Chuyển đổi số ngành tài chính - ngân hàng đặt ra yêu cầu cao về xử lý dữ liệu
An toàn thông tin - Ngày đăng : 18:37, 27/05/2023
Chuyển đổi số ngành tài chính - ngân hàng đặt ra yêu cầu cao về xử lý dữ liệu
Chuyển đổi số (CĐS) càng sâu thì lượng dữ liệu mà doanh nghiệp (DN) thu thập được và ứng dụng càng lớn. Điều này cũng đặt ra những yêu cầu càng cao về xử lý dữ liệu, bởi vì các tổ chức sẽ phải đối mặt với rủi ro an toàn dữ liệu càng lớn.
Rất khó để một tổ chức có thể CĐS thành công mà không quan tâm đến dữ liệu
Ông Nguyễn Trọng Đường, Phó Vụ trưởng, Vụ Kế hoạch - Tài chính, Bộ Thông tin và Truyền thông (TT&TT), cho biết dữ liệu là cốt lõi của CĐS, trong đó dữ liệu và xử lý dữ liệu lớn là linh hồn của trí tuệ nhân tạo (AI).
Theo ông Đường, rất khó để một tổ chức có thể CĐS thành công mà không quan tâm đến dữ liệu. Hiện nay, rất nhiều hoạt động của các đơn vị tài chính - ngân hàng phụ thuộc vào dữ liệu cá nhân hoặc dữ liệu riêng của tổ chức như mở tài khoản, xác thực giao dịch, xác định khách hàng, phân tích rủi ro, cung cấp dịch vụ tài chính….
Các xu thế hội tụ đang tác động mạnh mẽ đến CĐS ngành ngân hàng. Chẳng hạn như sự hội tụ trong quy trình đã giúp các quy trình nghiệp vụ trước đây rời rạc thì này đang được kết nối trong toàn DN.
Tại Hội thảo dịch vụ tài chính – ngân hàng năm 2023 với chủ đề “CĐS trong lĩnh vực tài chính - ngân hàng và fintech - dữ liệu cá nhân”, ông Phan Thanh Đức, Trưởng khoa Hệ thống thông tin quản lý, Học viện Ngân hàng, Ngân hàng Nhà nước Việt Nam cho biết đối với sự hội tụ trong dữ liệu, công nghệ đang cho phép dữ liệu, thông tin có thể truy cập dễ dàng hơn và được sử dụng trong toàn ngành hàng và nền kinh tế. Dữ liệu cũng đóng vai trò là cầu nối giữa các thành phần trong hệ thống thông tin. Cấu trúc tổng thể của dữ liệu và các tài nguyên liên quan đến dữ liệu như một phần không thể thiếu của kiến trúc DN.
Để tiếp tục duy trì các thành tích đạt được và thực hiện các mục tiêu về CĐS trong lĩnh vực tài chính - ngân hàng, Bộ Tài chính xác định phải đẩy mạnh hơn nữa CĐS trong tổ chức, vận hành, quản lý và thực hiện các nhiệm vụ trên môi trường số. Qua đó, tổ chức có thể giảm chi phí vận hành, tạo thuận lợi cho người dân, DN tham gia nhiều hơn vào hoạt động của Bộ Tài chính để cùng tạo ra giá trị, lợi ích, sự hài lòng, niềm tin và đồng thuận xã hội.
Ông Nguyễn Trọng Đường cho rằng CĐS càng sâu thì lượng dữ liệu mà DN thu thập được và ứng dụng càng lớn. Điều này cũng đặt ra những yêu cầu càng cao về xử lý dữ liệu, bởi vì các tổ chức sẽ phải đối mặt với rủi ro an toàn dữ liệu càng lớn.
“Dữ liệu cá nhân là thông tin có giá trị nhất, quyết định thành công của hầu hết các dịch vụ trực tuyến, nhưng cũng là đích nhắm đến, mục tiêu săn lùng của tội phạm mạng”, ông Nguyễn Trọng Đường nói.
