Từ trước đến nay, các ngân hàng thường rất vất vả trong việc phát hiện các giao dịch bất hợp pháp trong vô số giao dịch mà họ xử lí hằng ngày. Đó là vì bọn tội phạm thường chuyển tiền bẩn qua nhiều ngân hàng khác nhau để che dấu vết, khiến nhân viên tuân thủ chỉ thấy được một phần trong lộ trình hành động của chúng. Nhưng điều đó đã bắt đầu thay đổi khi các tổ chức tài chính và nhà cung cấp dịch vụ ở một số quốc gia tạo ra công nghệ phân tích dữ liệu bảo vệ quyền riêng tư hỗ trợ các nền tảng chia sẻ thông tin khách hàng, góp phần cải thiện đáng kể khả năng phát hiện hành vi rửa tiền và gian lận.

Những thử nghiệm chia sẻ thông tin ngân hàng nhằm phát hiện tội phạm tài chính

Một dự án nghiên cứu được hỗ trợ bởi Viện Royal United Services, một tổ chức tư vấn của Vương quốc Anh đã xác định được ít nhất 15 sáng kiến về việc chia sẻ thông tin của các ngân hàng trên thế giới. Mặc dù hầu hết các quốc gia không cho phép các ngân hàng chia sẻ thông tin, nhưng theo dự án của  Chương trình nghiên cứu tương lai của việc chia sẻ thông tin tình báo tài chính (Future of Financial Intelligence Sharing - FFIS), thuộc Viện Các quân chủng thống nhất Hoàng gia Anh thì một số nỗ lực gần đây đã đạt được thành công đáng kể trong việc xác định tội phạm. Các quốc gia như Hoa Kỳ, Vương quốc Anh, Hà Lan và Estonia đang có nền tảng chia sẻ thông tin như vậy. Các loại, cách sử dụng và nguồn gốc của các nền tảng chia sẻ thông tin được FFIS nghiên cứu rất khác nhau. Một số nghiên cứu tập trung vào các vấn đề cụ thể, như “con la chở tiền” (thuật ngữ dùng để chỉ những người cho phép tài khoản ngân hàng của họ trở thành nơi trung chuyển các khoản tiền của tội phạm có tổ chức), hoặc chỉ đơn giản là cung cấp kênh nhắn tin an toàn cho các ngân hàng tham gia. Những nền tảng khác đã sử dụng công nghệ tinh vi để giúp các ngân hàng tuân thủ các nghĩa vụ chống rửa tiền.

Một ví dụ sử dụng công nghệ tiên tiến là Transactie Monitoring Nederland (TMNL), liên doanh của năm ngân hàng lớn nhất Hà Lan. Nền tảng kiểu tiện ích này ra mắt vào tháng 7/2020, cho phép các ngân hàng tham gia như ABN AMRO Bank NV, ING Groep và Rabobank tập hợp dữ liệu giao dịch của khách hàng đã được mã hóa.

Tham khảo ý kiến của một số ngân hàng và đơn vị tình báo tài chính của Hà Lan, TMNL đã phát triển các mô hình cho phép nhóm tìm kiếm dữ liệu được chia sẻ để phát hiện các mẫu giao dịch bất thường tiềm ẩn, có thể chỉ ra hoạt động rửa tiền hoặc tài trợ cho khủng bố. Công nghệ tăng cường quyền riêng tư cho phép TMNL tạo cảnh báo từ nhóm dữ liệu ẩn danh mà nó giám sát trong khi vẫn bảo vệ được danh tính khách hàng của các ngân hàng.

TMNL là một tổ chức tư nhân với khoảng 70 nhân viên, khá kín tiếng về kết quả ban đầu trong việc xác định hoạt động rửa tiền tiềm ẩn. Giám đốc điều hành là ông Norbert Siegers cho biết, TMNL vẫn đang thử nghiệm và chưa phát triển các thước đo kết quả. Sau khoảng hai năm, nền tảng này đã tạo ra khoảng 2.000 cảnh báo, chúng được gửi đến các ngân hàng có liên quan để điều tra thêm. “Về cơ bản, chúng tôi là một nhà máy phân tích, chúng tôi tạo ra các mô hình để tìm ra vấn đề tiềm ẩn của việc chống rửa tiền, nhưng việc điều tra các vấn đề đó vẫn do các ngân hàng thực hiện”.
 

Ảnh minh họa. Nguồn: Internet
 

Các quy tắc chống rửa tiền yêu cầu tổ chức tài chính giám sát các giao dịch và báo cáo hoạt động đáng ngờ cho cơ quan quản lí. Nhiều ngân hàng có phần mềm giám sát để giúp phát hiện các giao dịch đáng ngờ trong nội bộ ngân hàng, nhưng bằng cách tổng hợp dữ liệu, TMNL sẽ phát hiện thêm các mẫu liên quan đến ngân hàng khác mà trước đây các ngân hàng không nhìn thấy.

