Tăng cường các giải pháp đảm bảo an toàn dữ liệu của các tổ chức tài chính và ngân hàng thương mại

14/12/2023 14:31
Dữ liệu đã và đang trở thành một nguồn “tài nguyên mới”, là yếu tố quan trọng mang tính quyết định trong tiến trình chuyển đổi số quốc gia nói chung, chuyển đổi số ngành Ngân hàng nói riêng. Triển khai Chương trình “Chuyển đổi số quốc gia đến năm 2025, định hướng đến năm 2030” và Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ việc chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (phê duyệt bởi Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ - Đề án 06), Thủ tướng Chính phủ đã lựa chọn năm 2023 là Năm Dữ liệu số quốc gia với mục tiêu tạo lập và khai thác dữ liệu số để tạo ra giá trị mới. 
 
Để đáp ứng an toàn hoạt động trong bối cảnh chuyển đổi số hiện nay, các tổ chức tài chính và ngân hàng thương mại (NHTM) cần tập trung làm sạch, số hóa những dữ liệu đã có. Đồng thời, dùng công nghệ để tạo ra dữ liệu sạch trong quá trình cung cấp dịch vụ cho khách hàng. Quá trình khách hàng thực hiện giao dịch phải ứng dụng dữ liệu để đảm bảo người thực hiện giao dịch là người đã đăng kí dịch vụ với ngân hàng; không để tình trạng lợi dụng tài khoản ngân hàng thực hiện các giao dịch bất hợp pháp. Đặc biệt, các NHTM cần triển khai các giải pháp nhằm hạn chế tối đa những lỗ hổng và nguy cơ tấn công gây mất an toàn dữ liệu.
 
1. Ngân hàng chú trọng phát triển và khai thác hiệu quả dữ liệu số
 
Đối với ngành Ngân hàng, phát triển và khai thác hiệu quả dữ liệu số là một trong 09 nhóm nhiệm vụ, giải pháp để thực hiện mục tiêu chuyển đổi số ngành Ngân hàng tại Quyết định số 810/QĐ-NHNN ngày 11/5/2021 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) phê duyệt “Kế hoạch chuyển đổi số ngành Ngân hàng đến năm 2025, định hướng đến năm 2030”. Dữ liệu không chỉ giúp các ngân hàng xác thực, định danh khách hàng mà còn thông qua các ứng dụng công nghệ để phân tích, nắm bắt hành vi và xu hướng tiêu dùng, từ đó đưa ra quyết định trong phát triển, cung ứng sản phẩm, dịch vụ đáp ứng nhu cầu thị trường và nâng cao hiệu quả hoạt động.
 
Thời gian qua, xác định vai trò quan trọng của dữ liệu trong chuyển đổi số ngân hàng, NHNN đã thường xuyên rà soát và hoàn thiện hành lang pháp lí để tạo điều kiện thuận lợi cho kết nối, khai thác dữ liệu, ứng dụng công nghệ nhằm thúc đẩy chuyển đổi số trên cơ sở đảm bảo an ninh, an toàn và bảo mật thanh toán trong hoạt động ngân hàng. Nhằm triển khai Đề án số 06, ngày 18/02/2022 Thống đốc NHNN đã kí Quyết định số 170/QĐ-NHNN thành lập Tổ Công tác của ngành Ngân hàng triển khai Đề án 06 và Quyết định số 171/QĐ-NHNN ban hành Kế hoạch của ngành Ngân hàng triển khai Đề án 06 với 02 nhóm nhiệm vụ chính. Đó là kết nối, khai thác Cơ sở dữ liệu quốc gia về dân cư (CSDLQGvDC) phục vụ dịch vụ công và các nghiệp vụ của NHNN; đồng thời, kết nối, khai thác CSDLQGvDC phục vụ phát triển kinh tế - xã hội của ngành Ngân hàng.
 