Vi phạm dữ liệu tăng nhanh, thiệt hại lớn và ngày càng tăng
Theo thông tin được đưa ra tại Hội thảo, trên thế giới đã xảy ra nhiều vụ lộ lọt, đánh cắp, mua bán dữ liệu cá nhân lớn. Nổi bật như các vụ vào năm 2013, Yahoo bị đánh cắp tới 3 tỷ tài khoản người dùng; năm 2016, Uber bị đánh cắp thông tin 57 triệu người dùng, và đã phải trả 100.000 USD cho tin tặc để xóa dữ liệu bị đánh cắp và giữ im lặng vụ vi phạm. Năm 2017, Friend Finder Networks bị đánh cắp 412 triệu tài khoản người dùng. Gần đây hơn, tháng 4/2021, Facebook đã bị lộ dữ liệu cá nhân của 533 triệu người dùng. tTháng 9/2022, nhà mạng Optus của Australia bị đánh cắp dữ liệu cá nhân của 9,8 triệu khách hàng (40% dân số). Tháng 10/2022, sàn TMĐT Carousell của Singapore bị lộ dữ liệu của 1,95 triệu người dùng;
Tại Việt Nam, những vụ lộ lọt, rủi ro vì đánh cắp dữ liệu cũng không phải là ngoại lệ. Theo số liệu của Bộ Công an, trong giai đoạn năm 2019-2020 có 1.300 GB dữ liệu cá nhân của hàng tỷ cá nhân Việt Nam bị mua bán trái phép trên thị trường chợ đen.
Thiệt hại do vi phạm dữ liệu rất lớn và ngày càng tăng. Trung bình, trên thế giới, chi phí để xử lý một sự cố vi phạm dữ liệu từ 3,5 – 4 triệu USD. Tại Việt Nam, các chuyên gia cho biết chưa có thống kê về chi phí trung bình để xử lý một sự cố vi phạm dữ liệu, nhưng chắc chắn không nhỏ.
Các vụ lừa đảo liên quan đến lĩnh vực tài chính, ngân hàng cũng đang là một vấn đề nóng, liên quan chặt chẽ đến vấn đề bảo mật dữ liệu trong ngành. Năm 2022, Việt Nam ghi nhận 12.935 trường hợp lừa đảo trực tuyến, trong đó 75% lừa đảo tài chính, 25% lừa leo thang đánh cắp dữ liệu cá nhân để lừa đảo tài chính hoặc mục đích xấu khác. Tất cả các vụ vi phạm đều có mục tiêu cuối cùng là tiền.
Ông Nguyễn Trọng Đường cho biết các vụ lừa đảo tài chính này phổ biến có 3 nhóm chính, với 16 hình thức lừa đảo, tất cả đều có liên quan đến vi phạm dữ liệu.
Trong đó, nhóm 1 là chiếm đoạt tài khoản. Kẻ xấu chiếm quyền tài khoản mạng xã hội (Zalo, Facebook, Tiktok...) để gửi tin nhắn lừa đảo; Giả mạo người thân để gọi lừa đảo (có thể giả cả giọng nói và hình ảnh); Lừa chuyển tiền vào tài khoản ngân hàng của nạn nhân để bắt trả lãi vay; Lừa nạn nhân truy cập, click vay tín dụng đen lãi cao.
Nhóm 2 là giả mạo thương hiệu. Kẻ xấu sẽ giả mạo thương hiệu tổ chức uy tín để nhắn tin, gửi email lừa đảo; Giả mạo trang web chính thống để lừa cung cấp thông tin, lừa giao dịch, ...; lừa cài mã độc qua đường link.
Nhóm 3, tội phạm sẽ kết hợp nhiều chiêu thức, như giả danh cơ quan chức năng gọi điện thoại lừa đảo; Lừa gọi nạn nhân bắt máy sẽ bị trừ tiền trong tài khoản; Tạo nick giả để lừa; Giả mạo sàn thương mại điện tử, sàn tiền ảo, ... lừa làm cộng tác viên, nhà đầu tư; …
Các chiêu thức lừa đảo này được sử dụng nhiều qua Internet Banking, như giả mạo ngân hàng lừa trúng thưởng để lấy tài khoản, mã OTP, ...; giả mạo công an yêu cầu cung cấp thông tin tài khoản để điều tra hoặc yêu cầu chuyển tiền vào tài khoản công an (giả) để chứng minh; giả mạo người thân nhờ nhận hộ tiền hoặc vay tiền.