Trong một số trường hợp, từ những cảnh báo do các mô hình của TMNL tạo ra, các ngân hàng nộp báo cáo các hoạt động đáng ngờ cho đơn vị tình báo tài chính Hà Lan và các cơ quan thực thi pháp luật sẽ phải điều tra thêm, ông Norbert Siegers cho biết.

Bà Hennie Verbeek-Kusters, Giám đốc một đơn vị tình báo tài chính của Hà Lan hoan nghênh việc nghiên cứu và đề ra giải pháp của TMNL. Bà nói: “Đây thực sự là một cách rất đơn giản để đưa trao đổi thông tin và hợp tác giữa các ngân hàng lên một tầm cao mới. Chúng tôi thấy rất vui về sáng kiến này”.

Một cuộc thử nghiệm ban đầu được mô tả trong nghiên cứu của FFIS đã cho phép TMNL và các cơ quan chức năng của Hà Lan cắt giảm thời gian cần thiết để vạch ra một mạng lưới chống rửa tiền phức tạp từ ba tuần xuống còn hai ngày. Bà Verbeek-Kusters cho biết, việc hợp tác với TMNL đã trải qua rất nhiều lần thử nghiệm và chỉnh sửa, cải tiến các mô hình để tạo ra các kết quả hữu ích hơn. Bà nói: “Cuối cùng, các cải tiến này đã nhận được báo cáo thực sự tốt từ một số ngân hàng, thứ mà chúng tôi có thể đã đạt được theo cách truyền thống nhưng phải mất hơn thế nhiều tháng”.

Một hạn chế của TMNL là nó hiện chỉ tập trung vào các khách hàng doanh nghiệp của các ngân hàng. Nguyên nhân của điều này là ở chỗ các biện pháp bảo vệ quyền riêng tư đối với khách hàng cá nhân khó hơn nhiều so với bảo vệ các khách hàng tổ chức, dù nền tảng này sử dụng công nghệ chỉ cho phép các ngân hàng thành viên giải mã các cảnh báo mà không tiết lộ thông tin cụ thể của khách hàng.

Những lo ngại về quyền riêng tư là một trong những trở ngại chính đối với việc áp dụng rộng rãi hơn các nền tảng chia sẻ thông tin ở hầu hết các quốc gia. Đối với TMNL, bước tiếp theo sẽ là thu hút thêm ngân hàng và thêm dữ liệu giao dịch của khách hàng cá nhân. Nhưng điều đó sẽ gắn liền với việc cần hoàn thiện khung khổ pháp lí để làm rõ việc chia sẻ thông tin như vậy có liên quan như thế nào đến các quy tắc bảo vệ dữ liệu nghiêm ngặt của Liên minh châu Âu, ông Norbert Siegers cho biết.

Hoa Kỳ là một trong những quốc gia đầu tiên cung cấp cho các tổ chức tài chính một cổng hợp pháp để chia sẻ thông tin về khách hàng nhằm xác định các hoạt động rửa tiền hoặc tài trợ khủng bố. Nhưng việc chia sẻ thông tin này là tự nguyện và việc sử dụng cổng này được áp dụng khá chậm.

Quá trình ban hành các quy định liên quan đã dẫn đến việc tạo ra một số nền tảng và sự hợp tác giữa các nhà cung cấp dịch vụ và tổ chức tài chính. Verafin Inc., một công ty phần mềm cung cấp sản phẩm theo dõi giao dịch và quản lí các vụ việc đã phát triển một cổng thông tin, qua đó khoảng 2.500 nhân viên ngân hàng có thể gửi yêu cầu thông tin cho nhau.
Oracle Corp. đang xây dựng một công cụ tương tự với sự hợp tác của Duality Technologies Inc., bao gồm khả năng truy vấn và phản hồi tự động, theo đó tổ chức tài chính gửi yêu cầu sẽ không cần tiết lộ các truy vấn của họ cho tổ chức sở hữu các thông tin đó.

Theo nghiên cứu của FFIS, một hiệp hội chính thức của năm trong số các ngân hàng lớn nhất của Hoa Kỳ cũng đã đạt được một số kết quả khả quan. Mối quan hệ hợp tác này bắt đầu vào năm 2015, cho phép các ngân hàng tham gia tập hợp các nguồn lực điều tra, tạo ra hàng nghìn chủ đề mới có thể được cơ quan thực thi pháp luật quan tâm.

Tuy nhiên, hầu hết những sự hợp tác như vậy ở Hoa Kỳ và các nơi khác vẫn còn khá hạn chế. Nick Maxwell, người đứng đầu Chương trình FFIS cho biết, những trở ngại chính là các khung pháp lí đã có từ trước. Ông nói, các chính phủ cần có các chính sách mở đường rõ ràng cho các sáng kiến chia sẻ thông tin mới xuất hiện. “Công nghệ không phải là vấn đề. Vấn đề thực sự là liệu quốc gia có môi trường chính sách rõ ràng để hỗ trợ việc chia sẻ hay không, điều này rất hiếm”.

