Thách thức bảo mật với kinh tế số

>>> Quyền lợi của khách hàng trong vụ mất tiền tại MSB

Chuyên gia tài chính - ngân hàng, TS. Nguyễn Trí Hiếu trả lời phỏng vấn Diễn đàn Doanh nghiệp.

-Trước hết, xin được hỏi về câu chuyện mà chính ông là người trong cuộc. Vụ việc ông bị mất 500 triệu đồng trong tài khoản tại ngân hàng N. mới đây đã có bước tiến trong xử lý hay chưa, thưa ông?

Về trường hợp mất tiền trong tài khoản của tôi, thông tin mới nhất là tôi đã có cuộc gặp ngân hàng để làm việc giữa 2 bên vào đầu tuần này, từ ngày 1/4/2024. Theo đó, hai bên thống nhất  là vụ việc đang trong quá trình CA điều tra, do đó tôi không cung cấp thêm thông tin hay bình luận gì thêm về vụ việc này, cho đến khi cơ quan điều tra có kết luận sau cùng về vụ việc.

-Vậy xin được hỏi ông về tình hình thị trường, với không ít vụ việc khách hàng khiếu nại mất tiền trong tài khoản ngân hàng thời gian gần đây; Đây có thể xem là một hiện tượng bình thường hay bất thường trong thời đại kinh tế số, ngân hàng số?

Tôi chắc chắn rằng đây là một vấn đề về lỗ hổng bảo mật trong hệ thống ngân hàng, và lỗ hổng này đã được NHNN “trám” lại bằng Quyết định 2345 mới đây. Theo đó, Theo Quyết định 2345/QĐ-NHNN về triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng của Ngân hàng Nhà nước, từ ngày 1/7/2024, chuyển tiền qua tài khoản trực tuyến hoặc nạp tiền vào ví điện tử trên 10 triệu đồng phải được xác thực sinh trắc học qua khuôn mặt và vân tay.

Tuy nhiên, ngay cả như vậy tôi cho rằng vẫn chưa đủ, vẫn phải cần thêm những giải pháp khác để quy trình xác thực bảo mật chống tội phạm lừa đảo, chiếm đoạt tài sản khách hàng không có bất kỳ kẽ hở, lỗ hổng nào để có thể tấn công. Những giải pháp khác đó có thể bao gồm việc nhân viên của ngân hàng hay một cơ quan cung cấp dịch vụ gọi điện thoại trực tiếp cho khách hàng xác nhận người đối thoại là chính chủ tài khoản. Kinh nghiệm mà tôi có tại Mỹ là định chế tài chính hay các cơ quan thường hỏi người đối thoại tên, ngày sinh và nếu cần 4 số cuối cùng của 9 số an sinh xã hội (Social Security number). Thậm chí nhân viên có thể hỏi tên cha, tên mẹ của khách hàng. Tất nhiên, vấn đề này cũng không loại trừ có những trường hợp mất bảo mật do khách hàng để lộ thông tin cá nhân, nhưng nếu nhân viên thấy có dấu hiêu nghi ngờ thì nhân viên có thể lịch sự từ chối dịch vụ hay yêu cầu khách hàng đến cơ quan để được phục vụ tại chỗ.

>>> Mất tiền lúc nửa đêm: Lỗi tại ai?

- Chuyên gia có thể nói cụ thể hơn về vấn đề áp dụng sinh trắc học theo quy định, và khả năng ngăn chặn tấn công hệ thống bảo mật của NH?

Một điều chắc chắn là các ngân hàng sẽ phải đầu tư công nghệ, đáp ứng yêu cầu ứng dụng sinh trắc dụng để thực hiện tuân thủ Quyết định 2345. Nhưng liệu “bức tường” này đã đủ bảo vệ khách hàng, bảo mật hệ thống hoàn toàn 100% hay không mới là vấn đề. Bởi có thể đến hiện tại đó là giải pháp tối ưu, nhưng tương lai với tốc độ phát triển vũ bão của AI có thể giả cả vân tay, khuôn mặt, thậm chí mống mắt… thì hệ thống bảo mật sẽ phải ứng phó như thế nào? Tôi cho rằng các biện pháp đặt ra phải tính đến toàn diện hệ thống và phổ cập, đón đầu tương lai.Chúng ta không thể chỉ “đuổi bắt” sự phát triển các thủ đoạn lừa đảo tinh vi bằng công nghệ mà phải đón đầu các rủi ro để ra giải pháp phòng vệ được.

- Ở các quốc gia phát triển công nghệ, thực tế tỷ lệ tội phạm tấn công mạng và lừa đảo chiếm đoạt tài sản trong hệ thống tài chính cũng không thấp…

Ở Mỹ, không chỉ liên quan đến các dịch vụ ngân hàng mới cần xác thực thông tin cá nhân; tất cả các dịch vụ công đều thống nhất quản lý trên mã an sinh xã hội của từng công dân - được bảo mật rất chặt chẽ cấp quốc gia. Khi tôi đến bệnh viên hay cơ quan chức năng để làm việc thì việc xác thực được thông qua mã an sinh xã hội, sau đó là các lớp xác thực trực tiếp hoặc gián tiếp như hỏi thông tin cá nhân về ngày sinh, địa chỉ.v.v Không phải lúc nào hệ thống tội phạm lừa đảo chiếm đoạt tài sản qua chiếm đoạt, giả mạo thông tin cũng có thể cung cấp đầy đủ, chính xác các lớp xác thực thông tin này. Chỉ cần một phút trả lời ngập ngừng là hệ thống có thể đánh mã nghi ngờ để kiểm tra sâu hơn.

