Lĩnh vực ngân hàng đã trải qua sự thay đổi mô hình vận hành và kinh doanh khi công nghệ được ứng dụng và phát triển. Để tăng cường các cơ sở khách hàng, ngân hàng đã giới thiệu nhiều nền tảng thông qua đó, các giao dịch có thể được thực hiện dễ dàng. Những công nghệ này cho phép khách hàng truy cập vào tài chính ngân hàng của họ 24/7 và hàng năm, ATM và các dịch vụ ngân hàng trực tuyến. Công nghệ thông tin (CNTT) đã trở thành một phần quan trọng của hệ thống ngân hàng. Nếu như ngân hàng được xem là xương sống của nền kinh tế, thì CNTT đã trở thành xương sống của hệ thống ngân hàng. Các ngân hàng gần như không thể cung cấp các sản phẩm tài chính mới mà không phụ thuộc nhiều vào CNTT.
1. Đặt vấn đề
Lĩnh vực ngân hàng đang đưa ra những thay đổi tiến bộ khác nhau để chuyển đổi các chi nhánh ngân hàng có trụ sở văn phòng truyền thống thành một khuôn khổ tiên tiến về “giải pháp ngân hàng cốt lõi”, hướng tới ngân hàng điện tử. Do đó, ngân hàng cũng đối mặt với những thách thức đến từ gian lận, tấn công của tội phạm công nghệ cao với nhiều thủ đoạn ngày càng tinh vi hơn. Ngành dịch vụ tài chính ngân hàng phải đối mặt với các cuộc tấn công mạng gần gấp ba lần so với bất kỳ ngành nào khác. Ngoài ra, các ngân hàng cũng sở hữu dữ liệu của hàng triệu người dùng nên tội phạm sử dụng công nghệ cao (TPSDCNC) có nhiều nguồn để kiếm lợi nhuận thông qua tống tiền, trộm cắp và lừa đảo. Các cuộc tấn công mạng có thể tàn phá các tổ chức tài chính ngân hàng, khiến thông tin khách hàng nhạy cảm và dữ liệu tài chính quan trọng gặp rủi ro. Các ngân hàng cũng khó lấy lại niềm tin của khách hàng và sửa chữa danh tiếng bị tổn hại nếu họ trở thành nạn nhân của một cuộc tấn công mạng. Ngày càng nhiều tổ chức dịch vụ tài chính đang hoạt động trong tình trạng bị tấn công liên tục, khiến các nhóm bảo mật và CNTT bị thách thức trong khả năng thu thập, phổ biến và giải thích các sự kiện độc hại.
Một cuộc tấn công mạng là bất kỳ hình thức tấn công nào của các quốc gia, nhóm, cá nhân hoặc tổ chức nhắm vào các hệ thống máy tính, cơ sở hạ tầng, mạng máy tính... bằng nhiều cách khác nhau. Tấn công mạng của các tin tặc ngày càng trở nên phức tạp và nguy hiểm đối với an ninh mạng của mỗi quốc gia và quyền lợi của người dùng (Uma & Padmavathi, 2011). Tội phạm mạng là liên tục, không suy giảm và không thể dừng lại vì dễ thực hiện, đem lại nhiều lợi lộc; cơ hội bị bắt và trừng phạt quá thấp do nhiều khách hàng không thực hiện các biện pháp bảo vệ cơ bản nhất, và nhiều sản phẩm công nghệ thiếu phòng thủ đầy đủ, trong khi tội phạm mạng ngày càng tinh vi về công nghệ và đã nhanh chóng chuyển sang sử dụng đám mây điện toán, trí tuệ nhân tạo, phần mềm dưới dạng dịch vụ và mã hóa (Gercke, 2012; Lewis, 2018).
