Không bảo mật được thông tin khách hàng thì khó chuyển đổi số
Hồ Hữu Tín – Lê Đức Quang Tú (*)
(TBKTSG) – Số hóa trong các hoạt động ngân hàng là xu hướng tất yếu để các ngân hàng tồn tại và phát triển, đặc biệt là dưới ảnh hưởng nặng nề của đại dịch Covid-19. Ngân hàng số là cơ hội mà các ngân hàng đang ra sức tận dụng để chiếm lĩnh thị trường thông qua thay đổi kênh phân phối và các sản phẩm dịch vụ ngân hàng truyền thống. Tuy nhiên, các ngân hàng cũng buộc phải tính toán về tính bảo mật, kiểm soát rủi ro, và bảo vệ thông tin của khách hàng trong quá trình chuyển đổi số này.
Lỗ hổng bảo mật dữ liệu trong khu vực Asean
Đại dịch Covid-19 và giải pháp cách ly toàn xã hội là chất xúc tác để các ngân hàng của các nước trong khối Asean đẩy nhanh quá trình số hóa, khi nhiều ngân hàng lớn ghi nhận sự gia tăng đột biến về hoạt động ngân hàng trực tuyến kể từ khi đại dịch bùng phát.
Chẳng hạn như Ngân hàng Rakyat Indonesia (Persero) Tbk báo cáo hoạt động ngân hàng trực tuyến trong quí 1-2020 tăng khoảng 88% so với cùng kỳ năm ngoái và xu hướng tương tự cũng xảy ra ở nhiều ngân hàng lớn tại Philippines và Malaysia (1).
Ba ngân hàng lớn ở Singapore (UOB, DBS, và Overseas-Chinese Bank) đã có chiến lược kỹ thuật số từ rất sớm, đầu tư ứng dụng trí tuệ nhân tạo, robot vào các giao dịch ngân hàng. Các ngân hàng này cũng đã báo cáo sự gia tăng đáng kể trong việc mở tài khoản trực tuyến hoặc sử dụng các nền tảng dịch vụ tư vấn của robot về lập kế hoạch tài chính.
Khu vực ASEAN đang nhanh chóng nổi lên như một thị trường hấp dẫn của thế giới về hoạt động ngân hàng số. Theo BCG analysis (2), ít nhất 10% dân số trưởng thành của Maylaysia, Việt Nam, Thái Lan, Indonesia và Singapore đã sử dụng ví điện tử và tỷ lệ thâm nhập cao hơn nhiều so với các nền kinh tế tiên tiến.
Tuy nhiên, việc chuyển đổi số trong ngành ngân hàng không hề đơn giản khi phải đối mặt với nhiều thách thức từ các tội phạm tài chính và gian lận ngân hàng đến từ nhiều phương diện khác nhau, đặc biệt là vấn đề về bảo mật dữ liệu khách hàng.
Các vụ vi phạm dữ liệu lớn ở các nước Asean chứng tỏ sự yếu kém của khu vực trong lĩnh vực an ninh mạng và bảo vệ dữ liệu, gây lo ngại không chỉ đối với ngành ngân hàng mà còn nhiều ngành nghề khác đang có ý định chuyển đổi số. Theo CSO (3), chi phí trung bình của một vụ vi phạm dữ liệu ở Asean là 2,62 triệu đô la Mỹ và số vụ ghi nhận lên đến 22.500.
Mặc dù con số này thấp hơn trung bình toàn cầu (vào khoảng 3,92 triệu đô la Mỹ và 25.575 vụ), chúng vẫn là lý do để các giám đốc an toàn thông tin (CISO) trong khu vực quan tâm.
Cũng theo CSO, có đến 96% doanh nghiệp Singapore báo cáo bị vi phạm dữ liệu chỉ trong vòng một năm (từ 2018-2019). Đây là kết quả của một loạt hành động lừa đảo qua e-mail. Trong một cuộc tấn công khác, dữ liệu của 120.000 cá nhân được phát hiện đã bị lây nhiễm bởi ransomware vào đầu tháng 12-2019.
Theo đó, dữ liệu lưu trữ trong máy chủ bị ảnh hưởng bao gồm các thông tin cá nhân như họ tên, ngày sinh, địa chỉ nhà và địa chỉ e-mail. Hơn 80.000 hồ sơ, bao gồm dữ liệu cá nhân của người dùng, đã bị lộ sau khi tin tặc xâm nhập vào trang web của Wendy – một công ty ở Philippines.
Theo Technisanct (4), thông tin chi tiết về khoảng 310.000 thẻ từ ở các ngân hàng khu vực Asean đã bị xâm phạm và rao bán trên các trang web. Singapore có 25.290 thẻ, Malaysia, Indonesia lần lượt có 37.145 và 35.354 thẻ, Philippines có đến 172.828 thẻ bị xâm phạm.
Theo ông Đào Minh Tuấn (5), Trưởng phòng Công nghệ bảo mật Công ty cổ phần An ninh mạng Việt Nam (VSEC), năm mối nguy bảo mật thường gặp nhất tại các ngân hàng, tổ chức tài chính là: 1. dữ liệu không được mã hóa; 2. phần mềm độc hại; 3. dịch vụ của bên thứ ba không an toàn; 4. dữ liệu bị thay đổi trái phép; 5. kỹ thuật giả mạo.
