra. Chính Phủ 
cần có những giải pháp cấp bách trong giáo dục như: cần cải cách nền giáo dục hiện tại để xây 
dựng một chương trình giáo dục phổ cập kiến thức về An toàn thông tin và an ninh mạng cho 
mọi người dân trên toàn xã hội. Nhằm hạn chế tối đa việc mất an toàn thông tin, bảo đảm an 
ninh mạng của Quốc gia ngày càng được củng cố và bảo đảm an toàn an ninh Quốc gia trong 
kỷ nguyên số mới hiện nay. 
5. Kết luận 
Nghiên cứu này nhằm mục đích khám phá những rủi ro và thách thức tiềm năng trong việc 
 Nguyễn V. Phương, Trần V. Diễn. HCMCOUJS-Kinh tế và Quản trị Kinh doanh, 16(2), 30-44 43 
bảo vệ thông tin khách hàng giao dịch trực tuyến và thanh toán qua ngân hàng trực tuyến tại các 
ngân hàng thương mại trong nước và nước ngoài tại Việt Nam. Các phát hiện giúp người dùng cá 
nhân quan tâm nhiều vấn đề riêng tư hơn và bảo vệ bản thân khỏi hành vi trộm cắp danh tính. Bên 
cạnh đó, kết quả cũng giúp các nhà quản lý tại các ngân hàng thương mại xây dựng chiến lược 
quản lý an ninh mạng để bảo vệ thông tin kinh doanh và ngăn chặn các cuộc tấn công mạng. Cuối 
cùng, nghiên cứu này cung cấp bằng chứng cho thấy các nhà hoạch định chính sách có thể sử dụng 
để thay đổi hệ thống pháp luật và cải thiện luật hiện hành về an ninh mạng. Hơn nữa, Chính phủ 
nên xem xét các khía cạnh trách nhiệm của mình trong việc cung cấp an ninh mạng như một hàng 
hóa và dịch vụ công. Nhìn chung, các phát hiện nêu bật một số rủi ro và thách thức thiết yếu để 
cải thiện an ninh mạng Quốc gia và Quốc tế trong thời gian tới khi Chính phủ muốn theo đuổi nền 
kinh tế kỹ thuật số. 
LỜI CẢM ƠN 
Nghiên cứu này được Trường Đại học Quốc tế, ĐHQG-HCM tài trợ trong đề tài có mã số 
SV2019-CPA-01. 
Tài liệu tham khảo 
Ali, L., Ali, F., Surendran, P., & Thomas, B. (2017). The effects of cyber threats on customer’s 
behaviour in e-banking services. International Journal of E-Education, e-Business, e-
Management and e-Learning, 7(1), 70-78. doi:10.17706/ijeeee.2017.7.1.70-78 
Aljawarneh, S. A. (2017). Emerging challenges, security issues, and technologies in online banking 
systems. In Online banking security measures and data protection (pp. 90-112). 
doi:10.4018/978-1-5225-0864-9.ch006 
Belás, J., Korauš, M., Kombo, F., & Korauš, A. (2016). Electronic banking security and customer 
satisfaction in commercial banks. Journal of Security and Sustainability Issues, 5(3), 411-422. 
doi:10.9770/jssi.2016.5.3(9) 
Bell, E., & Willmott, H. (2016). Qualitative research in business and management (2nd ed.). 
London, UK: Sage Publications. 
Bossong, R., & Wagner, B. (2017). A typology of cybersecurity and public-private partnerships in 
the context of the EU. Crime, Law and Social Change, 67(3), 265-288. doi:10.1007/978-3-
319-63010-6 
Chakravorti, B., & Chaturvedi, R. S. (2017). How Competitiveness and Trust in Digital Economies 
Vary Across the World. Retrieved October 5, 2020, from 
Choucri, N. (2019). Cyberpolitics in international relations. Cambridge, MA: MIT Press. 
Christensen, K. K., & Petersen, K. L. (2018). Public - private partnerships on cyber security : A 
practice of loyalty, 6(January), 1435-1452. doi:10.1093/ia/iix189 
CRIC. (2005). Trojan redirector ups the ante in online banking attacks, cyber criminal investigation 
cell. Paper presented at the Crime Branch Criminal Investigation Department Mumbai India. 
DOPUK. (2013). Bank Distributed Denial of Service (DDoS) attacks strikes could presage 
Armageddon. Retrieved October 10, 2020, from DoS Protection UK website: 
protection.co.uk/?p=152 
Eisenhardt, K. M. (1989). Building theories from case study research. The Academy of Management 
 44 Nguyễn V. Phương, Trần V. Diễn. HCMCOUJS-Kinh tế và Quản trị Kinh doanh, 16(2), 30-44 
Review, 14(4), 532-550. doi:10.2307/258557 
Grubicka, J., & Matuska, E. (2015). Sustainable entrepreneurship in conditions of UN (Safety) and 
technological convergence. Entrepreneurship and Sustainability Issues, 2(4), 188-197. 
doi:10.9770/jesi.2015.2.4(2) 
https://sites.tufts.edu/digitalplanet/files/2020/03/Digital_Planet_2017_FINAL.pdf 
Jackson, K. (1989). Building a secure computer system. Computer Fraud & Security Bulletin, 11(8), 
18-19. doi:10.1016/0142-0496(86)90071-8 
Kaur, N. (2015). A survey on online banking system attacks and its countermeasures. International 
Journal of Computer Science and Network Security (IJCSNS), 15(3), 57-61. 
Kharouni, L. (2012). Automating online banking fraud. Retrieved October 12, 2020, from 
https://studylib.net/doc/18336044/automating-online-banking-fraud 
Lantis, J. S., & Bloomberg, D. J. (2018). Changing the code ? Norm contestation and US 
antipreneurism in cyberspace. International Relations, 32(2), 149-172. 
doi:10.1177/0047117818763006 
Nye, J. S. (2017). Deterrence and dissuasion in cyberspace. International Security, 41(3), 44-71. 
doi:10.1162/ISEC_a_00266 
Pandalabs. (2012). PandaLabs quarterly report. Retrieved October 15, 2020, from 
https://www.pandasecurity.com/en/mediacenter/src/uploads/2012/08/Quarterly-Report-
PandaLabs-April-June-2012.pdf 
Peker, S., Tvaronavičienė, M., & Aktan, B. (2014). Sustainable risk management: Fuzzy approach 
to volatility and application on FTSE 100 index. Entrepreneurship and Sustainability Issues, 
2(1), 30-36. doi:10.9770/jesi.2014.2.1(4) 
Peotta, L., Holtz, M. D., David, B. M., Deus, F. G., & Timoteo de Sousa, R. (2011). A formal 
classification of internet banking attacks and vulnerabilities. International Journal of 
Computer Science and Information Technology, 3(1), 186-197. doi:10.5121/ijcsit.2011.3113 
RSA. (2016). Online fraud resource centre, inside the world of fraud and cybercrime. Retrieved 
October 19, 2020, from 
fraud/index.htm 
Web. (2013). Online banking fraud, online guards fighting cybercrime, online banking fraud, 
process and safety tips. Retrieved October 25, 2020, from 
Weiss, M., & Jankauskas, V. (2018). Securing cyberspace: How states design governance 
arrangements. Governance, 32(4), 1-17. doi:10.1111/gove.12368