Với sự lan rộng bùng nổ của Internet và các giao dịch tài chính điện tử, dịch vụ bảo mật trực tuyến đã trở thành một yêu cầu thiết yếu và là một thước đo mới quan trọng trong việc đánh giá năng lực cạnh tranh của dịch vụ ngân hàng trực tuyến. Theo đó, các ngân hàng bắt buộc phải cung cấp một môi trường ngân hàng trực tuyến an toàn dựa trên các quy trình bảo mật nâng cao. Ngân hàng an toàn trong tương lai với việc phòng ngừa chủ động, và các lớp phòng thủ độc đáo hơn để bảo vệ tài sản của mình và khách hàng sẽ phải sử dụng nhiều công nghệ, đặc biệt là công nghệ ứng dụng trí tuệ nhân tạo để chủ động ngăn chặn các vi phạm tiềm ẩn và mất dữ liệu (Khrais, 2015; Bening, 2019).
Nghiên cứu của Gupta, Walp và Sharman (2012) cho thấy các tổ chức, trên toàn thế giới, đã áp dụng các phương pháp tiếp cận thực tế và ứng dụng để giảm thiểu rủi ro và quản lý chương trình bảo mật thông tin. Việc xem xét sự phức tạp của một môi trường CNTT phân tán, quy mô lớn, bảo mật cần được chủ động lên kế hoạch và chuẩn bị trước, thay vì sử dụng như các phản ứng đối với những thay đổi trong bối cảnh. Do đó, nghiên cứu tiếp cận phòng chống tội phạm mạng từ vấn đề bảo mật thông tin và xác định các bên liên quan đến phòng chống tội phạm mạng nhằm đề xuất mô hình bảo đảm an ninh mạng trong lĩnh vực ngân hàng tại Việt Nam.
2. Lý thuyết tiếp cận các bên liên quan đến hiệu quả an ninh mạng
Theo Hoepers, Steding-Jessen và Faulhaber (2014), cách tiếp cận nhiều bên liên quan đến hiệu quả an ninh mạng được áp dụng dựa trên thực tế cho thấy hầu hết các mối đe dọa bảo mật Internet đang ngày càng phức tạp, ảnh hưởng đến nhiều lĩnh vực cùng một lúc và đòi hỏi các nỗ lực phối hợp để được phát hiện và giảm thiểu hiệu quả. Điều này đặc biệt đúng với các sự cố liên quan đến máy tính ma, thư rác, phần mềm độc hại và DDoS. Sự gia tăng của tội phạm mạng đã mang lại một mối quan tâm mới trong quan hệ đối tác thực thi pháp luật với khu vực tư nhân. Những sự hợp tác này đã tạo điều kiện cho việc chia sẻ thông tin và tài nguyên để tăng cường điều tra, đồng thời nâng cao nhận thức về các mối đe dọa thích hợp của các cuộc tấn công mạng và xây dựng sự phối hợp giữa các bên liên quan. Việc chia sẻ thông tin, nghiên cứu và phát triển có thể cùng có lợi cho các cơ quan thực thi pháp luật và các tổ chức đi trước cuộc chơi. Tổ chức cảnh sát hình sự quốc tế (Interpol) khẳng định rằng, không một quốc gia hay ngành nghề nào có thể chỉ dựa vào khả năng của chính mình để giải quyết vấn đề tội phạm xuyên quốc gia và có tổ chức (Mei, 2017).
Haller, Merrell, Butkovic và Willke (2010) nhìn dưới góc độ các thông lệ tốt nhất về an ninh mạng, dưới góc nhìn chiến lược quan trọng đều cho rằng cần phải có các bên liên quan. Theo đó, không phải duy nhất đội ứng cứu an ninh mạng quốc gia (Computer Security Incident Response Team - CSIRT) có trách nhiệm mà nhiều bên liên quan cũng cần tương tác trực tiếp với CSIRT quốc gia. Hơn nữa, CSIRT quốc gia có thể nâng cao vai trò của mình và giúp nâng cao văn hóa an ninh bằng cách chủ động tương tác với các bên liên quan này.
