Bảo mật dữ liệu đóng vai trò rất quan trọng trong việc thúc đẩy chuyển đổi số
Trong hệ thống tài chính - ngân hàng, việc bảo mật dữ liệu (data security) và thực thi quyền riêng tư dữ liệu (data privacy) đóng vai trò rất quan trọng trong việc thúc đẩy chuyển đổi số.
Bảo mật dữ liệu trong hệ thống tài chính - ngân hàng
Hệ thống tài chính - ngân hàng suốt chiều dài lịch sử có sự liên hệ mật thiết với việc xây dựng, quản lý và vận hành hệ thống dữ liệu từ những phương tiện sơ khai như sổ sách ghi chép tới các hệ thống core banking đang lưu trữ hàng tỷ bản ghi mỗi ngày. Trong dòng chảy đó, bảo mật dữ liệu luôn đóng vai trò then chốt nhằm bảo vệ cho toàn bộ hệ thống hoạt động an toàn, minh bạch và hiệu quả, nhất là trong điều kiện chuyển đổi số đang là ưu tiên mũi nhọn cho việc thúc đẩy phát triển hệ thống ngân hàng tại Việt Nam.
Có thể thấy bức tranh rõ nét trong việc chuyển đổi thói quen sử dụng các dịch vụ thanh toán không dùng tiền mặt mà yếu tố công nghệ mang lại cuộc cách mạng về trải nghiệm thuận tiện, nhanh chóng, nhưng cũng đặt ra những lỗ hổng cần quan tâm trên nhiều phương diện, trong đó bảo mật dữ liệu là yếu tố được chú trọng hàng đầu từ cả phía nhà cung cấp lẫn người sử dụng.
 |
TS. Phạm Nguyễn Anh Huy, Sáng lập viên Trung tâm Fintech-Crypto, Đại học RMIT Việt Nam |
Internet là một môi trường phổ biến và hấp dẫn cho các cuộc tấn công vào hệ thống dữ liệu của ngân hàng không chỉ ở Việt Nam, mà còn trên thế giới. Đây cũng là kênh ghi nhận sự tăng trưởng đáng chú ý trong năm 2022 với giá trị giao dịch thanh toán không dùng tiền mặt đạt hơn 45,4 triệu tỷ đồng, số lượng giao dịch tăng trưởng ấn tượng ở mức 89,36% - đạt hơn 1.192 triệu giao dịch.
Thanh toán sử dụng mã QR cũng đang trở nên phổ biến như một hình thức tiêu chuẩn cho thanh toán trực tiếp tại điểm bán, chứng kiến mức tăng trưởng ngoạn mục ở mức 182,5% về số lượng và 210,6% về giá trị, đạt hơn 59,6 triệu giao dịch với giá trị hơn 58.400 tỷ đồng. Mã QR cũng tiềm ẩn những rủi ro bị lợi dụng trong thời gian tới do việc giả mạo mã QR dẫn tới việc lộ, lọt thông tin nhạy cảm và qua đó, kẻ tấn công có thể chiếm quyền kiểm soát tài khoản chính chủ.
 |
| Ông Nguyễn Viết Hòa, Trưởng ban Thông tin cộng đồng, Liên minh Blockchain Việt Nam (Hội truyền thông số Việt Nam) |
Đứng trước các thách thức song hành cùng quá trình số hóa nhanh chóng, đồng bộ của hệ thống tài chính - ngân hàng, các đơn vị cả trong lẫn ngoài ngành đã và đang phát triển nhiều giải pháp nhằm hạn chế tối đa những lỗ hổng và nguy cơ tấn công gây mất an toàn dữ liệu. Những năm gần đây, trong các giải pháp bảo mật dữ liệu được các ngân hàng triển khai tại Việt Nam, có thể kể đến 5 nhóm phổ biến gồm:
- Phòng chống gian lận: Phòng ngừa các giao dịch trái phép, giao dịch mạo danh hoặc giao dịch giả mạo trang mục tiêu nhằm đánh cắp danh tính. Giải pháp cho vấn đề này là các phương pháp xác thực đa yếu tố, bao gồm cả xác thực 2 yếu tố (two-factor authentication - 2FA), sinh trắc học như vân tay, xác thực 3D khuôn mặt.
- Kiểm soát rủi ro dữ liệu: Xây dựng hệ thống giám sát, cảnh báo hành vi bất thường trong việc truy xuất dữ liệu, tập trung vào các nhóm thông tin nhạy cảm như thông tin định danh cá nhân, lịch sử giao dịch và các thông tin tài chính liên quan. Tại Việt Nam, Vietcombank đã công bố các quy trình đánh giá, kiện toàn các chính sách nội bộ đảm bảo tuân thủ các quy định của pháp luật, các cơ quan nhà nước (như Luật An ninh mạng, Thông tư 09/2020/TT-NHNN…), xây dựng hệ thống quản lý thông tin hệ thống theo các tiêu chuẩn quốc tế như ISO 27001, PCI DSS… và thường xuyên kiểm tra mức độ tuân thủ để hạn chế tối đa rủi ro liên quan tới an toàn dữ liệu.