Mới đây, Singapore cũng bắt đầu xây dựng nền tảng dữ liệu để cho phép các ngân hàng tại nước này chia sẻ thông tin tình báo về những khách hàng có khả năng tham gia vào các hoạt động tội phạm. Cơ quan tiền tệ Singapore (MAS) cho biết, động thái này là một phần trong nỗ lực của Singapore nhằm tăng cường khả năng phòng thủ chống lại tội phạm tài chính, bao gồm rửa tiền, tài trợ khủng bố và tài trợ vũ khí hủy diệt hàng loạt. Nền tảng dữ liệu được đặt tên là COSMIC và hiện đang được phát triển cùng với sáu ngân hàng lớn, bao gồm DBS, UOB, Standard Chartered, Citibank và HSBC.

Nền tảng này sẽ lấp đầy những lỗ hổng hiện tại, khi mà các tổ chức tài chính không thể cảnh báo lẫn nhau về các hoạt động bất thường liên quan đến khách hàng của họ vì vướng các yêu cầu bảo mật. Bộ trưởng Bộ Thương mại và Công nghiệp Singapore Alvin Tan, người đồng thời là thành viên hội đồng MAS cho biết, vướng mắc này cho phép tội phạm thực hiện các giao dịch bất hợp pháp qua nhiều tổ chức tài chính khác nhau để tránh bị phát hiện. Bình luận của ông Alvin Tan được đưa ra ngày 09/5/2023, trong lần thảo luận thứ hai về Dự luật Dịch vụ tài chính và thị trường (sửa đổi) tại Quốc hội. Các sửa đổi được đề xuất đối với Dự luật sẽ cho phép chia sẻ thông tin và thiết lập khung pháp lí để tạo điều kiện trao đổi thông tin qua nền tảng dữ liệu.

Ông Alvin Tan cho biết, Dự luật sửa đổi phác thảo thời gian và cách thức chia sẻ dữ liệu của khách hàng có thể diễn ra. Dự luật cũng cung cấp các biện pháp bảo vệ pháp lí và hoạt động để đảm bảo tính bảo mật của thông tin được chia sẻ và lợi ích của khách hàng hợp pháp. Ông nói rằng, các sửa đổi kết hợp phản hồi từ tham vấn cộng đồng về COSMIC, đồng thời bổ sung thêm, nền tảng chia sẻ dữ liệu sẽ giúp các tổ chức tài chính phát hiện và ngăn chặn hoạt động tội phạm dễ dàng hơn.

Nền tảng này sẽ được triển khai theo từng giai đoạn và dự kiến sẽ đi vào hoạt động từ nửa cuối năm sau. Trong giai đoạn đầu, việc chia sẻ thông tin giữa MAS và sáu ngân hàng sẽ là tự nguyện. Giai đoạn này sẽ cho phép nền tảng đạt được sự ổn định trong hoạt động và để MAS, cùng với các tổ chức tài chính tham gia, tinh chỉnh các tính năng của nó và giải quyết các mối lo ngại về hoạt động.

Quyền truy cập vào nền tảng dữ liệu sẽ được mở rộng cho nhiều tổ chức tài chính hơn, tập trung nhiều hơn vào các lĩnh vực rủi ro khác. Trong giai đoạn đầu, COSMIC sẽ tập trung vào ba lĩnh vực: Rửa tiền dựa trên thương mại; lạm dụng pháp nhân, chẳng hạn như lạm dụng các công ty vỏ bọc; tài trợ và trốn tránh các biện pháp trừng phạt quốc tế. Bộ trưởng Alvin Tan lưu ý, việc chia sẻ dữ liệu cũng sẽ được thực hiện bắt buộc trong các tình huống rủi ro cao hơn. “COSMIC sẽ cho phép các tổ chức tài chính tham gia chia sẻ thông tin với nhau, trên cơ sở đảm bảo bí mật, về những khách hàng có hồ sơ hoặc hành vi có dấu hiệu tiềm ẩn liên quan tới tội phạm tài chính. Những thông tin rủi ro như vậy có thể bao gồm các hành vi “báo động” và chi tiết của giao dịch liên quan. Việc chia sẻ trên COSMIC sẽ cung cấp cho tổ chức tài chính nhận thông tin tốt hơn để nâng cao hiểu biết về rủi ro của khách hàng, do đó, cho phép tổ chức tài chính phát hiện hành vi đáng ngờ một cách chính xác và nhanh chóng hơn".

Các tổ chức tài chính có thể sử dụng dữ liệu trên nền tảng để xác định xem một giao dịch tài chính có hợp pháp hay không. Nếu một giao dịch được đánh giá và nghi ngờ có liên quan đến các hoạt động tội phạm, một báo cáo về khách hàng phải được gửi cho các cơ quan có liên quan theo các quy định hiện hành.