3. Đề xuất mô hình phối hợp giữa các bên liên quan trong thực tiễn bảo đảm an ninh mạng trong lĩnh vực ngân hàng tại Việt Nam
Qua nghiên cứu kinh nghiệm của các nước và thực trạng phòng chống TPSDCNC trong ngành Ngân hàng tại Việt Nam, nghiên cứu đề xuất mô hình và trình bày trách nhiệm/hành động của các bên liên quan như sau: (Hình 1)
3.1. Hoạt động của khu vực quản lý
Chính phủ
Chính phủ xây dựng cơ chế phối hợp giữa các cơ quan thuộc chính phủ, tạo cơ chế chia sẻ thông tin nhằm bảo đảm an ninh mạng và phòng chống TPSDCNC. Cần nhanh chóng xây dựng quy chế phối hợp giữa ngân hàng với các cơ quan chức năng liên quan như Cục Công nghệ thông tin - Ngân hàng Nhà nước (NHNN); C50, Trung tâm Thông tin an toàn, Trung tâm Cảnh báo, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam,… trong phòng ngừa, phát hiện, đấu tranh với các loại TPSDCNC trong lĩnh vực ngân hàng.
Ngân hàng Nhà nước
NHNN tự quản lý và chịu trách nhiệm hoạt động an toàn thông tin (ATTT) mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm ATTT mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về ATTT mạng; kinh doanh trong lĩnh vực ATTT mạng; phát triển nguồn nhân lực ATTT mạng; quản lý nhà nước về ATTT mạng.
NHNN phối hợp với Cục Cảnh sát phòng chống TPSDCNC thiết lập kênh trao đổi định kỳ hàng tháng, hàng quý về phương thức, thủ đoạn mới của tội phạm trong lĩnh vực ngân hàng. Khi nhận diện được những phương thức, thủ đoạn mới, cần thông báo rộng rãi trên các phương tiện truyền thông để khách hàng nhận biết và phòng tránh.
NHNN phối hợp với Bộ Thông tin và Truyền thông xây dựng một bộ tiêu chuẩn đánh giá quản trị rủi ro công nghệ của các NHTM và đưa ra các khuyến nghị phù hợp nhằm bảo vệ ngân hàng giảm rủi ro từ TPSDCNC.
Bộ Công an
Tăng cường phối hợp với các đơn vị có liên quan để giải quyết các yêu cầu, phát hiện, xác minh, điều tra TPSDCNC một cách kịp thời, triệt để.
Bộ Công an chủ trì, phối hợp với các bộ, ngành hữu quan như: Viện Kiểm sát Nhân dân Tối cao, Tòa án Nhân dân Tối cao, Bộ Tư pháp, Bộ Thông tin và Truyền thông, NHNN xây dựng Thông tư liên ngành về phòng, chống TPSDCNC. Đây chính là cơ sở pháp lý quan trọng để các bên tham gia hợp tác, chia sẻ, cung cấp, quản lý và sử dụng thông tin, tài liệu phục vụ cho công tác phòng, chống TPSDCNC và bảo đảm an ninh, an toàn trong hoạt động của ngân hàng. Theo đó, các ngân hàng cần chủ động thông báo cho các cơ quan chức năng liên quan về những dấu hiệu nghi vấn về gian lận, giả mạo trong các hoạt động tại ngân hàng; phối hợp thực hiện nguyên tắc trao đổi thông tin, cung cấp các hồ sơ thông tin cần thiết theo đề nghị của các bên tham gia; hướng dẫn người bị hại trình báo đến cơ quan pháp luật để được hỗ trợ, xử lý kịp thời. Ngược lại, Cục CNTT - NHNN; C50, Trung tâm Thông tin an toàn, Trung tâm Cảnh báo, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam cần kịp thời trao đổi, cung cấp thông tin về TPSDCNC, giúp các ngân hàng sớm nhận biết phương thức, thủ đoạn tấn công và cách thức phòng ngừa,…
Bên cạnh đó, phần lớn các TPSDCNC hiện nay là người nhập cư trái phép từ nước ngoài, Bộ Công an cần có các biện pháp tăng cường kiểm soát ở các tuyến biên giới để tránh không cho các đối tượng lợi dụng sơ hở nhập cảnh trái phép vào sâu trong nội địa thực hiện hành vi phạm tội. Bộ Công an cần đề xuất với Chính phủ giao cho Bộ Công an chỉ đạo công tác xây dựng, phát triển lực lượng cảnh sát phòng, chống TPSDCNC ngang tầm nhiệm vụ trong tình hình mới. Bộ Công an cần chỉ đạo kiện toàn tổ chức bộ máy và triển khai thành lập các đơn vị cảnh sát phòng, chống TPSDCNC trực thuộc các phòng chức năng ở công an các tỉnh, thành phố trực thuộc trung ương nhằm xây dựng một hệ thống cảnh sát phòng, chống tội TPSDCNC trên phạm vi toàn quốc.