- Bảo mật hạ tầng mạng lưới: Áp dụng các tiêu chuẩn mới nhất, cập nhật thường xuyên các bản vá, quy trình liên quan tới hoạt động của hệ thống liên lạc, truyền dữ liệu, mã hóa thông tin giữa các bên liên quan trong giao dịch ngân hàng. Một ví dụ điển hình là TPBank - một trong những ngân hàng triển khai sớm nhất và đem tới trải nghiệm ngân hàng số nhiều điểm chạm được đánh giá cao từ người dùng. Với lượng thông tin được trao đổi giữa ngân hàng và các đối tác liên kết thông qua giải pháp OpenAPI với hơn 2.500 đầu dịch vụ thanh toán, toàn bộ thông tin thu thập và truyền tải trên hệ thống ngân hàng số của TPBank đang được đảm bảo an toàn nhờ công nghệ mã hóa 256-bit Secure Socket Layer (SSL) đủ khả năng phòng chống các nguy cơ xâm nhập bất hợp pháp trong quá trình thông tin được trao đổi qua internet.
- Phòng chống tấn công lừa đảo (phishing attacks): Loại hình tấn công này vốn rất đa dạng cả về hình thức lẫn cách thức tiến hành khi tập trung vào điểm yếu là sự mất cảnh giác và thiếu cẩn trọng từ phía người dùng. Với sự phát triển của công nghệ, các phương pháp tấn công lừa đảo ngày càng tinh vi với việc sử dụng các công nghệ tiên tiến như “AI deep fake”, dẫn tới các đối tượng yếu thế (người khuyết tật, người ít tiếp xúc công nghệ) rất dễ bị đánh lừa. Một số biện pháp được áp dụng chủ yếu nằm ở việc phổ cập, nâng cao hiểu biết về các dấu hiệu nghi ngờ. Ví dụ, thời lượng cuộc gọi deep fake rất ngắn, thường khoảng vài giây do công nghệ khởi tạo deep fake chưa phù hợp cho video dài, gương mặt cũng là nơi để lộ các điểm yếu cần chú ý như cảm xúc, tư thế thiếu tự nhiên, không ăn khớp trong chuyển động, màu sắc mặt và cơ thể, ngắt cuộc gọi bất ngờ, số tài khoản yêu cầu giao dịch bất thường…
- Phòng chống thất thoát và can thiệp dữ liệu bất hợp pháp: Các hình thức tấn công như tiêm nhiễm trojan, mã độc… nhằm đánh cắp, thay đổi thông tin trái quy định có thể được phòng chống thông qua việc áp dụng những công nghệ mã hoá tiên tiến như blockchain (công nghệ chuỗi khối) để phân tán dữ liệu lưu trữ và ngăn chặn quyền ghi đè thông tin bất hợp pháp, đảm bảo tính toàn vẹn của dữ liệu giao dịch.
Hệ thống các tiêu chuẩn quốc tế nhằm nâng cao chuẩn mực về kiểm soát rủi ro nói chung và bảo mật thông tin nói riêng đã và đang được hoàn thiện bởi nhiều tổ chức quốc tế uy tín như BCBS (cơ quan ban hành tiêu chuẩn Basel III, đang được Ngân hàng Nhà nước hướng dẫn áp dụng rộng rãi trên toàn hệ thống), FFEIC (Hội đồng thẩm định các tổ chức tài chính Liên bang Mỹ). Phần lớn các bộ hướng dẫn được xây dựng trên những bài học thực tiễn trong quá trình xử lý và kiểm soát rủi ro an toàn thông tin.
Một số tiêu chuẩn quốc tế có thể cung cấp các hướng dẫn, khuyến nghị đáng lưu tâm cho hệ thống bảo mật dữ liệu giao dịch cho lĩnh vực tài chính - ngân hàng tại Việt Nam có thể kể đến bao gồm: ISO 27001, FFIEC (Federal Financial Institutions Examination Council), BASEL III (BCBS - The Basel Committee on Banking Supervision), SOC 2 (do American Institute of CPAs - AICPA ban hành) và NIST Cybersecurity Framework (do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ ban hành).