Theo đó, ngày 24/4/2023, NHNN và Bộ Công an đã kí kết Kế hoạch phối hợp số 01/KHPH-BCA-NHNNVN (Kế hoạch số 01) triển khai Đề án 06 gồm 11 nhóm nhiệm vụ lớn, 35 nhiệm vụ cụ thể. Về kết nối liên thông chia sẻ dữ liệu quốc gia về dân cư, các nhóm nhiệm vụ được thể hiện dưới góc độ chính như sau: Nhóm nhiệm vụ thứ nhất, làm sạch các dữ liệu trước đây của ngành Ngân hàng, cung ứng dịch vụ ngân hàng cho khách hàng bằng chứng minh thư nhân dân hay căn cước công dân (CCCD) chưa gắn chíp; nhóm nhiệm vụ thứ hai, xác thực khách hàng khi khách hàng đến đăng kí sử dụng dịch vụ mới; nhóm nhiệm vụ thứ ba, khi khách hàng thực hiện giao dịch, sử dụng dịch vụ ngân hàng thì đảm bảo được định danh khách hàng đó một cách chính xác.
 
Quá trình triển khai Kế hoạch số 01 đã đạt một số kết quả tích cực, cụ thể, NHNN là một trong các bộ, ngành đã hoàn thành triển khai hệ thống dịch vụ công đảm bảo an toàn kết nối CSDLQGvDC; NHNN đã kết nối với CSDLQGvDC để “làm sạch” 42 triệu hồ sơ thông tin tín dụng.
 
Về phía các tổ chức tín dụng (TCTD), hiện đã có 35 đơn vị triển khai phối hợp với Cục Cảnh sát Quản lí hành chính về trật tự xã hội (C06), Bộ Công an để tiến hành làm sạch cơ sở dữ liệu khách hàng cũ của mình; 44 đơn vị đã và đang liên hệ để nghiên cứu triển khai các giải pháp ứng dụng CCCD gắn chíp; 13 đơn vị đang liên hệ và thử nghiệm giải pháp ứng dụng tài khoản định danh điện tử VneID; 05 đơn vị đang thử nghiệm giải pháp chấm điểm tín dụng khách hàng dựa trên dữ liệu dân cư. Và hầu hết các ngân hàng đã phối hợp với các đơn vị của Bộ Công an để xác thực khách hàng tại quầy, xác thực khách hàng thông qua các phương tiện điện tử.
 
Đối với công tác đào tạo, phổ biến kiến thức, có 19 TCTD đã phối hợp với C06 Bộ Công an, tổ chức công tác đào tạo nội bộ về nhận biết CCCD thật/giả bằng mắt thường và bằng thiết bị chuyên dụng. 06 TCTD đang phối hợp C06 Bộ Công an, rà soát tài khoản nghi ngờ, giả mạo phục vụ phòng, chống tội phạm và tích xanh tài khoản đảm bảo trên nền tảng dữ liệu dân cư, xác thực thông tin đa chiều.
 
Đáng chú ý, cũng liên quan đến việc triển khai kế hoạch chuyển đổi số ngành Ngân hàng, phần lớn các ngân hàng đã xây dựng kho dữ liệu tập trung (Data warehouse). Đồng thời, nghiên cứu, ứng dụng rộng rãi các công nghệ tiên tiến như dữ liệu lớn, phân tích dữ liệu, trí tuệ nhân tạo, học máy... nhằm tối ưu hóa, đơn giản hóa, tự động quá quy trình nghiệp vụ, cung ứng sản phẩm, dịch vụ mang tính cá nhân hóa cao, rút ngắn thời gian xử lí, đáp ứng ngày càng tốt hơn nhu cầu, trải nghiệm khách hàng.
 
Mới đây, NHNN đã chỉ đạo các ngân hàng xem xét, quyết định áp dụng theo thẩm quyền giải pháp ứng dụng cơ sở dữ liệu dân cư trong đánh giá khách hàng vay do Bộ Công an cung cấp, phục vụ hoạt động cho vay nhu cầu đời sống, tiêu dùng của người dân, góp phần đơn giản hóa, rút ngắn quy trình thủ tục cho vay đi đôi với việc tuân thủ quy định pháp luật, bảo đảm hoạt động cho vay an toàn, hiệu quả, tạo điều kiện cho người dân tiếp cận nguồn vốn tín dụng ngân hàng.
 
Ngoài các TCTD nêu trên, Trung tâm Thông tin tín dụng Quốc gia Việt Nam (CIC) cũng đã phối hợp với Bộ Công an đối soát 54 triệu hồ sơ khách hàng tại CIC.
 