Bộ Thông tin và Truyền thông
Bộ Thông tin và Truyền thông chịu trách nhiệm bảo đảm an toàn tài nguyên viễn thông, đối với vòng ngoài về truyền thông mạng, định danh và định tuyến, ứng cứu sự cố ATTT mạng cấp quốc gia.
Xây dựng Chiến lược đưa Việt Nam trở thành cường quốc an toàn, an ninh mạng; phối hợp với Bộ Công an trong việc xây dựng các văn bản hướng dẫn Luật An ninh mạng; đầu mối tập trung về mặt kỹ thuật, chỉ đạo các doanh nghiệp cung cấp dịch vụ viễn thông, Internet thực hiện các hoạt động, nhiệm vụ bảo đảm an toàn, an ninh mạng; triển khai thu thập thông tin, tổng hợp, phân tích, theo dõi và dự báo, cảnh báo sớm xu hướng về các hoạt động, diễn biến trên không gian mạng Việt Nam; triển khai các chương trình diễn tập, tập trận phòng thủ, đào tạo, tập huấn, bồi dưỡng nâng cao kiến thức, kỹ năng về ATTT cho các cơ quan, tổ chức và doanh nghiệp; thúc đẩy phát triển các nhóm sản phẩm, dịch vụ về hệ sinh thái số Việt Nam; giám sát tin chính xác/sử dụng trí tuệ nhân tạo phân loại, đánh giá tin từ không gian mạng.
Triển khai xây dựng Nghị định về xác thực và định danh điện tử; Nghị định thay thế Nghị định 90/2008/NĐ-CP và Nghị định 77/2012/NĐ-CP về chống thư rác; Quy hoạch bảo đảm ATTT mạng đến năm 2030; Kế hoạch bảo đảm ATTT mạng giai đoạn 2021-2025; Đề án bảo đảm ATTT cho đô thị thông minh; Đề án áp dụng thí điểm tiêu chuẩn TCVN:11930 cho hệ thống thông tin của cơ quan, tổ chức nhà nước; Hồ sơ đề xuất cấp độ mẫu cho hệ thống thông tin cấp độ 5 và tiêu chí quy trình đánh giá phần mềm phòng chống phần mềm độc hại.
Triển khai hệ thống chia sẻ và phân tích thông tin về nguy cơ, rủi ro mất an toàn, an ninh mạng trong các nước ASEAN và đưa Việt Nam thành một trong những Trung tâm chia sẻ nguy cơ an toàn, an ninh mạng của ASEAN; phát triển Trung tâm Giám sát an toàn không gian mạng quốc gia, đẩy mạnh hoạt động của Trung tâm này để triển khai giám sát an toàn trên toàn bộ không gian mạng Việt Nam.
Bộ Giáo dục và Đào tạo, Bộ Khoa học và Công nghệ
Bộ Giáo dục và Đào tạo cảnh báo, phòng ngừa việc lạm dụng, thiếu hiểu biết pháp luật dẫn đến vi phạm pháp luật, nhất là giới học sinh, sinh viên. Bộ Khoa học và Công nghệ xây dựng và công bố bộ tiêu chuẩn chất lượng cho các sản phẩm dịch vụ tài chính, đặc biệt liên quan đến lĩnh vực ngân hàng.
3.2. Hoạt động của khu vực cung cấp dịch vụ và khách hàng
Khách hàng
Đối với khách hàng cá nhân: cần chủ động nâng cao cảnh giác trong việc bảo mật thông tin tài khoản cá nhân khi sử dụng mạng xã hội, tham gia các diễn đàn…; cần tìm hiểu và áp dụng đúng, đầy đủ các thông tin hướng dẫn của các ngân hàng, các tổ chức giáo dục, các nhà cung cấp dịch vụ, các cơ quan truyền thông để chủ động bảo vệ mình trước các tác động từ bên ngoài. Tăng cường trách nhiệm cá nhân tham gia phòng ngừa TPSDCNC như bảo vệ mật khẩu, khóa mật khẩu, cơ sở dữ liệu, thông tin cá nhân, thông tin tài khoản và hệ thống thiết bị công nghệ cao của mình; phát hiện, kịp thời tố giác tội phạm có sử dụng công nghệ cao phạm pháp luật khác.
