Số liệu thống kê cho thấy, số vụ tấn công mạng (cyber attack) trên thế giới trong thập kỷ qua đã tăng gấp 3 lần và dịch vụ tài chính là một trong những mục tiêu hàng đầu của tội phạm mạng, đe dọa đến sự ổn định của các hệ thống tài chính quốc gia nói riêng và trên toàn cầu nói chung. Vì vậy, đảm bảo an ninh mạng luôn được coi là nhiệm vụ trọng yếu, then chốt và cần được ưu tiên hàng đầu, nhất là trong bối cảnh các tổ chức đang chuyển đổi mô hình hoạt động kinh doanh và tăng cường áp dụng công nghệ kỹ thuật số để đối phó với những tác động của đại dịch Covid-19 và phát huy những thành tựu của Cách mạng công nghiệp lần thứ tư.
Hiện nay, tài chính và công nghệ có mối quan hệ chặt chẽ. Một cuộc tấn công mạng vào một tổ chức tài chính lớn hay một hệ thống giao dịch, một dịch vụ tài chính cốt lõi được nhiều người sử dụng, có thể gây hiệu ứng dây chuyền và nhanh chóng lan toả trong toàn hệ thống, gây ra sự gián đoạn hoạt động và làm mất niềm tin của khách hàng trên phạm vi rộng. Tình huống đơn giản có thể là các giao dịch không thực hiện được do lỗi hệ thống, khách hàng không thể truy cập vào tài khoản. Trong tình huống cực đoan hơn, nhà đầu tư và người gửi tiền có thể yêu cầu lấy lại tiền hoặc đóng tài khoản, nói không với các dịch vụ và sản phẩm tài chính mà thường ngày họ vẫn sử dụng. Trong bất kỳ tình huống nào, tổ chức cung cấp dịch vụ cũng bị ảnh hưởng và thiệt hại, có thể là tài chính, uy tín, thương hiệu hay lòng tin của khách hàng.
Nguồn: Trung tâm bảo vệ dữ liệu cá nhân (IMF, 2020)
Do sự phát triển của công nghệ, các công cụ tin tặc (hack) giờ đây đơn giản hơn, rẻ hơn nhưng cũng nguy hiểm hơn, có thể cho phép tin tặc dù không có nhiều kỹ năng vẫn có thể gây ra thiệt hại lớn. Việc mở rộng các dịch vụ dựa trên nền tảng điện thoại di động (thiết bị công nghệ được nhiều người sử dụng nhất) cũng làm tăng cơ hội cho tin tặc. Những kẻ tấn công không chừa một ai, chúng có thể nhắm vào tổ chức lớn và nhỏ, đe dọa nước giàu và nghèo, hoạt động không giới hạn về không gian và thời gian. Vì vậy, việc ngăn ngừa, chống lại tội phạm mạng và giảm thiểu rủi ro của tội phạm mạng phải là một cam kết chung giữa các quốc gia và ở mỗi đất nước.
Tuy nhiên, theo nhận định của IMF, nhiều hệ thống tài chính quốc gia vẫn chưa sẵn sàng trước các cuộc tấn công mạng, trong khi sự phối hợp, hợp tác quốc tế trong lĩnh vực này chưa hiệu quả. Cũng theo IMF, đối với tổ chức tài chính, bên cạnh công việc quản lý rủi ro hàng ngày là duy trì ổn định hệ thống mạng, thường xuyên cập nhật phần mềm, thực hiện đầy đủ các biện pháp đảm bảo an ninh, an toàn công nghệ thông tin, cũng cần phải nhận thức được các rủi ro an ninh mạng đối với tổ chức của mình cũng như đối với cả hệ thống tài chính. Việc mỗi tổ chức tự lo cho riêng mình là không đủ mà quan trọng là cơ quan quản lý cần có các quy định, chính sách cụ thể để ngăn chặn sự lơ là, thiếu đầu tư vào các giải pháp an ninh bảo mật với nhiều giải pháp hữu hiệu hơn để bảo vệ hệ thống tài chính trước những cuộc tấn công mạng.
