Bảo vệ thành quả chuyển đổi số của ngành ngân hàng trong giai đoạn bình thường mới

	Doanh nghiệp ngành gỗ còn dè dặt trong chuyển đổi số
	Chuyển đổi số là "thang thuốc" thay đổi cơ bản hoạt động nông nghiệp Việt
	'Phá băng' cho doanh nghiệp ngành sản xuất bằng chuyển đổi số

Rủi ro an ninh, an toàn thông tin luôn song hành trong tiến trình chuyển đổi số của ngành ngân hàng. Ảnh: Hữu Linh

Nguy cơ ngày càng cao

Thiếu tướng Nguyễn Văn Giang, Phó Cục trưởng Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao – Bộ Công an cho biết, trong năm 2021 đã phát hiện nhiều vụ liên quan đến tội phạm sử dụng công nghệ cao trong lĩnh vực ngân hàng với tổng số tiền thiệt hại lên đến hàng trăm tỷ đồng. Ngoài ra, qua kiểm tra đã phát hiện, xử lý nhiều vụ việc mất an ninh, an toàn thông tin, lộ lọt tài liệu thông tin dữ liệu của các ngân hàng, chủ yếu là thông tin liên quan đến các khách hàng vay nợ hoặc gửi tiền tiết kiệm.

Về nguyên nhân của tình trạng trên, Thiếu tướng Nguyễn Văn Giang cho hay, trong khi các đối tượng tội phạm không ngừng nâng cao trình độ, năng lực, thủ đoạn mới tinh vi hơn thì khách hàng của ngân hàng vẫn thiếu các kỹ năng tự bảo vệ trên không gian mạng, thiếu cẩn trọng, dễ bị lừa đảo, truy cập vào các trang web giả mạo, cung cấp thông tin cho đối tượng dẫn đến thiệt hại tài sản.

Bên cạnh đó, có tình trạng nhân viên ngân hàng chạy theo chỉ tiêu gia tăng số lượng khách hàng mà chưa chấp hành tốt các quy định về định danh khách hàng, phòng chống rửa tiền, dẫn tới tình trạng tài khoản ngân hàng, thẻ ngân hàng rác tràn lan, khó kiểm soát, tiềm ẩn nguy cơ bị lợi dụng phục vụ các hoạt động vi phạm pháp luật như rửa tiền, tài trợ khủng bố… Công tác bảo mật thông tin khách hàng của các ngân hàng còn sơ hở, xảy ra tình trạng mua bán trái phép thông tin khách hàng…

Ngoài ra, công tác phối hợp giữa cơ quan Công an, Ngân hàng Nhà nước và ngân hàng thương mại khi phát sinh vụ việc liên quan đến hoạt động thanh toán còn chậm, chủ yếu theo thủ tục hành chính và chưa được ứng dụng công nghệ thông tin; chưa xây dựng quy trình xuyên suốt từ bước tiếp nhận thông tin, xử lý thông tin, phong tỏa tài khoản, xác minh, điều tra và xử lý đối tượng. Các quy định pháp luật về phòng chống rửa tiền, phong tỏa tài khoản thanh toán theo Bộ luật Tố tụng hình sự, trao đổi cung cấp thông tin còn sơ hở, thiếu sót, không phù hợp với thực tiễn, khó áp dụng để giữ lại tài sản cho bị hại. “Khi xây dựng các điều luật này mới chỉ tập trung vào chủ thể là chủ sở hữu hợp pháp của tài khoản thanh toán, người thực hiện hành vi phạm tội mà chưa lường đến các tình huống phát sinh như đối tượng sử dụng tài khoản thanh toán của người khác để thực hiện hành vi phạm tội, có hành vi phạm tội nhưng chưa xác định được người bị buộc tội, tài khoản thanh toán không tồn tại, tức là mở bằng giấy tờ tùy thân giả, chủ tài khoản thanh toán không phải là người bị buộc tội” – Thiếu tướng Nguyễn Văn Giang cho hay.