Đối với các cơ quan, tổ chức, doanh nghiệp tại Việt Nam: cần nhanh chóng cập nhật, vá các lỗ hổng để hệ thống CNTT không bị tin tặc sử dụng làm bàn đạp tấn công các hệ thống khác; Cần quản lý được cơ sở dữ liệu (dữ liệu đang nằm ở đâu, ai sử dụng và sử dụng thế nào?) để có biện pháp bảo vệ phù hợp. Bên cạnh đó, cần hướng dẫn nhân viên về cách thức bảo vệ thông tin và tuân thủ chính sách về ATTT, đồng thời, áp dụng các biện pháp bảo mật mạnh như mã hóa, cơ chế xác thực nhiều lớp.
Các công ty CNTT
Đối với các công ty cung cấp dịch vụ CNTT như các ISP, Cloud service: cần phải bảo đảm các chuẩn, cung cấp các cam kết cũng như chứng cứ chứng minh đã và đang bảo mật cho NHTM.
Đối với các công ty cung cấp thiết bị đầu cuối: cần phải bảo đảm yêu cầu bảo mật về CNTT theo NHNN.
Ngân hàng thương mại
Để bảo đảm thông tin và quyền lợi riêng tư của khách hàng, những yêu cầu cụ thể cần phải vượt qua đó chính là sự thay đổi từ ba phía. Thứ nhất là cơ quan quản lý cần phải tạo ra một khuôn khổ pháp lý để thiết chế và quản lý tốt hơn dịch vụ tài chính số. Thứ hai, bản thân khách hàng doanh nghiệp và cá nhân cần nâng cao tầm hiểu biết và kiến thức của mình về dịch vụ tài chính. Cuối cùng, ngân hàng cũng cần siết chặt hệ thống bảo mật để đảm bảo tài sản, thông tin cho khách hàng. Điều đó bắt buộc các ngân hàng phải mở rộng đầu tư nhiều hơn cho các chương trình, phần mềm về bảo mật vì nó không chỉ ảnh hưởng tới quyền lợi của khách hàng mà còn liên quan tới cả danh tiếng và lòng tin của công chúng đối với ngân hàng. Các ngân hàng cần thực hiện:
(i) Ngân hàng phải theo xu hướng triển khai dịch vụ ngân hàng mới
Trong những năm gần đây, nhiều ngân hàng đã nắm bắt và triển khai nhiều dịch vụ mang lại từ CMCN 4.0 như internet banking, mobile banking. Năm 1997, tỷ lệ dân số sử dụng internet chỉ là 0% thì đến tháng 6/2018, Việt Nam đã có 64 triệu người dùng, chiếm 66,3% dân số (Internetworldstats, 2019). Việt Nam có tốc độ tăng trưởng người dân sử dụng internet khá cao, bình quân lên đến 9%/năm, xếp hạng thứ 15 trên thế giới. Đây là một thị trường màu mỡ để khai thác nguồn khách hàng tiềm năng của các ngân hàng. Tỷ lệ khách hàng của hệ thống NHTM tại Việt Nam sử dụng dịch vụ ngân hàng số trong năm 2017 chiếm khoảng 36,4%/tổng số giao dịch tại các ngân hàng đã tăng nhiều lần so với con số 7,7% vào năm 2016. Trong bối cảnh Việt Nam là quốc gia có tốc độ phát triển của CNTT cao, và có xu hướng tăng nhanh chóng các loại tội phạm sử dụng công nghệ cao, việc phát triển các dịch vụ dựa trên sự phát triển CNTT sẽ đầy rủi ro và vì vậy, các NHTM cần hết sức cẩn trọng, cần chuẩn bị đủ lực trước khi ra biển lớn.