Ngành ngân hàng Việt Nam đang có nhiều điều kiện thuận lợi cho việc chuyển đổi ngân hàng số, như tính đến tháng 9-2019 có tới 45,8 triệu người có tài khoản ngân hàng (chiếm 63% dân số), số lượng thẻ lưu hành trên cả nước đạt 96,4 triệu thẻ; có 32 tổ chức không phải ngân hàng được cấp phép cung ứng dịch vụ trung gian thanh toán; 24 ngân hàng cung cấp dịch vụ thanh toán QR với 50.000 điểm chấp nhận (6).
Theo Ngân hàng Nhà nước (NHNN), giá trị giao dịch qua hệ thống thanh toán điện tử liên ngân hàng trong ba tháng đầu năm 2020 tăng 21%. Tổng số lượng giao dịch qua hệ thống chuyển mạch tài chính và bù trừ điện tử trong cùng thời gian này tăng 81,32% về số lượng và tăng 145,32% về giá trị.
Nhưng đây cũng là cơ hội cho các tội phạm công nghệ cao thực hiện các hành vi phạm pháp thông qua việc ăn cắp thông tin của khách hàng khi sử dụng dịch vụ ngân hàng số. Vì vậy, từ những kinh nghiệm của các nước trong khu vực, ngành ngân hàng Việt Nam cần có những giải pháp ngăn ngừa, hạn chế các trường hợp rò rỉ hoặc đánh cắp thông tin khách hàng trong quá trình tiến đến chuyển đổi số.
Nhiều việc cần phải làm
Về phía Nhà nước, NHNN cần tiếp tục hoàn thiện khuôn khổ pháp lý đối với sản phẩm, dịch vụ mới; tạo dựng môi trường pháp lý hoàn thiện để thúc đẩy đổi mới sáng tạo. Cụ thể, nghiên cứu, áp dụng các tiêu chuẩn, thông lệ quốc tế về an ninh mạng, an toàn hệ thống thông tin trong điều chỉnh hoạt động ứng dụng công nghệ thông tin của các tổ chức tín dụng, trung gian thanh toán. Bổ sung thêm các khái niệm về tiền điện tử, ngân hàng đại lý vào Nghị định 101/2012 của Chính phủ về thanh toán không dùng tiền mặt. Đây là cơ sở để các ngân hàng phát triển ngân hàng số toàn diện.
Bổ sung thêm khung đánh giá rủi ro an toàn thông tin theo thông lệ quốc tế để nâng cao công tác thanh tra, kiểm tra tuân thủ các quy định về an toàn bảo mật tại các tổ chức tín dụng, tổ chức trung gian thanh toán.
Thường xuyên giám sát, đôn đốc các tổ chức tín dụng trong việc triển khai các giải pháp an toàn bảo mật trong các hoạt động, dịch vụ ngân hàng số, cũng như thành lập bộ phận chuyên trách về an toàn thông tin tại chính các ngân hàng.
Về phía các ngân hàng thương mại, cần đầu tư nhiều giải pháp đảm bảo an toàn thông tin tiên tiến như nâng cấp tường lửa, phần mềm ngăn chặn mã độc, giải pháp chống thất thoát dữ liệu, sử dụng thẻ chip thay cho thẻ từ… Đồng thời, xây dựng trung tâm điều hành an ninh mạng nội bộ để theo dõi, giám sát và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng.
Rà soát chặt chẽ lại các quy định, quy trình kiểm soát nội bộ. Qua đó, ban hành các quy trình đăng ký, kích hoạt sử dụng dịch vụ ngân hàng điện tử đảm bảo cung cấp dịch vụ đúng cho khách hàng. Xây dựng lộ trình triển khai áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật cho hệ thống công nghệ thông tin cũng như các dịch vụ thanh toán trực tuyến, thanh toán thẻ.
Làm tốt công tác truyền thông, trước hết là nhân viên ngân hàng, sau đó đến khách hàng về các thủ đoạn của tội phạm công nghệ cao, các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ ngân hàng điện tử và thanh toán thẻ nhằm nâng cao nhận thức cho khách hàng khi sử dụng các dịch vụ số.
(*) Viện Nghiên cứu phát triển công nghệ ngân hàng, Đại học Kinh tế – Luật, ĐHQG HCM
(1) https://www.fitchratings.com/research/banks/coronavirus-to-accelerate-asean-banks-digital-transformation-22-05-2020
(2) https://www.bcg.com/publications/2020/southeast-asian-consumers-digital-payment-revolutions
(3) https://www.csoonline.com/article/3532816/the-biggest-data-breaches-in-southeast-asia.html
(4) https://www.marketing-interactive.com/over-310k-credit-card-details-across-6-southeast-asian-countries-breached
(5) https://cafebiz.vn/canh-bao-5-loi-bao-mat-thuong-gap-cua-cac-ngan-hang-to-chuc-tai-chinh-tai-viet-nam-20191127113245049.chn
(6) Theo báo cáo của NHNN (2019)
