Singapore sẽ phạt các ngân hàng ở mức cao nếu để xảy ra lỗ hổng bảo mật

Nước này cũng sẽ thắt chặt các quy định đối với các nhà cung cấp dịch vụ mã thông báo số (digital token) để bảo vệ chống lại các rủi ro rửa tiền và tài trợ khủng bố.

Dự luật Thị trường và Dịch vụ tài chính (Financial Services and Markets Bill) được trình quốc hội nước này vào tháng 2 dự kiến sẽ đẩy mức phạt tối đa cho mỗi lỗ hổng lên đến 1 triệu đô la Singapore (736.791 USD). Mức phạt có thể tăng cao hơn nếu một sự cố ảnh hưởng đến khách hàng của tổ chức tài chính hoặc các đối tác khác, dẫn đến nhiều vi phạm.

Alvin Tan, Bộ trưởng Bộ Văn hóa, Cộng đồng và Thanh niên kiêm Bộ trưởng Bộ Thương mại và Công nghiệp Singapore cho biết điều này có nghĩa là các công ty tài chính có thể phải đối mặt với mức phạt cao hơn nhiều cho một cuộc tấn công mạng "nghiêm trọng" hoặc làm gián đoạn các dịch vụ tài chính thiết yếu như mạng lưới ATM hoặc gián đoạn giao dịch trực tuyến.

Với việc các ngân hàng số của Singapore được cấp phép dự kiến sẽ bắt đầu hoạt động trong năm nay, một loạt các vụ lừa đảo trực tuyến xóa sổ tiết kiệm cả đời của nạn nhân như một lời cảnh tỉnh khác và chứng minh các quy định đôi khi là cách duy nhất để báo động các tổ chức tài chính.

Dự luật mới sẽ trao quyền hạn cho Cơ quan tiền tệ Singapore (MAS) để thực thi các yêu cầu quản lý rủi ro công nghệ. Dự luật cũng sẽ cho phép MAS đảm bảo việc sử dụng công nghệ "an toàn và lành mạnh" để cung cấp các dịch vụ tài chính và bảo vệ dữ liệu.

"Các tổ chức tài chính ngày nay chủ yếu dựa vào công nghệ để cung cấp các dịch vụ tài chính. Tuy nhiên, các hình phạt tối đa hiện tại có thể được áp dụng đối với các hành vi vi phạm các yêu cầu về quản lý rủi ro công nghệ không tương xứng với mức độ ảnh hưởng có thể xảy ra trên diện rộng đối với khách hàng của các tổ chức tài chính và ngành tài chính có thể gây ra từ những vi phạm đó", Bộ trưởng Alvin Tan lưu ý.

Ông nói thêm rằng Dự luật sẽ hợp nhất các yêu cầu quản lý rủi ro công nghệ hiện có được thiết lập theo các Đạo luật khác nhau do MAS quản lý, áp dụng cho các tổ chức hoặc loại tổ chức tài chính như đạo luật hành nghề chứng khoán và đạo luật bảo hiểm.

Nhận diện các lỗ hổng hiện tại trong hoạt động mã thông báo số

Bộ trưởng Tan nói: "Khu vực tài chính năng động và phát triển nhanh chóng, được thúc đẩy bởi sự đổi mới, số hóa và thiết kế các sản phẩm và dịch vụ mới. Ngành này đã chuyển đổi đáng kể trong những năm gần đây, về loại hình giao dịch và con người, tổ chức và công nghệ thực hiện các giao dịch này.

Ông nói: "Chúng tôi phải đảm bảo MAS luôn theo sát những phát triển này và trang bị cho MAS các công cụ để tạo điều kiện phát triển các sản phẩm và dịch vụ mới này đồng thời quản lý các rủi ro liên quan.

Chuyển đổi số (CĐS) có thể phá vỡ và thách thức các khuôn khổ quy định hiện tại vốn được thiết kế cho các giao dịch và dịch vụ tài chính truyền thống hơn. Ví dụ, các nhà cung cấp dịch vụ mã thông báo số có thể dễ dàng cấu trúc doanh nghiệp của họ để tránh quy định ở bất kỳ khu vực tài phán nào, vì họ hoạt động chủ yếu trực tuyến.

Mặc dù các nhà cung cấp này được quản lý theo luật hiện hành bất kể họ được thành lập ở đâu, nhưng các công ty được thành lập ở Singapore mà không cung cấp bất kỳ dịch vụ mã thông báo số nào trong nước hiện không được kiểm soát đối với hai hoạt động chính. Bộ trưởng Tan nói rằng điều này mang lại rủi ro cho danh tiếng toàn cầu của Singapore.