2. Thách thức trong công tác bảo vệ dữ liệu và tài khoản của khách hàng
 
Bên cạnh các yếu tố thuận lợi, sự phát triển nhanh, mạnh của khoa học, công nghệ đã và đang đặt ra nhiều khó khăn, thách thức đối với công tác bảo vệ dữ liệu cá nhân. Tình trạng lộ, mất, mua, bán dữ liệu cá nhân diễn ra công khai, phổ biến trên không gian mạng, ảnh hưởng nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, cá nhân. Theo Bộ Công an, có một số nguyên nhân chủ yếu dẫn tới tình trạng trên gồm: Một là, các nhóm tội phạm mạng tập trung tấn công vào các hệ thống dữ liệu lớn, quan trọng nhằm chiếm đoạt số lượng lớn dữ liệu cá nhân, trong đó có nhiều loại dữ liệu nhạy cảm để mua bán, trục lợi, lừa đảo và các hành vi vi phạm pháp luật khác; hai là, nhận thức, ý thức của người dùng chưa cao, đăng tải công khai dữ liệu cá nhân, dẫn tới bị chiếm đoạt. Việc các công ty cho phép các bên thứ ba tiếp cận dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ... dẫn tới bị lộ, mất dữ liệu cá nhân; ba là, xuất hiện tình trạng thiết lập các hệ thống kĩ thuật chuyên biệt thu thập dữ liệu cá nhân. Một số công ty, cá nhân hoạt động trên lĩnh vực công nghệ đã âm thầm thu thập dữ liệu cá nhân từ nhiều nguồn khác nhau như các doanh nghiệp cung cấp dịch vụ viễn thông, Internet, mạng xã hội, các tổ chức tài chính, ngân hàng, bảo hiểm, bất động sản... nhằm xây dựng các giải pháp, phần mềm, dịch vụ công nghệ xử lí dữ liệu cá nhân.
 
Tuy nhiên, việc thu thập này hoàn toàn không có sự đồng ý của chủ thể dữ liệu, khách hàng của các công ty, cá nhân có quyền truy cập, nắm giữ toàn bộ thông tin của cá nhân như tài sản, tín dụng, thông tin liên hệ... Điều này đặt các chủ thể dữ liệu trước các mối đe dọa, không chỉ giới hạn ở mức các cuộc gọi làm phiền, mời chào sản phẩm, dịch vụ.
 
Đáng chú ý, qua quá trình điều tra các vụ án liên quan đến hoạt động sử dụng không gian mạng, thiết bị công nghệ cao lừa đảo chiếm đoạt tài sản, cơ quan Công an phát hiện các đối tượng gian lận hầu hết sử dụng tài khoản ngân hàng không chính chủ (thuê người khác mở, mua tài khoản hoặc lừa đảo chiếm đoạt tài khoản của người khác) để thực hiện và che giấu các hành vi vi phạm pháp luật, bao gồm nhận tiền lừa đảo, gian lận, rửa tiền; chuyển nhận tiền đánh bạc; tài trợ khủng bố hoặc các hành vi vi phạm pháp luật khác. Hầu hết các đối tượng mua lại các tài khoản ngân hàng sử dụng công nghệ cao thực hiện hành vi lừa đảo và chuyển tiền chiếm đoạt qua các tài khoản này. Phần lớn các giao dịch mua, bán thông tin tài khoản ngân hàng hiện nay là mua, bán thông tin tài khoản thanh toán. Do đặc thù tài khoản thanh toán có thể dễ dàng thực hiện các giao dịch chuyển - nhận tiền để thực hiện những hoạt động phi pháp. Xu hướng tấn công lừa đảo hiện nay là giả mạo các trang web ngân hàng, ví điện tử để lừa người dùng đăng nhập nhằm lấy trộm thông tin. Không những thế, các đối tượng phạm pháp dùng chiêu thức mạo danh nhãn hàng, ngân hàng nhằm đánh cắp thông tin, chiếm tài khoản để trục lợi lại tiếp diễn với thủ đoạn ngày càng tinh vi.
 
Đồng thời, với sự phát triển của trí tuệ nhân tạo, trí tuệ nhân tạo tạo sinh và các ứng dụng của chúng trong hệ thống tài chính - ngân hàng, các ngân hàng cần xem xét kĩ việc áp dụng trí tuệ nhân tạo vào các hoạt động của mình để tận dụng được các lợi thế của trí tuệ nhân tạo, đồng thời đáp ứng được các yêu cầu về pháp lí trong việc sử dụng dữ liệu khách hàng.
 