MAS sẽ có quyền truy cập vào tất cả thông tin được chia sẻ trên COSMIC, là điều cần thiết để giúp cơ quan quản lí giám sát các quy trình và đảm bảo các tổ chức tài chính tham gia đang sử dụng nền tảng này một cách thích hợp. Là chủ sở hữu của nền tảng, MAS sẽ đảm bảo thông tin COSMIC được trao đổi và lưu trữ an toàn. Nền tảng này sẽ có các biện pháp kiểm soát chặt chẽ, bao gồm các biện pháp an ninh mạng, chẳng hạn như mã hóa dữ liệu và tường lửa để chặn truy cập trái phép từ bên ngoài. Nền tảng cũng sẽ có các giới hạn nghiêm ngặt về quyền truy cập của người dùng. Các biện pháp kiểm soát này sẽ được kiểm tra định kì để đảm bảo tính hiệu quả của chúng.

Các tổ chức tài chính tham gia sẽ được yêu cầu duy trì các biện pháp an ninh dữ liệu mạnh mẽ cho COSMIC, bao gồm các hệ thống và quy trình để ngăn chặn việc sử dụng trái phép. Họ cũng sẽ phải thực hiện các biện pháp mã hóa và an ninh mạng để bảo vệ dữ liệu nhận được từ COSMIC. Các tổ chức tài chính cũng không được phép tiết lộ thông tin thu được qua nền tảng dữ liệu cho các tổ chức bên thứ ba, trừ những trường hợp cụ thể, chẳng hạn như thực hiện lệnh của tòa án hoặc theo yêu cầu của cảnh sát để hỗ trợ điều tra.

Công nghệ phân tích dữ liệu bảo vệ quyền riêng tư hỗ trợ các nền tảng chia sẻ thông tin khách hàng

Để các tổ chức, ngân hàng có thể sử dụng nền tảng chia sẻ thông tin, các công nghệ phân tích dữ liệu bảo vệ quyền riêng tư là rất quan trọng.

Các nền tảng chia sẻ thông tin khách hàng có khả năng phân tích bảo vệ quyền riêng tư dựa trên “công nghệ tăng cường quyền riêng tư” (privacy enhancing technologies, viết tắt là PET). Phân tích bảo vệ quyền riêng tư cho phép tính toán diễn ra trên dữ liệu gốc mà chủ sở hữu dữ liệu không nhất thiết phải tiết lộ dữ liệu đó. Công nghệ này cũng có thể đảm bảo rằng chủ sở hữu dữ liệu không có khả năng thấy được các truy vấn tìm kiếm, với câu lệnh truy vấn và kết quả vẫn được mã hóa, và chỉ người yêu cầu truy vấn mới thấy. Khác với mã hóa dữ liệu khi ở trạng thái tĩnh (trong thiết bị lưu trữ) hoặc dữ liệu khi đang truyền - những khái niệm đã quen thuộc đối với nhiều người, PET cung cấp khả năng mã hóa cho dữ liệu đang được sử dụng (tức là khả năng xử lí và tính toán mà không cần truy cập vào dữ liệu thô).

Để thực hiện việc chống rửa tiền và ngăn ngừa tội phạm tài chính, các tính năng của PET hỗ trợ chia sẻ thông tin để tăng cường các hoạt động: Chia sẻ công - tư và ngược lại; chia sẻ giữa các tổ chức trong nước và chia sẻ xuyên biên giới.

Lịch sử phát triển của các công nghệ PET

Kể từ những năm 1970, PET bắt đầu được lí thuyết hóa dưới dạng các khái niệm toán học và mật mã.

Từ năm 2000 - 2010: Một số đột phá về điện toán và mật mã diễn ra; năm 2004, các nguyên mẫu đầu tiên của tính toán đa bên an toàn ra đời; năm 2008, giải pháp môi trường thực thi đáng tin cậy (TEE) đầu tiên dựa trên công nghệ ARMTrustZone được ra mắt. Cũng trong năm 2008, lần triển khai giải pháp tính toán đa bên an toàn (SMPC) được áp dụng để xác định giá thị trường củ cải đường ở Đan Mạch mà không tiết lộ vị thế kinh tế của từng nông dân. Vào năm 2009, hệ thống mã hóa đồng cấu hoàn toàn (FHE) đầu tiên được đề xuất bởi Craig Gentry, mặc dù ở giai đoạn này đòi hỏi tài nguyên máy tính khổng lồ để vận hành hệ thống.