(ii) Ngân hàng sẽ thay đổi của mô hình kinh doanh, văn hóa kinh doanh theo hướng bảo mật
Ứng dụng công nghệ vào phát triển ngân hàng số, đòi hỏi các ngân hàng buộc phải thay đổi lại mô hình kinh doanh, văn hóa kinh doanh, quy trình. Các NHTM sẽ tự động hóa các quy trình, quản trị từ xa qua môi trường mạng, không làm việc tại văn phòng; đa dạng dịch vụ trực tuyến, hỗ trợ kết nối đa phương tiện. Việc phát triển đa dạng dịch vụ kéo theo hệ thống CNTT phải mở rộng, có những đặc điểm: Cấu trúc hệ thống CNTT ngày càng đa dạng, phức tạp; tích hợp nhiều loại thiết bị, sản phẩm khác nhau (máy chủ, phần mềm hệ thống, cơ sở dữ liệu, thiết bị truyền thông và an ninh...). NHTM cần lan tỏa văn hóa bảo mật cho lãnh đạo, cho cán bộ phụ trách thông tin, bảo mật và cho cả khách hàng.
(iii) Ngân hàng cần chú trọng đầu tư vào công nghệ
Trong bối cảnh tất cả dữ liệu của khách hàng và ngân hàng đều được kết nối, thì rủi ro là vấn đề cần quan tâm nhất vì nền tảng về công nghệ của hệ thống NHTM chưa ổn định, mức độ an toàn chưa cao. Hạ tầng ứng dụng CNTT cho ngân hàng số nếu không được quản lý, kiểm soát chặt chẽ sẽ dễ bị mất an toàn khi bất cứ thành phần nào có lỗ hổng bảo mật hoặc năng lực tổ chức quản lý kém, không am hiểu đầy đủ về đặc tính của mô hình dịch vụ mới. Chính vì vậy, các ngân hàng cần phải chú trọng đầu tư để nâng cao khả năng quản lý rủi ro kỹ thuật số để củng cố niềm tin của khách hàng và an toàn hoạt động kinh doanh ngân hàng. Việc áp dụng các công nghệ và dịch vụ mới để đối phó với các tình huống, với cạnh tranh cần tương thích với quản trị an ninh mạng, khả năng chịu đựng chi phí. Để tồn tại không có cách nào khác NHTM phải thay đổi, tuy nhiên, cần hết sức cân nhắc khi thay đổi công nghệ. Vấn đề kỹ thuật để bảo đảm tính bảo mật, an toàn cho giao dịch điện tử là một thách thức rất lớn phụ thuộc vào công nghệ, cách thức sử dụng của bên cung cấp và bên sử dụng. Do vậy, ngoài việc bảo đảm an toàn, ổn định cần lựa chọn công nghệ tin cậy và cần xác định cơ sở pháp lý để xử lý rủi ro đúng pháp luật khi có rủi ro về công nghệ. Đối với NHTM, khó khăn không phải là lựa chọn công nghệ tin cậy mà ở sự chấp nhận của khách hàng và các cơ quan chính phủ. Nếu có nguồn tài chính dồi dào và nhân lực CNTT chất lượng cao, NHTM có thể tăng cường đầu tư nghiên cứu, ứng dụng trí tuệ nhân tạo. Bằng cách phân tích các điểm dữ liệu khác nhau, các thuật toán học, máy có thể phát hiện các giao dịch gian lận mà phân tích của con người không nhận diện được. Ngành Ngân hàng cần tiên phong trong việc ứng dụng trí tuệ nhân tạo vào thực tiễn hoạt động, như phân tích dự báo, xác định giọng nói, lập trình ngôn ngữ tự nhiên, khởi tạo ngôn ngữ tự nhiên. Ngoài ra, hiện nay, công nghệ Blockchain được đánh giá là công nghệ bảo mật tối ưu nhất với tốc độ xử lý nhanh chóng. Sự khác biệt của công nghệ Blockchain so với những công nghệ bảo mật, lưu trữ thông thường là không tồn tại ở một địa điểm cụ thể nào mà dữ liệu sẽ được Blockchain phân tán trên hàng nghìn máy tính khắp thế giới. Khi cần khai thác và sử dụng dữ liệu, khách hàng thông qua các thuật toán phức tạp và quá trình mã hóa có sự tham gia đồng bộ của nhiều máy tính sẽ nhóm các bản ghi số hóa thành từng chuỗi khối. Bên cạnh đó, Blockchain cũng được coi là hình thức lưu trữ minh bạch tuyệt đối. Theo đó, mọi thành phần tham gia lưu trữ đều có quyền truy cập phiên bản đầy đủ. Dữ liệu một khi đã được cập nhật, nó không thể bị thay đổi hoặc xáo trộn mà chỉ có thể bổ sung và quá trình cập nhật diễn ra đồng thời trên tất cả máy tính trong mạng lưới. Nếu các dữ liệu gốc về giao dịch được thay đổi sau khi mã hóa, thì chỉ cần có một chữ ký điện tử khác để nhắc nhở toàn mạng lưới về nội dung cần sửa. Với bản chất phân tán của dữ liệu theo chuỗi khối, tin tặc rất khó có thể truy cập tất cả phiên bản cùng lúc, do quá trình mã hóa chỉ diễn ra một chiều.