Tuy nhiên, đúng như bạn nói, các phương thức tấn công bằng công nghệ đã, đang ngày một tinh vi, đa dạng hơn. Do đó, tôi cho rằng cần có các giải pháp kiểm tra chéo và xa hơn như xác thực bằng điện thoại.v.v Làm sao phải cân đối được giữa mục tiêu bảo vệ khách hàng, bảo mật hệ thống với mục tiêu trải nghiệm tiện lợi, nhanh chóng, hiện đại, số hóa cho hành trình của người dùng luôn là thách thức của các TCTD nói riêng và của các Công ty nói chung trong thời đại số. Đây cũng là câu hỏi mà Chính phủ cần đặt lên hàng đầu để giải mã nó. Bởi khi khách hàng mất an toàn, hệ thống mất an toàn, thì ảnh hưởng đến tiến trình số hóa, chuyển đổi số của nền kinh tế là rất lớn. Chúng ta thậm chí có thể bị đẩy lùi các thành quả thúc đẩy nền kinh tế thanh toán không dùng tiền mặt. Lớn hơn nữa, là lòng tin của người dân đối với bảo mật hệ thống nói chung.

- Ông có thể kiến nghị một mô hình, giải pháp cụ thể hơn cho “câu hỏi” này, thưa TS?

Không chỉ hệ thống ngân hàng mà tôi cho rằng tất cả các tổ chức nói chung cần phải đề cao và xây dựng mô hình quản trị, giám sát, phòng vệ rủi ro, thống nhất trong cả nền kinh tế. Bởi chúng ta thấy rõ ràng không chỉ các NH đang có các vụ lộ, lọt thông tin cá nhân và khách hàng khiến “bốc hơi” tài khoản, mà các vụ tấn công hệ thống VNDirect, PV Oil… cho thấy rủi ro bảo mật của các doanh nghiệp nói chung. Do đó, mô hình ứng phó nên được áp dụng từ mô hình quản hệ rủi ro của các TCTD - vốn là mô hình 3 lớp và vẫn được xem là chặt chẽ, để triển khai chung.

Mô hình này có thể hình dung: Lớp phòng tuyến 1: Liên lạc, kết nối trực tiếp với đối tác, khách hàng; Lớp phòng tuyến 2: Bộ phận Giám sát, quản trị rủi ro hệ thống độc lập; lớp phòng tuyến 3: Ban kiểm soát và kiểm tra nội bộ. Khi có dấu hiệu lọt rủi ro hoặc khoanh vùng nghi ngờ ở lớp phòng tuyến 1, hệ thống cảnh báo sẽ yêu cầu lớp 2 làm việc; Tương tự  lớp 3 sẽ vào cuộc để phát hiện và ngân chặn rủi ro. Nhưng như đã nói, tội phạm lừa đảo chiếm đoạt tài sản ngày càng tinh vi, có cách ứng phó để lách các quy định; Chẳng hạn quy định về phòng chống rửa tiền buộc các ngân hàng phải báo cáo cho Cuc phòng chống rửa tiền của NHNN khi khách hàng nộp hay rút tiền ở mức 400 triệu trở lên. Để lách qui đinh này,  thực tế các tội phạm có thể “chẻ nhỏ” khoản tiền và giao dịch tại nhiều địa điểm giao dịch của cùng một ngân hàng. Điều đó cho thấy năng lực đầu tư hệ thống để thu thập, phân tích và cảnh báo mới là quan trọng nhất. Năng lực này đòi hỏi các công ty nói chung và các ngân hàng nói riêng, không chỉ phải đầu tư công nghệ hiện đại, còn phải liên tục nâng cấp cũng như nâng cấp đào tạo nhân sự công nghệ lẫn quản trị, giám sát rủi ro hệ thống.

Cuối cùng, để một hệ thống phòng vệ ứng phó rủi ro và tăng cường bảo mật có hiệu quả ở cấp toàn diện, quốc gia; cần các điều kiện:

Thứ nhất, người dân phải ý thức bảo vệ chính bản thân, không để lộ lọt thông tin cá nhân tạo điều kiện lỗ hổng cho tội phạm lừa đảo tấn công.

Thứ hai, các công ty phải liên tục đầu tư, nâng cấp công nghệ toàn diện và xem việc bảo mật hệ thống là xương sống của hoạt động cty trong thời đại công nghệ.

Thứ ba, Chính phủ và các cơ quan ban ngành liên quan gồm Bộ tài chính, NHNN, Bộ Kế hoạch Đầu tư, Bộ Thông tin Truyền thông, Bộ Giáo dục và Đào tạo… cần có chiến lược quốc gia và phối hợp liên BỘ để xây dựng, tuyên truyền, giáo dục hệ thống bảo mật, bao gồm xây dựng các phương án ứng phó rủi ro về bảo mật trên diện rộng, không phải kịch bản chỉ cho bây giờ mà còn phương án ứng phó rủi ro trong tương lai ở các cấp độ khác nhau.

Thứ tư, hãy để báo chí vào cuộc một cách mạnh mẽ để điều tra những vụ án liên quan đến an ninh mạng, lỗ hổng bảo mật để đưa ra những thông tin cụ thể về cách phương thức của lừa đảo, gian lận.

Nếu không có chương trình tổng thể, toàn diện như vậy, tôi rất quan ngại về sự tổn thương niềm tin của người dân đối với việc mất an toàn toàn thông tin, đặc biệt trong lĩnh vực ngân hàng, có thể dẫn đến ảnh hưởng lớn hơn và đẩy lùi những cố gắng của chúng ta trong hai thập kỷ qua trong quá trình kỹ thuật số nền kinh tế.

Trân trọng cảm ơn Ông!