Từ năm 2010 - 2020: Nỗ lực nghiên cứu và phát triển (R&D) toàn cầu tập trung vào việc nâng cao hiệu quả của các kĩ thuật PET. Năm 2010, Dự án Nghiên cứu tiên tiến quốc phòng Hoa Kỳ (DARPA) khởi xướng Chương trình “Tính toán lập trình trên dữ liệu mã hóa” để phát triển những tiến bộ trong lí thuyết, triển khai nguyên mẫu và ứng dụng của PET, cụ thể là mã hóa đồng cấu một phần hay toàn bộ (HE) và tính toán nhiều bên (MPC). Dự án đã dẫn đến những cải thiện đáng kể về hiệu quả tính toán cho các ứng dụng chung; các ứng dụng thực tế đầu tiên của HE trong thế giới thực, thiết kế tăng tốc phần cứng HE và di sản của phần mềm mã nguồn mở dành cho HE. Các báo cáo của RAND (tổ chức phi lợi nhuận chuyên hỗ trợ và phân tích cho quân đội Hoa Kỳ) mô tả kết quả và ý nghĩa ban đầu của sự thành công trong Chương trình này. Năm 2011 Sharemind, một giải pháp SMPC do Cybernetica phát triển, lần đầu tiên được áp dụng để phân tích các chỉ số hiệu suất chính (KPI) cho Hiệp hội Công nghệ thông tin và Viễn thông Estonia, với 17 công ty tham gia cung cấp các số liệu hiệu suất tài chính để được xử lí mà không tiết lộ dữ liệu cơ bản nhạy cảm về mặt thương mại. Dữ liệu được xử lí trong vòng 2 phút. Năm 2011, Dự án Nghiên cứu Nâng cao của Tình báo Hoa Kỳ (IARPA) đã khởi xướng chương trình Nghiên cứu Đảm bảo bảo mật và quyền riêng tư (SPAR) để phát triển: (i) Triển khai nguyên mẫu các giao thức mật mã hiệu quả để truy vấn cơ sở dữ liệu nhằm giữ bí mật truy vấn, nhưng vẫn cho phép chủ sở hữu cơ sở dữ liệu xác định xem liệu truy vấn có được cấp phép và nếu vậy, chỉ trả lại những bản ghi khớp với nó; (ii) Triển khai nguyên mẫu các giao thức mã hóa hiệu quả để đăng kí các chủ đề trong luồng phân phối tài liệu sao cho việc đăng kí được giữ bí mật và chỉ các tài liệu phù hợp mới được gửi cho người đăng kí; và (iii) Các kĩ thuật mã hóa đồng cấu hiệu quả để thực hiện các truy vấn trên dữ liệu được mã hóa. Một báo cáo được phát hành vào năm 2015 mô tả các kết luận của dự án này. Từ năm 2015, dự án Công nghệ và ứng dụng mã hóa đồng cấu (HEAT) do EU tài trợ bắt đầu xuất bản tài liệu liên quan đến các công nghệ mật mã tiên tiến để xử lí thông tin nhạy cảm ở dạng mã hóa và hỗ trợ một bước thay đổi về hiệu quả và khả năng ứng dụng của công nghệ này. Năm 2016, Cơ quan khoa học quốc gia của Úc (CSIRO) đã thành lập Cơ quan chuyên nghiên cứu về số liệu và công nghệ số (Data61) để hỗ trợ các dự án dựa trên dữ liệu chiến lược quốc gia và Data61 sau đó thiết lập nền tảng “Điện toán bí mật” (Confidential Computing) để kết hợp học máy phân tán với mã hóa đồng cấu và điện toán đa bên an toàn để cung cấp khả năng học các mô hình trên nhiều tập dữ liệu mà không cần bất kì dữ liệu nào rời khỏi nguồn an toàn của nó. Data61 báo cáo rằng các mô hình cung cấp tính toán được mã hóa giống hệt với kết quả được xử lí dữ liệu gốc, tức là không mất độ chính xác do quá trình mã hóa.

Năm 2016, tiền kĩ thuật số Zcash ra mắt như một nền tảng Blockchain (chuỗi khối) cho các giao dịch sử dụng ZKP để bảo vệ đường dẫn giao dịch trong khi vẫn được xác minh theo các quy tắc đồng thuận của mạng. Phiên bản zk-SNARKS do Zcash phát triển sau đó được J.P. Morgan áp dụng. Năm 2017, một liên đoàn bao gồm các doanh nghiệp, chính phủ và giới học thuật phát hành ba sách trắng về bảo mật, giao diện lập trình ứng dụng (API), các ứng dụng mã hóa đồng cấu và một tiêu chuẩn dự thảo để lựa chọn tham số. Những phát triển này đã phần nào cho phép thương mại hóa mã hóa đồng cấu. Năm 2018, Dự án EU HEAT công bố phân tích khả năng tự động phát hiện tội phạm có tổ chức (ADOC) để đáp ứng với Đánh giá mối đe dọa tội phạm có tổ chức (OCTA) năm 2013 của Europol. Dự án nhằm mục đích hỗ trợ quét môi trường có hệ thống để tìm các thông tin rời rạc gợi ý những thay đổi tiềm năng trong tương lai gần, tìm kiếm, hợp nhất và giải thích dữ liệu từ cơ sở dữ liệu được mã hóa đồng thời cho phép tổng hợp dữ liệu trong đám mây cho người dùng được ủy quyền. Cũng trong năm 2018, NHS Digital, đơn vị cung cấp dịch vụ công nghệ cho NHS England và chịu trách nhiệm về dữ liệu sức khỏe của hơn 55 triệu cá nhân tham gia Privitar Secure Link để cho phép tổng hợp dữ liệu an toàn từ nhiều người đóng góp bằng cách sử dụng mã hóa đồng cấu một phần. Hệ thống cung cấp khả năng bảo vệ các thuộc tính dữ liệu nhạy cảm trong bộ dữ liệu để cho phép chia sẻ với bên thứ ba; đảm bảo tính nhất quán để tiến hành phân tích mẫu có ý nghĩa trên dữ liệu an toàn và cung cấp khả năng truy gốc dữ liệu nâng cao để cải thiện khả năng quản trị và ngăn chặn việc lạm dụng.