3. Tiếp tục hoàn thiện pháp lí và hạ tầng công nghệ trong bảo vệ dữ liệu cá nhân
 
Việc bảo mật dữ liệu và thực thi quyền riêng tư dữ liệu đóng vai trò rất quan trọng trong việc thúc đẩy chuyển đổi số. Tại Việt Nam, chính sách về bảo vệ dữ liệu cá nhân đã được quy định tại Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (Nghị định số 13), trong đó nhấn mạnh nguyên tắc quan trọng nhất “chủ thể dữ liệu được biết về hoạt động liên quan tới xử lí dữ liệu cá nhân của mình” và “dữ liệu cá nhân chỉ được xử lí đúng với mục đích”. Đặc biệt, Nghị định số 13 đã trao thêm quyền cung cấp, hạn chế và xử lí dữ liệu cá nhân cho chủ thể dữ liệu (người dùng). Trong đó, chủ thể dữ liệu có quyền yêu cầu bồi thường thiệt hại nếu xảy ra vi phạm quy định về bảo vệ dữ liệu cá nhân của mình.
 
Bên cạnh đó, việc xử lí dữ liệu dân cư cũng được miễn trừ trách nhiệm liên quan tới sự đồng ý của chủ thể dữ liệu vì phù hợp với quy định tại Điều 17  Nghị định số 13. Ngoài miễn trừ quy định về sự đồng ý, việc xử lí dữ liệu cá nhân vẫn cần tuân thủ đầy đủ các quy định khác, trong đó cần lưu ý một số nội dung như: Bảo đảm các nguyên tắc bảo vệ dữ liệu cá nhân như chỉ được xử lí đúng với mục đích đã được đăng kí, tuyên bố về xử lí dữ liệu cá nhân; thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lí; không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác; tổ chức phổ biến, quán triệt tới toàn bộ cán bộ, công nhân viên về quyền và nghĩa vụ, xác định trách nhiệm cần triển khai thực hiện, bảo đảm về tiến độ thời gian theo quy định của pháp luật; chỉ đạo các đơn vị có hoạt động thu thập, xử lí dữ liệu cá nhân tiến hành rà soát tổng thể, phân loại dữ liệu cá nhân đã thu thập, đang xử lí, từ đó xác định trách nhiệm bảo vệ tương ứng với từng loại dữ liệu cá nhân theo quy định của Nghị định số 13; xử lí nghiêm các hành vi chuyển giao dữ liệu cá nhân trái phép, mua bán dữ liệu cá nhân nếu phát hiện...
 
Ở tầm vĩ mô, để thực hiện nghiêm vấn đề bảo vệ dữ liệu cá nhân, sau Nghị định số 13, Việt Nam vẫn cần xây dựng Luật Bảo vệ dữ liệu cá nhân trong thời gian gần. Chính phủ và các cơ quan chức năng cần có hướng dẫn và quy định cụ thể việc sử dụng dữ liệu cá nhân trong việc đào tạo trí tuệ nhân tạo lĩnh vực tài chính - ngân hàng.
 
Thời gian tới, để tăng cường các biện pháp đảm bảo an toàn dữ liệu và tài khoản khách hàng, về phía NHNN: 
 