3.3. Hợp tác giữa khu vực quản lý công - khách hàng và công ty cung cấp dịch vụ
Hợp tác công tư trong xây dựng cơ sở hạ tầng
Đặc biệt chú trọng hợp tác quốc tế trong đầu tư cho hạ tầng kỹ thuật. Việc này có thể học hỏi kinh nghiệm của các quốc gia trong khu vực như Thái Lan, Singapore. Ngày 14/9/2018, Trung tâm An ninh mạng Hiệp hội các nước Đông Nam Á (Association of South East Asian Nations - ASEAN) chính thức hoạt động ở Thái Lan. Đây là trung tâm thứ 4 ở châu Á chuyên về an ninh mạng và đối phó với TPSDCNC cùng các mối đe dọa phức tạp hơn, có thể dẫn đến hành vi trộm cắp thông tin nhạy cảm hoặc thậm chí làm mất uy tín các chính phủ và công ty, trong khi nhân viên an ninh mạng ở các nước thành viên vẫn còn hạn chế về số lượng. Thống kê cho thấy, các cuộc tấn công mạng đã trở nên phổ biến tại châu Á từ năm 2016 với con số là 60% cuộc tấn công. Các chuyên gia về an ninh mạng cũng cảnh báo, các mối đe dọa về an toàn an ninh mạng có thể khiến 1.000 công ty hàng đầu ASEAN tổn thất tới 750 tỷ USD. Vì vậy, trung tâm sẽ đóng một vai trò quan trọng trong việc giảm thiểu tội phạm mạng trong khu vực với mục tiêu chính là phát triển lực lượng lao động an ninh không gian mạng, đặc biệt trong các cơ quan chính phủ ASEAN và Đội phản ứng khẩn cấp máy tính (Computer Emergency Response Team - CERT) tại mỗi quốc gia ASEAN nhằm tăng cường nhận thức an ninh mạng, tăng cường an ninh thông tin và bảo vệ dữ liệu, cũng như quảng bá chia sẻ thông tin. Trước đó, vào tháng 6/2018, dưới sự hỗ trợ của Hội đồng phát triển kinh tế Singapore (Singapore Economic Development Board - EDB), Tập đoàn Honeywell cũng cho ra mắt Trung tâm an ninh mạng công nghiệp đầu tiên tại châu Á. Ngoài 2 trung tâm về an ninh mạng nói trên, khu vực ASEAN còn có 2 trung tâm khác. Trung tâm thứ nhất là do Interpol thành lập năm 2015 với mục đích tập trung vào công tác chống tội phạm mạng. Trung tâm nằm trong tòa nhà khu liên hợp toàn cầu của Interpol về sự đổi mới (The INTERPOL Global Complex for Innovation - IGCI) tại Singapore và đã hỗ trợ trao đổi thông tin với khu vực tư nhân, nơi có những thông tin quan trọng có thể thúc đẩy các nỗ lực và hành động chống tội phạm mạng. Trung tâm thứ hai cũng được khai trương cùng năm tại Singapore là Trung tâm Vệ tinh chống tội phạm mạng do hãng Microsoft tài trợ và là một trong số 12 trung tâm vệ tinh mà Microsoft có kế hoạch xây dựng trên toàn cầu.