Tháng 3/2019, TensorFlow (một thư viện mã nguồn mở được sử dụng rộng rãi cho máy học) đã xuất bản TensorFlowFederated, một khung nguồn mở cho phép máy học được thực hiện trên các bộ dữ liệu được liên kết. Cũng trong tháng 3/2019, Liên hợp quốc xuất bản một cuốn sổ tay tập trung vào tính toán bảo vệ quyền riêng tư cho các cơ quan thống kê quốc gia. Tháng 4/2019, Trung tâm Phân tích và Báo cáo giao dịch của Úc (AUSTRAC) được cấp 28,4 triệu đô la Úc trong 4 năm để mở rộng Liên minh Fintel, bao gồm cả việc phát triển khả năng hoạt động bằng cách sử dụng các kĩ thuật bảo vệ quyền riêng tư. Tháng 7/2019, Cơ quan Quản lí tài chính Vương quốc Anh tổ chức sự kiện Chống rửa tiền và Tội phạm tài chính toàn cầu kéo dài một tuần, tập trung vào cách PET có thể tạo điều kiện thuận lợi cho việc chia sẻ thông tin về rửa tiền và các mối lo ngại về tội phạm tài chính. Hơn 140 người đã tích cực tham gia sự kiện này và một sự kiện vệ tinh đã diễn ra ở Washington D.C. Hơn 200 đại biểu cấp cao từ các khu vực công và tư nhân đã tham dự sự kiện, bao gồm đại diện từ 42 cơ quan quản lí quốc tế.

Tháng 9/2019, Diễn đàn Kinh tế Thế giới xuất bản Sách trắng “Thế hệ tiếp theo của chia sẻ dữ liệu trong các dịch vụ tài chính: Sử dụng các kĩ thuật nâng cao quyền riêng tư để mở khóa giá trị mới”. Tháng 10/2019, Hiệp hội Điện toán Bí mật được ra mắt nhằm thúc đẩy việc áp dụng điện toán bí mật, bao gồm các thành viên sáng lập: Alibaba, Arm, Google Cloud,Huawei, Intel, Microsoft và Red Hat. Các thành viên khác bao gồm Baidu, ByteDance, Detriq, Fortanix, Kindite, Oasis Labs, Swisscom, Tencent và VMware. Tháng 02/2020, Ủy ban châu Âu công bố dự thảo Chiến lược dữ liệu mô tả các công nghệ bảo vệ quyền riêng tư là “rất quan trọng đối với các giai đoạn tiếp theo của nền kinh tế dữ liệu” và cho biết, Chiến lược này sẽ tiếp tục hỗ trợ các công nghệ này như một phần của chiến lược châu Âu về dữ liệu. Tháng 6/2020, Cơ quan giám sát bảo vệ dữ liệu châu Âu công bố ý kiến chính thức thể hiện sự công nhận của Ủy ban đối với tầm quan trọng của các công nghệ bảo vệ quyền riêng tư.

Các mô hình PET

- HE: Mã hóa đồng cấu là một dạng mã hóa trong đó một số phép toán (như cộng, nhân hoặc cả hai) có thể được thực hiện trên bản mã và khi kết quả được giải mã, nó sẽ có cùng kết quả như thể quá trình xử lí đã xảy ra trên dữ liệu gốc. HE cho phép tính toán chạy trên dữ liệu được mã hóa và sau đó chỉ giải mã kết quả tính toán. Các sơ đồ sơ khai của mã hóa đồng cấu toàn bộ yêu cầu tài nguyên tính toán cực lớn. Những cải tiến gần đây trong các kĩ thuật này cho phép một số tính toán được hoàn thành trong thời gian tương đối ngắn (tính bằng giây hoặc phút), cho phép ứng dụng thực tế của mã hóa đồng cấu để bảo vệ dữ liệu nhạy cảm. Tương tự như vậy, có những sáng kiến đang được triển khai (ví dụ: Tiêu chuẩn hóa mã hóa đồng cấu) để xác định các tiêu chuẩn cộng đồng cho HE.

