An toàn thông tin ngành Ngân hàng: Bài toán cần sự 'chung tay' của các liên ngành

Hệ thống các văn bản bảo đảm an toàn thông tin ngành Ngân hàng

Thời gian qua, toàn ngành Ngân hàng đã quyết tâm, nỗ lực thực hiện hiệu quả các giải pháp bảo đảm an toàn thông tin. Song, cùng với quá trình chuyển đổi số và hiện đại hóa ngân hàng, hệ thống thông tin của các tổ chức trong ngành Ngân hàng được đầu tư với quy mô ngày càng lớn nên dễ bị tổn thương hơn, trong khi đó các biện pháp, giải pháp về an ninh, an toàn bảo mật chỉ có thể giảm thiểu, không thể loại trừ triệt để.

Ngân hàng Nhà nước đã ban hành hệ thống các văn bản, chính sách về công tác bảo đảm an ninh, an toàn thông tin tương đối toàn diện, trở thành nền tảng quan trọng giúp các đơn vị trong ngành định hướng đầu tư và triển khai ứng dụng công nghệ thông tin một cách an toàn, bảo mật. Kết quả này đã góp phần giữ vững sự thông suốt, an toàn cho hệ thống thông tin, dữ liệu của các tổ chức tín dụng, giúp các tổ chức tín dụng bảo vệ tài sản và dữ liệu, đồng thời nâng cao khả năng phát hiện, đối phó kịp thời với tội phạm mạng và gian lận tài chính.

Trước đó, thực hiện Kế hoạch của ngành Ngân hàng triển khai Đề án 06 (Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030) và Kế hoạch phối hợp với Bộ Công an triển khai các nhiệm vụ tại Đề án 06, nhằm ứng dụng dữ liệu dân cư, căn cước công dân (CCCD), tài khoản định danh và xác thực điện tử đối với các hoạt động trong lĩnh vực ngân hàng, góp phần chuyển đổi số, tăng cường hiệu quả công tác đấu tranh phòng, chống các loại tội phạm, NHNN đã ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (Quyết định 2345) thay thế Quyết định 630/QĐ-NHNN ngày 31/3/2017.

Theo Quyết định số 2345, từ 1/7/2024, các giao dịch chuyển tiền điện tử của cá nhân có giá trị trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền điện tử trong ngày vượt 20 triệu đồng phải áp dụng một trong các biện pháp xác thực sinh trắc học. Ngoài ra, trước khi giao dịch lần đầu bằng ứng dụng ngân hàng điện tử (mobile banking) hoặc trước khi giao dịch trên thiết bị khác với thiết bị đang giao dịch lần gần nhất, người dân cũng phải được nhận dạng xác thực sinh trắc học.

An toàn thông tin ngành Ngân hàng có vai trò quan trọng giúp bảo mật thông tin khách hàng, tránh bị lừa đảo. Ảnh minh họa

Để thực hiện giao dịch tuân thủ theo Quyết định 2345, người dân, khách hàng cần bổ sung và cập nhật thông tin sinh trắc học với các ngân hàng bằng 2 phương thức: Qua ứng dụng ngân hàng điện tử (mobile banking app) hoặc trực tiếp tới chi nhánh/phòng giao dịch. Việc triển khai quyết định này góp phần bảo đảm các giao dịch thanh toán trực tuyến chỉ được thực hiện bởi chính chủ tài khoản, qua đó nâng cao an ninh, an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.

Tiếp đó, ngày 28/6/2024, Thống đốc Ngân hàng Nhà nước đã ký ban hành Thông tư số 17/2024/TT-NHNN quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán (Thông tư 17) và Thông tư số 18/2024/TT-NHNN quy định về hoạt động thẻ ngân hàng (Thông tư 18). Đáng chú ý, theo quy định tại Thông tư 17 và Thông tư 18 nói trên, từ 1/1/2025 nếu không xác thực sinh trắc học sẽ không thể giao dịch online.

Mới đây nhất, Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.

