Bổ sung quy định về đánh giá, giám sát an toàn thông tin hệ thống online banking

ANH KHÔI• 28/07/2024 03:00

Góp ý Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng, VCCI đề nghị cân nhắc bổ sung quy định về đánh giá, giám sát an toàn thông tin…

>> Một số quy định tại Dự thảo Thông tư về hướng dẫn hành nghề kế toán còn thiếu rõ ràng

Theo đó, trên cơ sở ý kiến của doanh nghiệp, hiệp hội, Liên đoàn Thương mại và Công nghiệp Việt Nam (VCCI) vừa có văn bản trả lời Công văn số 4882/NHNN-CNTT của Ngân hàng Nhà nước Việt Nam về việc lấy ý kiến góp ý đối với Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng (Dự thảo).

VCCI) vừa có văn bản trả lời Công văn số 4882/NHNN-CNTT của Ngân hàng Nhà nước Việt Nam về việc lấy ý kiến góp ý đối với Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng - Ảnh minh họa: ITN

VCCI vừa có văn bản góp ý đối với Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng - Ảnh minh họa: ITN

Cụ thể, tại văn bản góp ý, VCCI cho biết, việc bảo đảm an toàn và liên tục của dịch vụ online banking là hết sức cần thiết. Để làm việc này, từ quản lý Nhà nước có hai cách tiếp cận.

Cách thứ nhất, quy định những hoạt động cụ thể về bảo đảm an toàn thông tin mà các ngân hàng buộc phải thực hiện. Đi kèm với đó là biện pháp thanh tra, kiểm tra, xử lý vi phạm từ phía các cơ quan nhà nước.

Cách thứ hai, thực hiện việc đánh giá, giám sát tính an toàn và sẵn sàng cung cấp dịch vụ của hệ thống thông tin của các ngân hàng. Việc thực hiện các hoạt động cụ thể sao cho tăng tính an toàn do ngân hàng chủ động quyết định. Đi kèm với đó, kết quả đánh giá, giám sát an toàn thông tin sẽ được công bố để người dùng chủ động lựa chọn ngân hàng có dịch vụ tốt hơn. Điều này tạo động lực để các ngân hàng tự đổi mới, cải thiện tính an toàn và liên tục của dịch vụ.

>> Một số quy định tại Dự thảo Thông tư về an toàn cháy chưa đảm bảo tính khả thi

Trong đó, VCCI đề nghị, Cân nhắc bổ sung quy định về đánh giá, giám sát an toàn thông tin hệ thống online banking - Ảnh minh họa: ITN

Trong đó, VCCI đề nghị, cân nhắc bổ sung quy định về đánh giá, giám sát an toàn thông tin hệ thống online banking - Ảnh minh họa: ITN

Theo VCCI, hiện nay, Dự thảo mới chỉ đang đưa ra cách tiếp cận thứ nhất. Biện pháp này có ưu điểm là dễ làm, các cơ quan nhà nước đã có kinh nghiệm, có thể triển khai ngay. Tuy nhiên, nhược điểm của biện pháp này là nguy cơ các quy định cụ thể không phù hợp với mọi đối tượng hoặc cần điều chỉnh thường xuyên theo kịp xu hướng phát triển của công nghệ và thói quen của khách hàng.

Trong khi đó, cách tiếp cận thứ hai có ưu điểm là trao quyền chủ động cho các ngân hàng và khách hàng lựa chọn dịch vụ, các khoản chi phí đầu tư phù hợp với nhu cầu của các bên. Việc triển khai cách tiếp cận thứ hai có thể mất nhiều thời gian và tạo thói quen cho người tiêu dùng.

“Trong bối cảnh hiện nay, sử dụng cách tiếp cận thứ nhất vẫn là tối ưu. Song cũng cần có phương án và sự chuẩn bị để chuyển dần sang cách tiếp cận thứ hai. Do đó, đề nghị cơ quan soạn thảo bổ sung thêm quy định về việc đánh giá, giám sát an toàn thông tin đối với hệ thống online banking của các ngân hàng và tiến hành các biện pháp triển khai trên thực tế. Các quy định cụ thể hơn sẽ được đưa vào Thông tư khi đủ điều kiện và năng lực triển khai”, VCCI góp ý.

Bên cạnh nội dung đã nêu, góp ý quy định về trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ online banking, VCCI cho rằng, Điều 3.6 của Dự thảo quy định “Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới”.

Tuy nhiên, theo phản ánh của một số ngân hàng, việc nâng cấp, thay thế này có thể phát sinh chi phí rất lớn cho tổ chức tín dụng. Hiện nay, nhiều nhà cung cấp thiết bị có xu hướng rút ngắn vòng đời, thời gian hỗ trợ sản phẩm, nhằm bán được sản phẩm mới, chứ không phải vì dòng sản phẩm cũ gặp vấn đề về bảo mật, an toàn.

Thực tế hiện nay, khi nhà cung cấp dừng hỗ trợ, tổ chức tín dụng vẫn có thể tự mình hoặc thuê bên thứ ba cung cấp dịch vụ bảo trì, hỗ trợ kỹ thuật đối với các thiết bị trên mà không gây ra sự cố mất an toàn thông tin hay gián đoạn dịch vụ.

Do đó, VCCI đề nghị cơ quan soạn thảo cân nhắc lại nội dung tại Điều 3.6 của dự thảo, cho phép các tổ chức tín dụng tiếp tục sử dụng thiết bị hạ tầng kỹ thuật đã hết hạn hỗ trợ của nhà sản xuất miễn là phải đáp ứng các yêu cầu vận hành an toàn, liên tục.