Giải pháp bịt 'lỗ hổng' an ninh ngân hàng số

“Lỗ hổng” trong hệ thống ngân hàng số

Trong bối cảnh ngân hàng số phát triển nhanh chóng, kéo theo sự gia tăng của các loại hình thanh toán điện tử, giao dịch trực tuyến và ví điện tử, Ngân hàng Nhà nước Việt Nam (NHNN) đang lấy ý kiến Dự thảo sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến. Điểm đáng chú ý là phạm vi điều chỉnh được mở rộng, bao gồm cả hoạt động cung ứng dịch vụ tiền di động (mobile money), bên cạnh các tổ chức tín dụng, ngân hàng nước ngoài, đơn vị trung gian thanh toán và công ty tín dụng thông tin.

Theo NHNN, việc điều chỉnh lần này xuất phát từ thực tế nhiều ngân hàng, tổ chức tài chính đang bị đe dọa bởi tội phạm công nghệ cao. Khi các ứng dụng ngân hàng phát triển ồ ạt, không ít sản phẩm chưa đáp ứng tiêu chuẩn kỹ thuật quốc tế, tồn tại lỗ hổng trong thiết kế hoặc không cập nhật thường xuyên.

Việc một số đối tượng lợi dụng lỗ hổng này để giả lập môi trường thiết bị, chiếm quyền truy cập hoặc đánh cắp dữ liệu người dùng đang ngày càng phổ biến. Cùng với đó, tình trạng doanh nghiệp “ma”, tài khoản thanh toán ảo, chữ ký điện tử thiếu bảo mật tiếp tục là mảnh đất màu mỡ cho các hành vi gian lận tài chính.

Ngân hàng số trước nguy cơ tấn công mạng: Cơ quan quản lý siết chặt an toàn hệ thống. (Ảnh minh họa).

Siết chặt an ninh – từ tiêu chuẩn OWASP đến xác thực sinh trắc học bắt buộc

Để ngăn chặn nguy cơ này, dự thảo mới của NHNN đề xuất hàng loạt yêu cầu siết chặt về kỹ thuật, vận hành và xác thực người dùng. Tất cả các ứng dụng ngân hàng trực tuyến và mobile banking buộc phải tuân thủ tiêu chuẩn an ninh quốc tế của OWASP (Open Web Application Security Project), bao gồm mười lỗ hổng bảo mật phổ biến nhất.

Các ngân hàng phải thực hiện kiểm tra, cập nhật ứng dụng định kỳ, đảm bảo hai tháng có ít nhất một lần rà soát và vá lỗi. Người dùng không được phép sử dụng phiên bản ứng dụng cũ hơn hai thế hệ so với bản hiện hành, hệ thống cũng không được cho phép “hạ cấp” xuống các bản có lỗ hổng đã biết.

Một điểm đáng chú ý khác là yêu cầu ứng dụng phải có khả năng tự động ngừng hoạt động khi phát hiện thiết bị người dùng đã bị root, jailbreak hoặc có dấu hiệu bị can thiệp bởi mã độc, môi trường giả lập. Việc xác thực sinh trắc học (vân tay, khuôn mặt) cũng được quy định bắt buộc trong giao dịch thay đổi thông tin định danh của khách hàng tổ chức, đặc biệt để ngăn chặn tình trạng lập doanh nghiệp giả nhằm mở tài khoản và rửa tiền.

Về khía cạnh giao dịch điện tử, dự thảo loại bỏ hình thức chữ ký điện tử thông thường, chỉ chấp nhận các loại chữ ký điện tử an toàn, chữ ký số hoặc chữ ký nước ngoài được công nhận hợp pháp. Đây là bước điều chỉnh phù hợp với Luật Giao dịch điện tử 2023 và Nghị định 23/2025/NĐ-CP, đồng thời nâng cao độ tin cậy trong các giao dịch tài chính trực tuyến.

Phụ lục kèm theo dự thảo cũng phân loại lại nhóm giao dịch thanh toán trực tuyến theo hạn mức và đối tượng khách hàng, qua đó quy định rõ nhóm giao dịch có giá trị cao hoặc tổ chức mới thành lập sẽ phải bổ sung bước xác thực sinh trắc học. Điều này giúp giảm thiểu khả năng tài khoản bị lợi dụng, đồng thời buộc các tổ chức tài chính phải đầu tư nhiều hơn cho công nghệ định danh khách hàng điện tử (eKYC).

Sự phát triển nhanh của ngân hàng số mang lại nhiều tiện ích nhưng cũng kéo theo mặt trái khó kiểm soát. Những đề xuất mới từ Ngân hàng Nhà nước là lời nhắc mạnh mẽ rằng, trong không gian tài chính số, chỉ cần một lỗ hổng bị bỏ qua, cả hệ thống có thể bị tấn công dây chuyền. Khi việc “mất tiền vì app ngân hàng lỗi thời” không còn là chuyện xa lạ, thì bảo mật không còn là lựa chọn, mà là nghĩa vụ bắt buộc.

Một hệ thống tài chính số an toàn chỉ có thể hình thành khi mọi mắt xích – từ cơ quan quản lý nhà nước, ngân hàng, doanh nghiệp trung gian đến từng người dùng đều nhận thức đầy đủ và hành động nghiêm túc trước những rủi ro ngày càng tinh vi của tội phạm công nghệ.

Thanh Hiền (t/h)