Cần có giải pháp tích cực hơn trước nhiều thách thức

Đánh gia về quá trình thực hiện, ông Hoàng Minh Tiến - đại diện Cục Công nghệ Thông tin, Ngân hàng Nhà nước cho biết, thời gian qua, các đơn vị trong ngành Ngân hàng đã thực hiện tốt các quy định, chính sách về an toàn thông tin, đạt những kết quả tích cực với một hệ thống thông tin hoạt động an toàn, liên tục, cung cấp dịch vụ trực tuyến 24/7; thực hiện đồng bộ nhiều giải pháp an toàn thông tin với các trang thiết bị cơ bản; tổ chức triển khai thông tin dữ liệu dự phòng, sao lưu, ứng dụng Quản lý sự kiện và thông tin bảo mật (SIEM), điều phối, tự động hóa và phản hồi bảo mật (SOAR)... Các cán bộ công nghệ thông tin, an toàn thông tin thường xuyên tổ chức diễn tập, phối hợp với các tổ chức tín dụng tham gia ứng cứu sự cố với kịch bản ứng cứu sự cố khoa học, chặt chẽ…

Tuy nhiên, công tác bảo đảm an ninh, an toàn thông tin cũng phải đối mặt với nhiều thách thức, khó khăn, nhất là khi số lượng các cuộc tấn công mạng liên quan đến ngân hàng ngày càng gia tăng với nhiều phương thức, công nghệ mới, có xu hướng mở rộng quy mô, hoạt động xuyên biên giới.

Bà Nguyễn Thị Thu - Phó Vụ trưởng Vụ Thanh toán, Ngân hàng Nhà nước cho biết, đơn vị này đã tiếp cận vấn đề liên quan tới hoạt động thanh toán (với 90% số lượng giao dịch thực hiện trên kênh số) từ sớm khi triển khai các chương trình phối hợp liên ngành, đặc biệt là với các đơn vị A04, A05 và C06 thuộc Bộ Công an với mục tiêu xác minh thông tin chính chủ tài khoản.

Mặc dù đạt được những kết quả cực kỳ khả quan ngay từ ngày đầu áp dụng quy định mới liên quan, vẫn còn tồn tại những khó khăn như đối tượng chuyển sang sử dụng tài khoản doanh nghiệp là doanh nghiệp “ma” khó kiểm soát. Do đó, Ngân hàng Nhà nước dự kiến chỉ đạo triển khai xác thực sinh trắc học cho doanh nghiệp, yêu cầu tổ chức tin dụng bắt buộc xác thực người đại diện pháp luật của doanh nghiệp trước khi mở tài khoản, đồng thời tiếp tục phối hợp các đơn vị thuộc Bộ Công an tăng cường công tác kiểm tra, giám sát tại hệ thống các tổ chức tín dụng.

Về vấn đề này, ông Nguyễn Hữu Cường - đại diện Cục An ninh mạng và phòng, chống tội phạm công nghệ cao Bộ Công an (A05) cho biết, việc phối hợp giữa các ngành, giữa nội bộ các đơn vị trong Ngành là yếu tố cần được lưu tâm và đẩy mạnh. Bởi khi dòng tiền được kiểm soát, tỉ lệ lớn sẽ giúp xóa bỏ các hành vi phạm tội của các đối tượng lừa đảo sử dụng công nghệ cao. Điều này trở thành điểm yếu của chúng vì khả năng phân chia, luân chuyển dòng tiền đã được kịp thời ngăn chặn.

Theo ông Cường, thời gian qua, Ngân hàng Nhà nước và Bộ Công an đã liên tục phối hợp, ban hành nhiều chính sách giúp ngăn chặn hiệu quả hành vi lừa đảo qua không gian số như ký kết Quy chế phối hợp; Kế hoạch thực hiện Đề án 06,… Việc ban hành các Quyết định 2345, Thông tư 17, 18, 50… của Ngân hàng Nhà nước đã đem đến những giải pháp rất quan trọng trong việc phòng, chống tội phạm sử dụng công nghệ cao liên quan đến ngành Ngân hàng.