Dự luật mới sẽ áp dụng cho tất cả các tổ chức hoặc cá nhân ở Singapore cung cấp dịch vụ mã thông báo số bên ngoài đất nước, nhưng đã tạo hoặc điều hành hoạt động kinh doanh của họ từ Singapore. Dự luật sẽ quy định các nhà cung cấp như vậy như một loại tổ chức tài chính mới, chủ yếu đối với các rủi ro rửa tiền và tài trợ khủng bố.

Cụ thể, dự luật sẽ đưa ra các yêu cầu cấp phép và quyền hạn quản lý đối với các nhà cung cấp dịch vụ mã thông báo số, bao gồm cả việc trao cho MAS khả năng tiến hành kiểm tra chống rửa tiền và cung cấp hỗ trợ cho chính quyền địa phương. Các yêu cầu được nêu trong dự luật sẽ đồng bộ với các yêu cầu được quy định trong đạo luật dịch vụ thanh toán.

Các tổ chức hoặc cá nhân cung cấp dịch vụ mã thông báo số tại Singapore vẫn sẽ được điều chỉnh theo các đạo luật hiện hành khác.

Bộ trưởng Tan cho biết dự luật được đề xuất không chỉ giải quyết những thách thức về quy định và những rủi ro mới do quá trình CĐS của lĩnh vực này mang lại, mà còn đảm bảo các bên tham gia tài chính tăng cường tính bảo mật và khả năng phục hồi của các dịch vụ số.

Ví dụ, việc tăng hình phạt đối với các hành vi vi phạm được đề cập trong quản lý rủi ro công nghệ đối với hoạt động của một tổ chức tài chính. Mức phạt sẽ được đưa ra sau khi đánh giá các hiện trạng hình phạt hiện có của các khu vực pháp lý khác và các cơ quan chính phủ Singapore.

Ngoài các hình phạt, dự luật mới sẽ cho phép MAS thực hiện các hành động giám sát khác, bao gồm việc yêu cầu các tổ chức tài chính dành thêm vốn điều tiết cho đến khi cơ quan quản lý hài lòng rằng các biện pháp kiểm soát rủi ro công nghệ đầy đủ đã được đưa ra để giải quyết những khiếm khuyết.

MAS vào tháng 2 cho biết cơ quan này đang nghiên cứu về một quy định sẽ nêu chi tiết cách chia sẻ những tổn thất do lừa đảo trực tuyến. Cơ quan quản lý cho biết quy định mới sẽ quy định trách nhiệm của các bên quan trọng trong hệ sinh thái nhằm ngăn chặn các nạn nhân của các trò gian lận trực tuyến với giả định rằng họ có thể thu hồi các khoản lỗ của mình.

Cơ quan này cho biết thêm tất cả các bên, bao gồm cả khách hàng và tổ chức tài chính, có trách nhiệm cảnh giác và đề phòng các trò gian lận.

Gia tăng các vụ lừa đảo nhắm vào ngân hàng số

Hồi tháng 1/2022, MAS và Hiệp hội các ngân hàng tại Singapore (ABS) đã phải ra một tuyên bố về các biện pháp bổ sung nhằm tăng cường bảo mật của ngân hàng số, do các vụ lừa đảo gần đây nhắm vào khách hàng ngân hàng.

Vụ lừa đảo qua SMS liên quan đến ít nhất 469 khách hàng của Ngân hàng OCBC và dẫn đến thiệt hại hơn 8,5 triệu đô la Singapore, riêng 2,7 triệu đô la Singapore bị mất trong ba ngày cuối tuần lễ Giáng sinh 2021. Một số nạn nhân được cho là đã mất số tiền tiết kiệm cả đời, bao gồm một người đàn ông 43 tuổi bị xóa sạch tài khoản 500.000 đô la Singapore, một kỹ sư phần mềm 38 tuổi và giám đốc tài chính 33 tuổi bị mật lần lượt 25.000 và 68.000 đô la Singapore.

Trong những vụ việc này, những kẻ lừa đảo đã thao túng chi tiết ID người gửi SMS để gửi tin nhắn có vẻ là từ OCBC. Các tin nhắn SMS này đã nhắc nạn nhân giải quyết các vấn đề với tài khoản của họ, chuyển hướng họ đến các trang web lừa đảo và hướng dẫn họ nhập chi tiết đăng nhập ngân hàng, bao gồm tên người dùng, mã PIN và mật khẩu dùng một lần (OTP).

Vì ID người gửi (sender ID) hợp pháp của OCBC đã được nhân bản thành công và bị giả mạo, những tin nhắn này xuất hiện trong cùng một chuỗi với các cảnh báo hoặc thông báo trước đó từ ngân hàng, khiến nạn nhân tin rằng những tin nhắn này là hợp pháp./.