Trong khi đó, ở góc độ là DN cung cấp giải pháp đánh giá hệ thống an toàn thông tin, kiểm thử xâm nhập, giám sát cho khối tài chính ngân hàng, ông Phan Trọng Quân, Trưởng phòng kiểm thử xâm nhập và đánh giá an toàn thông tin tại VNPT Cyber Immunity cho biết, Thông tư 09/2020/TT-NHNN đã quy định rất rõ về việc đảm bảo an toàn thông tin, kiểm thử xâm nhập, giám sát sự cố, tuy nhiên, việc áp dụng của một số ngân hàng chỉ mang tính lý thuyết. Cụ thể, theo quy định của Thông tư 09, các ngân hàng phải thực hiện đánh giá định kỳ các hệ thống, tuy nhiên, một số ngân hàng chỉ đánh giá nội bộ, tức là sử dụng các công cụ rà quét tự động để thực hiện đánh giá. Theo ông Quân, việc sử dụng các công cụ rà quét tự động không thể phát hiện được hết các lỗ hổng liên quan đến nghiệp vụ của ngân hàng. Ngoài ra, còn một số lỗi như hệ thống mới đang thử nghiệm nhưng lại kết nối vào dữ liệu thật…

Bổ sung quy định, tăng cường biện pháp ngăn ngừa

Các chuyên gia nhận định, chuyển đổi số, thanh toán điện tử là xu thế tất yếu trong điều kiện hiện nay. Tuy nhiên, với nguy cơ gia tăng tội phạm sử dụng công nghệ cao cùng những vấn đề còn tồn tại như trên, đòi hỏi công tác phối hợp, đấu tranh phòng ngừa của các đơn vị liên quan cũng phải thay đổi. Thiếu tướng Nguyễn Văn Giang cho rằng, bên cạnh việc nâng cao nhận thức cho cán bộ, nhân viên ngân hàng và khách hàng, cần tăng cường nâng cao tiềm lực về con người, phương tiện thông qua đào tạo, tập huấn. Đặc biệt là đầu tư kinh phí xây dựng hệ thống giám sát điều hành an ninh mạng để theo dõi và ngăn chặn kịp thời các hành vi xâm nhập, tấn công mạng; triển khai hệ thống ngăn ngừa tấn công có chủ đích, duy trì thường xuyên hoạt động đánh giá các điểm yếu, lỗ hổng an ninh bảo mật trong hệ thống công nghệ thông tin của các ngân hàng và hệ thống tài chính.

Thiếu tướng Nguyễn Văn Giang cũng đề nghị cần nghiên cứu sửa đổi, bổ sung các quy định pháp luật về phòng chống rửa tiền như Nghị định 102/2012/NĐ-CP về thanh toán không dùng tiền mặt, Thông tư 23/2014/TT-NHNN hướng dẫn mở và sử dụng tài khoản thanh toán, Thông tư 19/2016/TT-NHNN quy định về hoạt động thẻ ngân hàng, đặc biệt là các quy định về trì hoãn giao dịch, phong tỏa tài khoản thanh toán, từ chối thanh toán thẻ để đảm bảo dễ dàng triển khai, kịp thời giữ lại tài sản cho Nhà nước, ngân hàng và nhân dân.

Đối với các ngân hàng, ông Robert Trọng Trần, Phó Tổng giám đốc Dịch vụ rủi ro công nghệ và an ninh mạng – Công ty TNHH Ernst & Young Việt Nam khuyến nghị, các cuộc họp về chiến lược chuyển đổi số của ngân hàng cần có sự tham dự của bộ phận an toàn thông tin. Bên cạnh đó, các cán bộ phụ trách an toàn thông tin khi trình bày trước ban giám đốc cần giải thích được những vấn đề về an toàn thông tin của ngân hàng, những thiệt hại mà lỗ hổng có thể gây ra… “Cần tìm hiểu kỹ về nghiệp vụ của ngân hàng và chuyển đổi ngôn ngữ kỹ thuật sang ngôn ngữ kinh doanh để ban giám đốc có thể dễ dàng hiểu được vai trò và mức độ ảnh hưởng của an toàn thông tin” – ông Robert Trọng Trần khuyến nghị.

Về tình trạng các ngân hàng ngại chia sẻ thông tin về các sự cố mất an toàn thông tin đã xảy ra, ông Vũ Quốc Khánh, Phó Chủ tịch Hiệp hội an toàn thông tin Việt Nam cho rằng các ngân hàng có thể tham gia vào mạng lưới ứng cứu sự cố quốc gia và thực hiện các quy định báo cáo về sự cố trong đó. “Khi tham gia mạng lưới này, các ngân hàng sẽ được đảm bảo về bảo mật và lượng thông tin chỉ đưa ra ở mức độ cần thiết, đủ để cảnh báo cho các đơn vị khác có biện pháp phòng ngừa” – ông Khánh cho biết.