Hợp tác công tư trong chia sẻ kinh nghiệm phòng chống TPSDCNC
Ngân hàng Nhà nước với chức năng và vị thế của mình kết hợp với các bộ, đặc biệt là các Bộ Thông tin và Truyền thông, Bộ Công an cùng phối hợp với các NHTM thường xuyên tổ chức hội thảo, tọa đàm, tập huấn, chia sẻ kinh nghiệm về (i) các lỗi bảo mật, các nhược điểm mới của các dịch vụ tài chính công nghệ, cách thức phòng ngừa những lỗi bảo mật, nhược điểm của các sản phẩm tài chính công nghệ; (ii) các điểm yếu kỹ thuật của hệ thống CNTT ngân hàng. Đồng thời, NHTM cần tăng cường phối hợp với công an địa phương khi phát hiện dấu hiệu gian lận, giả mạo trong thanh toán điện tử.
Hợp tác công tư trong lan tỏa văn hóa bảo mật
Phối hợp với các ngành chức năng trong các hoạt động triển khai ứng dụng công nghệ, thiết lập hệ thống phòng vệ để chủ động và nâng cao hiệu quả phòng ngừa tội phạm. Nâng cao ý thức cảnh giác của người quản lý TPSDCNC.
4. Kết luận
Quá trình phát triển đòi hỏi ứng dụng công nghệ cao, đi kèm với nguy cơ thất thoát dữ liệu, bảo mật thông tin khách hàng, càng gia tăng nguy cơ bảo đảm an toàn cho các giao dịch khách hàng cực lớn. Mặc dù tình hình TPSDCNC diễn biến phức tạp nhưng các phương án phòng chống hiện hữu của các ngân hàng là tương đối bị động. Trước xu hướng phát triển của CNTT, trước xu hướng phát triển của TPSDCNC và dịch vụ ngân hàng dựa trên nền tảng công nghệ mới và trước xu hướng tội phạm mạng ngày càng tinh vi về công nghệ và thường hành động trước các chuyên gia bảo mật CNTT, NHTM và cơ quan quản lý có những thay đổi phù hợp và cần thiết nhất là: (i) hoàn thiện khung pháp lý nhằm phát huy thế mạnh và tính kết nối giữa các bên liên quan trong hệ thống NHTM để bảo đảm an toàn, bảo mật CNTT; (ii) chú trọng phát triển hoạt động của NHTM dựa trên khai thác công nghệ để có thể phát triển theo hướng ứng dụng công nghệ và quản trị rủi ro; (iii) tạo điều kiện lan tỏa văn hóa bảo mật cho toàn bộ các bên liên quan trong hệ thống.
TÀI LIỆU THAM KHẢO:
Bening, R. (2019). Tackling cyber crime - A shared threat needs a shared response.
Gercke, M. (2012). Understanding cybercrime: Phenomena, challenges and legal response.
Gupta, M., Walp, J. & Sharman, R. (2012). Strategic and Practical Approaches for Information Security Governance: Technologies and Applied Solutions.
Haller, J., Merrell, S. A., Butkovic, M. J., & Willke, B. J. (2010). Best Practices for National Cyber Security: Building a National Computer Security Incident Management Capability (No. CMU/SEI-2010-SR-009).
Hoepers, C., Steding-Jessen, K. & Faulhaber, H. (2014).The Importance of a Multistakeholder Approach to Cybersecurity Effectiveness.
Internetworldstats (2019). Internet Usage in Asia.
Khrais, L. T. (2015). Highlighting the Vulnerabilities of Online Banking System.
Lewis, J. (2018). Economic Impact of Cybercrime— No Slowing Down.
Mei, T. T. (2017). Joining hands to fight cybercrime.
Uma, M. & Padmavathi, G. (2011). A Survey on Various Cyber Attacks and Their Classification. International Journal of Network Security, Vol.15, No.5, PP.390-396, Sept. 2011.
PGS., TS. Hạ Thị Thiều Dao,
ThS. Trần Nguyễn Minh Hải
(Theo TCNH số 19/2019)