- SMPC: SMPC hay MPC là một lĩnh vực con của mật mã liên quan đến việc cho phép tính toán phân tán riêng tư. Cụ thể, nó có thể được sử dụng khi hai hoặc nhiều bên muốn thực hiện phân tích trên dữ liệu kết hợp của họ, nhưng vì lí do pháp lí hoặc lí do khác, họ không thể chia sẻ dữ liệu với nhau. MPC cũng có thể được sử dụng để cho phép học máy riêng tư của nhiều bên, trong trường hợp này, các bên khác nhau gửi dữ liệu được mã hóa cho nhau và họ có thể huấn luyện mô hình học máy trên dữ liệu kết hợp của mình mà không cần nhìn thấy dữ liệu không được mã hóa của nhau. Các hệ thống SMPC hiện tại có chi phí liên lạc tương đối cao. Các giao thức SMPC thường yêu cầu mức độ cụ thể cao đối với trường hợp sử dụng, khiến chúng khó khái quát hóa. Chúng cũng có thể chậm hơn so với tính toán trên dữ liệu thô và phụ thuộc vào sự sẵn sàng của các bên liên quan. Tuy nhiên, “trình biên dịch” trừu tượng hóa các giao thức cơ bản cho phép khái quát hóa SMPC đang được phát triển, hỗ trợ các ứng dụng khoa học dữ liệu và máy học một cách rộng rãi hơn.

- TEE: TEE hoặc vùng an toàn, là một khu vực an toàn trong bộ xử lí vật lí nơi quá trình xử lí diễn ra trong khu vực đó được ẩn khỏi phần còn lại của bộ xử lí. TEE có thể được sử dụng để cho phép một bên chạy thuật toán độc quyền trong khi đảm bảo bên kia không thể nhìn thấy thuật toán. TEE thường hoạt động và mở rộng quy mô tốt khi kích thước dữ liệu tăng lên. Công nghệ này được phát triển thương mại với phần mở rộng bảo vệ phần mềm (SGX)™ của Intel, cung cấp một ví dụ hàng đầu về điện toán vỏ bọc trong bộ xử lí Skylake™ và những sản phẩm kế tiếp. Ảo hóa SGX là một khả năng mới nổi. Nhiều nhà cung cấp đám mây cung cấp phần cứng SGX nơi một người có thể chạy các ứng dụng này khi họ không có quyền truy cập trực tiếp vào phần cứng đó. Microsoft hỗ trợ chương trình Azure Confidential Computing, IBM Cloud cung cấp các máy có hỗ trợ SGX và Alibaba Cloud cũng có các máy SGX. Việc sử dụng môi trường thực thi tin cậy có thể yêu cầu sử dụng phần cứng riêng, ví dụ như Intel(R) SGX™. Một số nhà cung cấp TEE cũng cho phép ảo hóa, nhưng chỉ ảo hóa trên phần cứng được trang bị TEE. TEE được coi là ở trạng thái sẵn sàng về công nghệ tương đối cao cho PET. Tuy nhiên, phần lớn những gì người dùng cuối mong đợi đối với khả năng sử dụng của TEE vẫn còn đang trong quá trình phát triển. Một thiếu sót quan trọng tại thời điểm này là thiếu môi trường phát triển dễ sử dụng cho TEE, điều cho phép các lập trình viên thông thường sử dụng các khả năng này một cách hiệu quả và định cấu hình chúng một cách chính xác. Một thiếu sót khác hiện tại là các TEE hàng đầu như Intel SGX yêu cầu tương tác trực tiếp với nhà cung cấp công nghệ để sử dụng đúng các khả năng bảo mật này. TEE có thể dễ bị tấn công bởi một số loại tấn công kênh phụ, trong đó kẻ tấn công giám sát một số thuộc tính của hệ thống, chẳng hạn như thời gian cần thiết để thực hiện một thao tác, để tìm hiểu thông tin nhạy cảm.

- Chứng minh mà không tiết lộ thông tin (ZKP): ZKP là phương pháp mà một thực thể có thể chứng minh với một thực thể khác rằng họ biết điều gì đó mà không tiết lộ bất cứ điều gì khác ngoài việc họ biết điều đó. ZKP có thể được sử dụng để xác thực. Một thực thể có thể chứng minh rằng họ biết một mật khẩu chứng minh danh tính của họ mà không cần phải tiết lộ mật khẩu của họ. ZKP có các ứng dụng trong nhiều trường hợp sử dụng khác nhau, bao gồm thanh toán, cơ sở hạ tầng Internet, nhận dạng kĩ thuật số cùng nhiều ứng dụng khác và nó được kì vọng sẽ là một công cụ hỗ trợ quan trọng của các công nghệ sổ cái phân tán rộng rãi hơn. ZKP chỉ mới được sử dụng thực tế trong thời gian gần đây và phương pháp này vẫn đang tiếp tục được hoàn thiện. Khả năng mở rộng có thể là một thách thức kĩ thuật và nhiều việc cần phải làm thêm để phát triển các tiêu chuẩn cộng đồng toàn cầu cho công nghệ này.

