Ai cũng biết hiện nay và trong tương lai, dữ liệu là nguồn tài nguyên có giá trị kinh tế cực kỳ lớn mà rất nhiều doanh nghiệp, lĩnh vực phụ thuộc vào đó. Trong lĩnh vực ngân hàng, dữ liệu của khách hàng còn quan trọng hơn gấp nhiều lần vì đó không chỉ là những thông tin cá nhân cơ bản, mà là tình trạng tài sản, dư nợ, dòng tiền của khách hàng. Bảo mật để dữ liệu khách hàng không bị lộ (breach) là một trong những mối bận tâm hàng đầu của các định chế tài chính này, bởi vậy mà các ngân hàng phải đầu tư nhiều công sức, tiền bạc.
Tiếng chuông cảnh tỉnh
Vậy mà mới đây trên mạng xã hội ở Việt Nam, lan truyền một tấm
hình chụp màn hình máy tính sao kê tài khoản ngân hàng của một nghệ sĩ nổi tiếng
liên quan đến vụ việc đang thu hút nhiều dư luận. Nếu tấm hình này là thật, thì
đây là một tiếng chuông cảnh tỉnh với những người đang làm trong lĩnh vực ngân
hàng, cũng như lãnh đạo của các tổ chức này.
Trong thời đại công nghệ thông tin, bảo mật dữ liệu của
khách hàng có thể nói là quan trọng nhất đối với các ngân hàng. Ngày xưa, uy
tín của các ngân hàng là ở sự vững chãi của các két sắt, được đào sâu dưới hầm,
qua nhiều lớp cửa thép dày cộp, chống được cháy nổ và cả động đất. Ngày nay đó
là hệ thống bảo mật của ngân hàng. Bởi vì phần lớn các tài sản, các khoản nợ được
lưu giữ dưới dạng các con số, các dòng dữ liệu.
Việc dữ liệu khách hàng bị tiết lộ thường được coi là một
tai nạn (incident) của hệ thống bảo mật, do lỗi không có chủ ý của con người,
hay do bị tấn công từ bên ngoài.
Nhưng rủi ro bảo mật không chỉ đến từ hệ thống công nghệ
thông tin. Có 3 nơi mà rủi ro bảo mật phát sinh, đó là từ góc độ quản trị ngân
hàng (governance) liên quan đến quy trình, sự giám sát, hệ thống thông tin
(information systems), và tác nghiệp hàng ngày (operations).
Ví dụ ở trên nếu đúng, thì đó chính là lỗi trong tác nghiệp
của nhân viên, và có liên quan đến vấn đề quản trị của ngân hàng. Lẽ thường,
khi ký hợp đồng làm việc, thì trong các điều khoản hợp đồng dĩ nhiên phải có
các điều mà nhân viên không được làm, chưa kể là các chuẩn mực nghề nghiệp
(business ethics) của ngành. Nếu đây là lỗi hoàn toàn của nhân viên, thì ngân
hàng cũng có trách nhiệm liên đới trong việc đào tạo thường xuyên, cũng như
giám sát.
Hệ lụy của việc dữ liệu khách hàng bị tiết lộ là nghiêm trọng
ở nhiều cấp độ khác nhau. Chẳng hạn như ngân hàng phải chịu trách nhiệm về các
khoản thiệt hại phát sinh do tài khoản khách hàng bị tấn công riêng lẻ, hay cả
hệ thống thông tin của ngân hàng là con mồi của hacker. Thiệt hại quan trọng
cũng không kém đó chính là uy tín của ngân hàng. Là một khách hàng, thì không
ai muốn gửi tiền hay làm ăn với ngân hàng mà nhà cửa lỏng lẻo. Các đối tác quan
trọng thì càng không.
Ngân hàng cũng lúng túng
Trong chuyện dữ liệu của khách hàng, các ngân hàng cũng có một
sự lúng túng không hề nhỏ giữa việc cần nhiều dữ liệu của khách hàng (KYC), việc
bảo mật (security), và sự riêng tư của khách hàng (privacy).
Bản thân các ngân hàng cũng cần nhiều KYC, không chỉ để quản
lý rủi ro mà còn để phát triển các dịch vụ cung cấp cho khách hàng, nhất là các
dịch vụ bán chéo (cross-selling), các dịch vụ gia tăng. Cơ quan quản lý nhà nước
cũng yêu cầu các ngân hàng thực hiện KYC, chủ yếu cho mục đích chống rửa tiền,
các hoạt động phi pháp.
Nhưng khi dữ liệu của khách hàng tăng, tích hợp từ nhiều nguồn,
nhiều hệ thống với tiêu chuẩn hay định dạng không đồng nhất thì là một thách thức
rất lớn cho hệ thống thông tin của ngân hàng. Vì càng từ nhiều nguồn, nhiều “lối
vào” thì càng có nhiều điểm hở sườn, nhiều chỗ có thể bị khoét lỗi bảo mật.
Việc thu thập các dữ liệu của khách hàng cũng gặp sự phản ứng
nhất định từ họ bởi vì quyền riêng tư. Ở nhiều nước phát triển, ví dụ như châu
Âu với Luật về bảo vệ dữ liệu chung năm 2016 (General Data Protection
Regulation 2016/679 aka. GDPR) là một sự thay đổi rất lớn từ các nhà cung cấp dịch
vụ nói chung, và lĩnh vực ngân hàng nói riêng. Có những dữ liệu, hiện nay ngân
hàng muốn thu thập phải được sự đồng ý của khách hàng.
Ngân hàng trong nước cần lưu ý
Trong rủi ro bảo mật dữ liệu của khách hàng, các ngân hàng nội
địa cạnh tranh với nhau về công nghệ và hầu như không có sự khác biệt lớn giữa
các ngân hàng trong cùng một nhóm, chẳng hạn như các ngân hàng lớn đều đủ nguồn
lực để trang bị hệ thống tốt nhất. Thậm chí những ngân hàng đi sau còn có lợi
thế hơn vì chi phí công nghệ giảm theo thời gian.
Vấn đề đối với bảo mật dữ liệu vì vậy chủ yếu nằm ở hệ thống
quản trị của ngân hàng, cũng như trong quá trình tác nghiệp hàng ngày.
Trong quản trị, bên cạnh các quy trình, hệ thống giám sát
thì nhận thức của lãnh đạo về vấn đề bảo mật là cực kỳ quan trọng. Không chỉ đầu
tư xác đáng cho hệ thống công nghệ thông tin, mà người lãnh đạo phải luôn theo
dõi sát sao vấn đề này, coi đây là một nhiệm vụ quan trọng của mình. Vì vậy, cần
có sự chỉ đạo nhất quán, phối hợp giữa các phòng ban của ngân hàng, xem đây là
một hoạt động cốt lõi của ngân hàng.
Trong quá trình tác nghiệp hàng ngày, đó là ý thức và kỹ
năng của các nhân viên. Việc đào tạo huấn luyện định kỳ, liên tục là hết sức cần
thiết cho mọi nhân viên, đặc biệt là các chức năng quyền hạn theo vị trí việc
làm. Nếu ý thức được mức độ nghiêm trọng của việc công bố tài khoản của khách
hàng thì không nhân viên nào lại dám bốc đồng như vậy, chưa kể là bên cạnh xử
lý nội bộ, còn có thể bị liên đới đến các quy định pháp luật.
Rất thời sự và rõ ràng
Trả lờiXóacảm ơn anh ! khổ nhất là các điêu khoản sử dụng dài loằng ngoằng, mình không để ý nổi. Accept phát cái là dính luôn.
Xóa