Những bộ quy trình tuân thủ mới phần nào đáp ứng được yêu cầu đối phó hiệu quả với nhiều nguy cơ mới xuất hiện do sự tiến bộ nhanh chóng của ngân hàng số trong lĩnh vực tài chính - ngân hàng ở quy mô toàn cầu. Do đó, cần nhiều đóng góp hơn nữa từ các tình huống thực tế trong bảo mật thông tin để đảm bảo tính cập nhật và hiệu quả trong bối cảnh công nghệ liên tục được phát triển và biến đổi.
 |
Đã có hành lang pháp lý về quản lý và bảo vệ dữ liệu cá nhân |
Quyền riêng tư dữ liệu và bảo vệ dữ liệu cá nhân
Chính phủ Việt Nam đã ban hành Nghị định số 13/2023/NĐ-CP để cải tiến công tác quản lý và bảo vệ dữ liệu cá nhân. Đặc biệt, Nghị định 13 đã trao thêm quyền cung cấp, hạn chế và xử lý dữ liệu cá nhân cho chủ thể dữ liệu (người dùng). Trong đó, chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại nếu xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình.
Mặc dù đã có hành lang pháp lý về quyền riêng tư dữ liệu và bảo vệ dữ liệu cá nhân, song việc áp dụng và tuân thủ Nghị định 13 trong hệ thống tài chính - ngân hàng sẽ cần nhiều thời gian. Việc tuân thủ và thực thi quyền riêng tư dữ liệu rất quan trọng để có thể bảo vệ thông tin nhạy cảm, ngăn chặn gian lận tài chính, tuân thủ các quy định, xây dựng niềm tin với khách hàng, bảo vệ danh tiếng của hệ thống, bảo vệ những cá nhân dễ bị tổn thương như người già, người khuyết tật… và trao đổi dữ liệu xuyên biên giới.
Để có thể tuân thủ triệt để các quy định trong Nghị định 13, các tổ chức tài chính và ngân hàng cần phải tăng cường kiểm soát việc xử lý và lưu trữ dữ liệu cá nhân từ cấp độ nhân viên vì họ thường xuyên tiếp xúc, trao đổi trực tiếp với khách hàng (có thể thông qua điện thoại cá nhân), nên rất dễ xảy ra vi phạm nghiêm trọng trong việc bảo vệ dữ liệu cá nhân, chẳng hạn thông tin cá nhân của khách hàng được truyền từ nhân viên công ty chứng khoán này sang nhân viên công ty chứng khoán khác mà không được sự đồng ý của khách hàng.
Đồng thời, với sự phát triển của AI (trí tuệ nhân tạo), AI tạo sinh (Generative AI - GenAI) và các ứng dụng của chúng trong hệ thống tài chính - ngân hàng, một số câu hỏi rất quan trọng nên được đặt ra là thông tin cá nhân của khách hàng liệu có được sử dụng hợp pháp trong việc đào tạo AI? Các chủ thể dữ liệu có được toàn quyền kiểm soát thông tin cá nhân của mình nếu các tổ chính tài chính và ngân hàng ứng dụng AI trong hệ thống của họ? Nếu các tổ chức này sử dụng trái phép dữ liệu khách hàng cho việc đào tạo AI thì chủ thể dữ liệu sẽ theo dõi và khởi kiện như thế nào?
Trên danh nghĩa, chủ thể dữ liệu có thể yêu cầu các tổ chức, doanh nghiệp không được phép sử dụng hoặc loại bỏ thông tin cá nhân của mình cho việc đào tạo các mô hình AI. Một ví dụ điển hình là công cụ ChatGPT của Công ty OpenAI từng bị cấm trong một thời gian ngắn ở Italia cho đến khi công ty này cung cấp các giải pháp cho phép chủ thể dữ liệu đồng ý hoặc từ chối việc sử dụng dữ liệu cá nhân trong việc đào tạo AI. Tuy nhiên, không giống với các công cụ tìm kiếm như Google, các yêu cầu này không dễ thực hiện vì các AI tạo sinh như các mô hình ngôn ngữ lớn thường không thể truy xuất hoặc loại bỏ các phần thông tin cụ thể theo lệnh. Hơn nữa, các mô hình ngôn ngữ lớn phổ biến hiện tại cũng không minh bạch vì chủ yếu là các “hộp đen” và người dùng không biết rõ các câu trả lời được hình thành như thế nào.
Do đó, Chính phủ và các cơ quan chức năng cần có hướng dẫn và quy định cụ thể việc sử dụng dữ liệu cá nhân trong việc đào tạo AI lĩnh vực tài chính - ngân hàng, đồng thời khuyến khích các tổ chức tài chính và ngân hàng ứng dụng các mô hình AI có trách nhiệm và có thể giải thích được (Responsible and Explainable AI).