- Học máy sử dụng dữ liệu liên kết (Federated Learning): Trong học máy truyền thống, dữ liệu được tập trung và đưa đến mô hình. Trong học máy liên kết, dữ liệu nằm ở các điểm phân tán và mô hình được gửi đến dữ liệu. Sau đó các bản cập nhật mô hình từ tất cả các thiết bị liên kết được tập trung hóa. Học máy liên kết cho phép một mô hình được cập nhật mà không cần tập trung dữ liệu. Vì trung tâm không nhìn thấy dữ liệu nên người sử dụng cần đảm bảo rằng dữ liệu được cấu trúc, làm sạch và mã hóa một cách phù hợp, nếu không dữ liệu có thể bị lỗi hoặc dẫn đến một mô hình được đào tạo kém. Học máy liên kết được phát triển và sử dụng trong các ứng dụng di động. Vào tháng 3/2019, TensorFlow (một thư viện nguồn mở được sử dụng rộng rãi cho máy học) đã xuất bản TensorFlowFederated, một khung nguồn mở cho phép máy học được thực hiện trên các bộ dữ liệu được liên kết. Bản thân học máy liên kết không nhất thiết bảo vệ quyền riêng tư, vì nó có thể được áp dụng theo cách không đảm bảo quyền riêng tư đối với các mô hình hoặc dữ liệu cơ sở. Cũng cần lưu ý rằng mô hình này không nhất thiết phải tạo ra một mô hình tương đương với mô hình sẽ được tạo ra bằng cách kết hợp dữ liệu đào tạo từ đầu tại một trung tâm; trong hầu hết các trường hợp, một mô hình được đào tạo thông qua máy học liên kết sẽ kém hơn so với mô hình được đào tạo trên tập dữ liệu tập trung. Hơn nữa, một trong những thách thức đang phải đối mặt là thiếu các tiêu chuẩn, hệ thống và ngôn ngữ đồng nhất, cho phép các tác nhân riêng biệt tương tác với các dịch vụ dựa trên công nghệ này.

Kết luận

Cũng giống như nhiều nước trên thế giới, chống gian lận và chống rửa tiền đang là vấn đề nổi cộm với các ngân hàng Việt Nam. Ứng dụng PET không chỉ hỗ trợ các cơ quan quản lí nhà nước mà còn giúp cho các ngân hàng thương mại Việt Nam giảm thiểu rủi ro do các hoạt động gian lận gây ra, nâng cao chất lượng dịch vụ và hình ảnh của mình trong mắt khách hàng. Tuy các công nghệ PET còn khá mới mẻ và khó ứng dụng nhưng các ngân hàng Việt Nam hoàn toàn có thể học hỏi và từng bước triển khai chúng thông qua hợp tác quốc tế. Ngày 23/8 vừa qua, Hiệp hội Ngân hàng ASEAN đã tổ chức lễ ra mắt Khung dữ liệu liên thông ASEAN (ABA IDF), trong đó có đề cập tới việc sử dụng các công nghệ PET. ABA IDF được kì vọng mang đến lĩnh vực ngân hàng tại các quốc gia thành viên nhiều lợi ích như: Đổi mới các sản phẩm và dịch vụ phục vụ khách hàng; truy cập bộ thông tin toàn diện hơn, hỗ trợ việc đưa ra quyết định; tăng cường kết nối dữ liệu, cho phép các tổ chức sử dụng cơ sở hạ tầng chung để phục vụ nhiều thị trường. Bên cạnh đó, ABA IDF hứa hẹn sẽ cải thiện tính minh bạch và tính toàn vẹn tổng thể của thông tin được chia sẻ; nâng cao hiệu quả và tuân thủ các chương trình phòng, chống rửa tiền/tài trợ khủng bố… Tại Việt Nam, các cơ quan quản lí nhà nước cũng nên thúc đẩy và theo dõi sát sao những nỗ lực hợp tác quốc tế như ABA IDF để góp phần phát triển và ứng dụng các công nghệ mới, đồng thời đổi mới các quy định cho phù hợp, đảm bảo chủ quyền về dữ liệu trong các hệ thống chia sẻ dữ liệu xuyên biên giới.
 
Tài liệu tham khảo

1.https://www.wsj.com/articles/banks-start-using-information-sharing-tools-to-detect-financial-crime-11658741402
2.https://www.zdnet.com/article/this-data-platform-will-help-banks-share-criminal-intelligence/
3.https://www.future-fis.com/uploads/3/7/9/4/3794525/ffis_innovation_and_discussion_paper_-_case_studies_of_the_use_of_privacy_preserving_analysis - v.1.3.pdf
4.https://thitruongtaichinhtiente.vn/ra-mat-khung-du-lieu-lien-thong-asean-lam-sang-to-cac-luong-du-lieu-xuyen-bien-gioi-49690.html

Nguyễn Anh Tuấn
Hà Nội