Chuyển đổi số phải gắn với bảo vệ dữ liệu cá nhân

Những bài học triệu đô

Khi đề cập đến các sự cố mất an toàn DLCN, có hai ví dụ điển hình phải đề cập. Năm 2019, Ngân hàng Capital One tại Mỹ thông báo phát hiện vụ xâm nhập dữ liệu của hơn 100 triệu khách hàng tại Mỹ và hơn 6 triệu khách hàng tại Canada. Hơn 140.000 số an sinh xã hội, hơn 1 triệu số bảo hiểm xã hội và trên 80.000 số tài khoản của khách hàng bị đánh cắp. Hệ quả là Capital One đã phải chi hơn 190 triệu USD bồi thường thiệt hại cho các nạn nhân và nộp phạt 80 triệu USD. Mới đây nhất vào tháng 6/2022, Ngân hàng Flagstar Bank tại Mỹ đã thông báo vụ tấn công vào hệ thống của họ cuối năm ngoái đã làm lộ lọt thông tin cá nhân của trên 1,5 triệu khách hàng.

Chia sẻ tại Hội thảo "Bảo vệ DLCN trong xu hướng chuyển đổi số ngành Ngân hàng" do PwC Việt Nam phối hợp cùng Hiệp hội Ngân hàng (VNBA) tổ chức cuối tuần qua, ông Phó Đức Giang, Giám đốc Công ty Dịch vụ An toàn thông tin PwC Việt Nam nhận định, các tổ chức TC-NH là nơi cung cấp các dịch vụ liên quan đến tiền và dịch vụ TC-NH là một trong những dịch vụ thâm nhập sâu nhất tới người dùng cuối (khách hàng), đặc biệt là với các dịch vụ trên nền tảng số hiện đã và đang ăn sâu tới từng cá nhân, gia đình… “Thực tế cho thấy phần lớn các sự vụ liên quan tấn công mạng là nhằm vào hệ thống DLCN liên quan đến các tổ chức TC-NH ”, ông Phó Đức Giang nói.

Trong làn sóng chuyển đổi số hiện nay, khi các hệ thống đòi hỏi tự động hóa nhiều hơn, sử dụng CNTT nhiều hơn sẽ khiến “bề mặt bị tấn công” sẽ càng rộng hơn. Trong chuyển đổi số, các ngân hàng buộc phải mở rộng hệ sinh thái. Tại Việt Nam trong những năm gần đây, các định chế tài chính đã phối hợp với các đối tác (bên thứ ba, như các công ty Fintech) để hình thành “hệ sinh thái số” trong cung cấp dịch vụ để đáp ứng nhu cầu ngày càng gia tăng của khách hàng trên nền tảng số. Vấn đề đặt ra là kẻ gian thường tấn công vào bên thứ ba và từ đó tấn công ngược lại các tổ chức TC-NH. Thực tế này đã xảy ra từ hàng chục năm trước, hiện ngày càng phổ biến; và chúng ta thường biết đến với khái niệm “tấn công vào chuỗi cung ứng”. Trong khi đó, theo kết quả khảo sát an toàn DLCN tại Việt Nam được PwC thực hiện năm 2021 cho thấy, từ nhận thức đến quy trình ứng phó sự cố/vi phạm dữ liệu, quy trình quản lý rủi ro đối với bên thứ ba… đều còn ở mức khá thấp.

Có cơ sở pháp lý, nhưng quan trọng là ý thức tuân thủ

Hiện Việt Nam đã có một số luật, quy định liên quan đến an toàn DLCN, như: Luật An toàn thông tin mạng 2015, Luật An ninh mạng 2018, Nghị định 53/2022/NĐ-CP hướng dẫn Luật An ninh mạng; Nghị định 14/2022/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin, an toàn thông tin mạng và giao dịch điện tử; và dự thảo Nghị định Bảo vệ DLCN hiện đang được xây dựng hoàn thiện.

Liên quan đến xử lý đối với những hành vi vi phạm quy định về xử lý DLCN, quy định hiện hành (theo Nghị định 14/2022/NĐ-CP) mức phạt tiền có thể từ 10 triệu đồng đến 70 triệu đồng. Theo ông Trần Minh Quân, Trưởng phòng Công ty Dịch vụ An toàn thông tin PwC Việt Nam, với những tổ chức lớn, những khoản phạt như trên “không đáng là bao” nên có thể họ sẽ chấp nhận mức phạt và tiếp tục vi phạm. Vấn đề mà họ quan tâm nhất là khi các sai phạm xảy ra, họ có tiếp tục được cung cấp dịch vụ hay không? liệu có bị tước giấy phép hoạt động và phải đóng cửa hay không? Do đó, tới đây khi Nghị định Bảo vệ DLCN được ban hành với dự thảo như hiện nay, dự kiến cùng với việc tăng mức phạt tiền tối đa 5% tổng doanh thu, cơ quan quản lý có thể đồng thời áp dụng các hình phạt bổ sung như đình chỉ xử lý DLCN từ 1-3 tháng; hay thậm chí tước quyền sử dụng văn bản đồng ý xử lý DLCN nhạy cảm và chuyển DLCN ra khỏi biên giới lãnh thổ Việt Nam… Đây là những hình thức xử lý khá nặng và sát với quy định ở một số nước như Singapore, Malaysia hay châu Âu.

Theo các chuyên gia, trong thời đại chuyển đổi số DLCN trên không gian mạng trở thành một kho lưu trữ khổng lồ. Do đó, nếu ngân hàng và các tổ chức không có biện pháp bảo vệ tương xứng, đúng cách sẽ tạo “lỗ hổng” để tội phạm thực hiện các hành vi vi phạm pháp luật, gây ra hậu quả khôn lường cho cá nhân và tổ chức. Để đối phó với những rủi ro liên quan, đồng thời hướng tới tuân thủ các khung khổ quy định pháp luật ngày càng chặt chẽ hơn, các chuyên gia của PwC khuyến nghị các ngân hàng cần tập trung vào công tác đánh giá hiện trạng; xây dựng chiến lược bảo vệ DLCN; và vận hành, giám sát liên tục quá trình này. Cụ thể, các ngân hàng cần đánh giá và xác định phạm vi DLCN, xây dựng kho DLCN và bản đồ luồng DLCN theo vòng đời dữ liệu. Đồng thời, đánh giá các rủi ro liên quan tới DLCN, các tác động từ rủi ro liên quan tới DLCN. Từ đó xây dựng chiến lược bảo vệ DLCN, xây dựng kế hoạch khắc phục và cải tiến, giảm thiểu các rủi ro, xây dựng mô hình hoạt động mục tiêu và tiến tới triển khai chiến lược và kế hoạch đã đưa ra (đặc biệt coi trọng công tác quản lý rủi ro và tuân thủ; quản lý vòng đời dữ liệu; quản lý ro bên thứ ba; và bảo mật dữ liệu). Trong quá trình vận hành, cần đo lường, giám sát liên tục đối với chương trình bảo vệ DLCN; ghi nhận và kiểm tra các điểm không tuân thủ và kịp thời thông báo các thay đổi về chính sách, quy trình nếu cần thiết.