Dữ liệu cá nhân bị vi phạm, đánh cắp chủ yếu do các yếu tố phi kỹ thuật
Theo đánh giá, dữ liệu cá nhân bị vi phạm, đánh cắp có nguyên nhân chiếm phần lớn là do yếu tố phi kỹ thuật. Theo đó, các cơ quan, tổ chức, DN thu thập nhiều dữ liệu nhưng không đầu tư đủ để bảo vệ an toàn. Ngoài ra, việc lộ lọt dữ liệu còn đến từ khả năng nhân viên quản lý dữ liệu, lấy cắp vì mục đích riêng, mua bán trái phép hoặc bên thứ ba cấu kết với nhân viên quản lý dữ liệu của tổ chức, DN để được chia sẻ dữ liệu trái phép.
Bên cạnh đó, nhận thức về bảo vệ thông tin cá nhân của người dùng còn thấp. Nhiều chủ thể ngân hàng kiểm soát thông tin bất cẩn, cung cấp tùy tiện, đặc biệt tự mình để lộ thông tin của mình trên mạng xã hội.
Tất nhiên, ngoài những nguyên nhân phi kỹ thuật như trên, các vụ việc lộ lọt thông tin dẫn đến lừa đảo tài chính còn do những nguyên nhân thuộc về yếu tố kỹ thuật. Chẳng hạn như, các hệ thống thông tin chưa phê duyệt và triển khai đầy đủ các phương án bảo đảm an toàn thông tin theo cấp độ. Các hệ thống thông tin không được đầu tư các giải pháp phù hợp để bảo đảm an toàn, an ninh mạng, dẫn đến bị tấn công, khai thác, đánh cắp dữ liệu. Nhận thức của bên kiểm soát, bên xử lý dữ liệu và người quản trị hệ thống thấp, không tuân thủ quy định dẫn đến bị bị tấn công, khai thác, đánh cắp dữ liệu.
Trước những sự việc lộ lọt dữ liệu cá nhân dẫn đến nhiều vụ lừa đảo tài chính đáng tiếc, ông Phan Thanh Đức, cho rằng các tổ chức cần có giải pháp quản trị dữ liệu chất lượng, hiệu quả, để đảm bảo chất lượng dữ liệu, chia sẻ dữ liệu, và làm cơ sở cho phát triển kinh tế dữ liệu. Bảo mật dữ liệu sẽ giúp đảm bảo quyền riêng tư, bảo mật và truy cập thích hợp các thông tin. Mới đây, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân, trong đó định nghĩa rõ dữ liệu cá nhân, gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm; đồng thời định nghĩa cụ thể nhiều khái niệm, hành vi, hoạt động liên quan đến dữ liệu cá nhân.
Các chủ thể dữ liệu có quyền được biết; quyền đồng ý hoặc không; quyền truy cập; quyền rút lại sự đồng ý; quyền xóa dữ liệu; quyền hạn chế xử lý dữ liệu; quyền được cung cấp dữ liệu; quyền phản đối xử lý dữ liệu; quyền khiếu nại, tố cáo, khởi kiện; quyền yêu cầu bồi thường; quyền tự bảo vệ. Trong khi đó, nghĩa vụ của bên kiểm soát, xử lý dữ liệu là phải có sự đồng ý rõ ràng, tự nguyện và hiểu rõ yêu cầu của chủ thể dữ liệu; Phải thông báo xử lý dữ liệu, trong đó nêu rõ mục đích, loại dữ liệu, cách thức, rủi ro, thời gian xử lý dữ liệu …
“Bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm mà còn là bảo vệ tài sản quan trọng, giá trị nhất của tổ chức”, ông Nguyễn Trọng Đường nói./.