Các chuyên gia cùng chung nhận định rằng, công tác phối hợp liên ngành, liên minh giữa các đơn vị thuộc ngành Ngân hàng là một giải pháp hỗ trợ hiệu quả đối với công tác phòng ngừa tội phạm công nghệ cao, đảm bảo an ninh, an toàn hệ thống thông tin cho hoạt động ngân hàng trong bối cảnh hiện nay. Tuy nhiên, cần chú trọng giải quyết vấn đề từ “gốc rễ”, đó là nâng cao nhận thức, kiến thức cho khách hàng về lĩnh vực tài chính - ngân hàng, giúp đội ngũ cán bộ ngành Ngân hàng hiểu rõ về an toàn, an ninh mạng, đẩy mạnh công tác kiểm soát nội bộ để kịp thời tìm ra kẽ hở.

Cần tiếp tục tăng cường truyền thông, nâng cao nhận thức của khách hàng để biết cách ứng phó với đối tượng lừa đảo. Ngoài ra, cần tăng cường giáo dục pháp luật cho người dân để không trực tiếp tiếp tay cho các đối tượng lừa đảo như cho thuê tài khoản, làm thuê việc chuyển tiền...

Thực tế, tội phạm công nghệ và lừa đảo thường tấn công vào những lỗi bất cẩn của người dùng. Vì thế, các ngân hàng cần đa dạng các hình thức truyền thông giáo dục tài chính đảm bảo dễ hiểu, dễ nhớ, dễ thực hiện, có tính lan tỏa để nâng cao kiến thức, kỹ năng cho khách hàng – người tiêu dùng dịch vụ tài chính ngân hàng.

Về phía khách hàng cần nâng cao cảnh giác, cập nhật thông tin, cảnh báo từ phía ngân hàng và trang bị kiến thức, kỹ năng về an toàn thông tin để tránh bị lừa đảo dẫn đến mất tiền trong tài khoản. Cảnh giác khi được liên hệ bởi các cá nhân tự xưng là cán bộ ngân hàng, cơ quan công an. Người dân cần xác minh lại thông qua số điện thoại được cung cấp trên cổng thông tin chính thống của các đơn vị trên; tuyệt đối không ấn vào những đường link lạ, không cài đặt phần mềm từ nguồn không xác định.

Khách hàng chỉ cập nhật dữ liệu sinh trắc học thông qua ứng dụng ngân hàng điện tử chính thống của ngân hàng hoặc trực tiếp tại các điểm giao dịch của ngân hàng trên toàn quốc; không cung cấp, cập nhật dữ liệu sinh trắc học qua bất kỳ trang web hoặc ứng dụng khác; tuyệt đối không cung cấp OTP, mật khẩu, số thẻ, thông tin cá nhân, hình ảnh CCCD, dữ liệu sinh trắc học... cho bất kì ai kể cả nhân viên ngân hàng. Nhân viên ngân hàng không yêu cầu khách hàng cung cấp thông tin cá nhân qua các kênh như gọi điện, nhắn tin SMS, email, phần mềm chat (Zalo, Viber, Facebook…).

Trong trường hợp gặp khó khăn khi thực hiện cập nhật thông tin sinh trắc học hay khi thực hiện xác thực với các giao dịch trực tuyến theo quy định, khách hàng có thể thực hiện theo hướng dẫn đăng tải trên website ngân hàng hoặc liên hệ trực tiếp tại các quầy giao dịch, chi nhánh ngân hàng. Trường hợp nghi ngờ hoặc phát hiện bất cứ tin nhắn, cuộc gọi, email có dấu hiệu lừa đảo, khách hàng hãy liên lạc ngay với Trung tâm hỗ trợ khách hàng 24/7 theo hotline, các điểm giao dịch ngân hàng gần nhất hoặc cơ quan Công an để được hỗ trợ.

 An Dương