(i) Tiếp tục hoàn thiện cơ chế chính sách, khung khổ pháp lí thúc đẩy chuyển đổi số, bao gồm các chính sách về kết nối, khai thác dữ liệu. Hiện nay, Dự thảo Luật Các TCTD (sửa đổi) đang trình Quốc hội. NHNN đang nghiên cứu, xây dựng Dự án Luật các hệ thống thanh toán trên cơ sở rà soát Luật Các TCTD, Luật NHNN, thực tiễn hoạt động thanh toán tại Việt Nam và kinh nghiệm quốc tế trong xây dựng, triển khai Luật về hệ thống thanh toán tại một số nước trên thế giới. Tiếp tục hoàn thiện và trình Chính phủ Nghị định về thanh toán không dùng tiền mặt (TTKDTM) và xây dựng các văn bản hướng dẫn; (ii) Tiếp tục triển khai các nhiệm vụ tại Kế hoạch số 01 phối hợp giữa Bộ Công an và NHNN trong việc ứng dụng dữ liệu dân cư để làm sạch dữ liệu, xác thực trực tuyến, tối ưu quá trình cho vay bằng các giải pháp chấm điểm tín dụng...; (iii) Tiếp tục nâng cấp phát triển hạ tầng công nghệ phục vụ chuyển đổi số như hạ tầng thanh toán điện tử liên ngân hàng, chuyển mạch tài chính và bù trừ điện tử; hạ tầng thông tin tín dụng CIC...; (iv) Ứng dụng công nghệ để phát triển sản phẩm, dịch vụ ngân hàng số tiện lợi, chi phí thấp; nâng cấp, mở rộng kết nối mở rộng hệ sinh thái số lấy khách hàng làm trung tâm; (v) Tiếp tục tăng cường công tác đào tạo và tuyên truyền, giáo dục tài chính cho người dân, bố trí nguồn lực cho công tác chuyển đổi số, trong đó chú ý đào tạo nguồn nhân lực chất lượng về công nghệ tài chính - ngân hàng.
 
Về phía các tổ chức tài chính và NHTM cần tập trung làm sạch, số hóa những dữ liệu đã có. Bên cạnh đó, dùng công nghệ để tạo ra dữ liệu sạch trong quá trình cung cấp dịch vụ cho khách hàng. Trong quá trình khách hàng thực hiện giao dịch, phải ứng dụng dữ liệu để đảm bảo người thực hiện giao dịch là người đã đăng kí dịch vụ với ngân hàng. Không để tình trạng lợi dụng tài khoản ngân hàng để thực hiện các giao dịch bất hợp pháp. Đặc biệt, các NHTM cần triển khai nhiều giải pháp nhằm hạn chế tối đa những lỗ hổng và nguy cơ tấn công gây mất an toàn dữ liệu.
 
Mặc dù đã có hành lang pháp lí về quyền riêng tư dữ liệu và bảo vệ dữ liệu cá nhân, song việc áp dụng và tuân thủ Nghị định số 13 trong hệ thống tài chính - ngân hàng sẽ cần nhiều thời gian. Việc tuân thủ và thực thi quyền riêng tư dữ liệu rất quan trọng để có thể bảo vệ thông tin nhạy cảm, ngăn chặn gian lận tài chính, tuân thủ các quy định, xây dựng niềm tin với khách hàng, bảo vệ danh tiếng của hệ thống, bảo vệ những cá nhân dễ bị tổn thương như người già, người khuyết tật… và trao đổi dữ liệu xuyên biên giới.
 
Để có thể tuân thủ triệt để các quy định trong Nghị định số 13, các tổ chức tài chính và ngân hàng cần phải tăng cường kiểm soát việc xử lí và lưu trữ dữ liệu cá nhân từ cấp độ nhân viên vì họ thường xuyên tiếp xúc, trao đổi trực tiếp với khách hàng (có thể thông qua điện thoại cá nhân), nên rất dễ xảy ra vi phạm nghiêm trọng trong việc bảo vệ dữ liệu cá nhân.
 
Bên cạnh đó, các tổ chức tài chính và NHTM cần tiếp tục đẩy mạnh truyền thông khuyến cáo tới khách hàng không thực hiện hành vi bán, cho thuê, cho mượn tài khoản cá nhân; không cung cấp thông tin cá nhân, mật khẩu đăng nhập các dịch vụ ngân hàng, số thẻ tín dụng, mã xác minh thẻ (CVV), ví điện tử và mật khẩu dùng một lần (mã OTP) cho bất kì ai, dưới bất kì hình thức nào. Khi có bất kì nghi vấn liên quan đến hành vi mua, bán, trao đổi trái phép thông tin tài khoản, khách hàng cần liên hệ ngay cơ quan Công an nơi gần nhất hoặc liên hệ với hotline ngân hàng để được trợ giúp.
 
Tài liệu tham khảo:
 
1. https://bocongan.gov.vn
2. Quyết định số 810/QĐ-NHNN ngày 11/5/2021 của Thống đốc NHNN phê duyệt “Kế hoạch chuyển đổi số ngành Ngân hàng đến năm 2025, định hướng đến năm 2030”.
3. Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân.
 
Thảo Vân
NHNN
Nguồn: tapchinganhang.gov.vn
Tìm kiếm