Với những phân tích như trên, các chuyên gia của IMF đã khuyến nghị sáu chính sách mà các tổ chức tài chính, cơ quan quản lý của mỗi quốc gia cần đặc biệt quan tâm để nâng cao hiệu quả công tác quản lý rủi ro an ninh mạng và tăng cường sự ổn định hệ thống tài chính, cụ thể:
Một là, thiết lập bản đồ mạng và lượng hóa rủi ro. Sự phụ thuộc lẫn nhau của hệ thống tài chính toàn cầu cần được xác định cụ thể bằng cách lập bản đồ kết nối giữa hoạt động tài chính cốt lõi - công nghệ áp dụng - cơ sở hạ tầng quan trọng. Việc xác định chính xác mối quan hệ này sẽ giúp các bên liên quan nắm bắt đúng vấn đề và nhờ đó, sẽ có hành động phù hợp để ứng phó với rủi ro. Đồng thời, việc lượng hóa các tác động có thể xảy ra cũng giúp các bên phản ứng một cách tập trung và phân định rõ trách nhiệm của các bên. Đây là một công việc mới và phức tạp, một phần là do thiếu dữ liệu về thiệt hại từ tấn công mạng, một phần do khó khăn trong xây dựng mô hình chuẩn, nhưng cần thiết để đối phó với thách thức ngày càng gia tăng của tội phạm mạng.
Hai là, nhất quán trong quy định pháp luật. Việc áp dụng các quy định pháp luật và tiêu chuẩn giám sát theo thông lệ quốc tế sẽ giúp các tổ chức tài chính giảm thiểu đáng kể chi phí tuân thủ và làm nền tảng cho sự hợp tác xuyên biên giới. Các tổ chức quốc tế như Ủy ban Ổn định Tài chính (FSB), Ủy ban Thanh toán và Cơ sở hạ tầng thị trường (CPMI), và Ủy ban Basel hiện đã bắt đầu triển khai nhiều hành động hợp tác và phối hợp giữa các tổ chức quốc tế để thiết lập sự nhất quán về pháp lý này. Trên cơ sở đó, các cơ quan chức năng của quốc gia cũng cần tăng cường hợp tác để triển khai hiệu quả.
Ba là, nâng cao năng lực đáp ứng với các tiêu chuẩn, yêu cầu về an ninh mạng. Khi các cuộc tấn công mạng ngày càng trở lên phổ biến, hệ thống tài chính phải có khả năng phục hồi nhanh và duy trì sự ổn định hệ thống. Tuy nhiên, ở các nước có thu nhập thấp, các chiến lược ứng phó và phục hồi mới chỉ ở giai đoạn đầu, cần được hỗ trợ để cải thiện. Vì vậy, các tổ chức cần tự nâng cao năng lực để đáp ứng với các tiêu chuẩn, yêu cầu quốc gia về an toàn an ninh mạng. Bên cạnh đó, các tổ chức cũng cần hướng tới đáp ứng các tiêu chuẩn quốc tế, nhất là các tổ chức và dịch vụ hoạt động xuyên biên giới.
Bốn là, sẵn sàng chia sẻ, hợp tác trong công tác phòng, chống tội phạm mạng. Việc chia sẻ thông tin nhiều hơn về các mối đe dọa, các cuộc tấn công mạng, giải pháp xử lý… sẽ góp phần nâng cao khả năng ngăn chặn và phản ứng đối với các cuộc tấn công mạng của cả khu vực công và tư. Tuy nhiên, các rào cản vẫn hiện hữu, chủ yếu xuất phát từ mối quan ngại về an ninh quốc gia và quy định pháp luật về bảo vệ dữ liệu. Các cơ quan thanh tra, giám sát tài chính và ngân hàng trung ương cần nghiên cứu, phát triển các giao thức và nguyên tắc chia sẻ thông tin trong khuôn khổ quy phạm pháp luật. Bên cạnh đó, những cách thức chia sẻ thông tin thống nhất trên toàn cầu, những “kho” thông tin khai thác chung, những hệ thống mạng sử dụng chung đáng tin cậy cũng là những giải pháp giải quyết hữu hiệu các rào cản này.
Năm là, tăng cường tính răn đe mạnh mẽ hơn. Các cuộc tấn công mạng có xu hướng gây thiệt hại ngày càng nhiều hơn với nhiều rủi ro hơn do chưa có biện pháp để thu hồi tài sản và truy tố tội phạm hiệu quả. Thế giới chưa có một tổ chức thi hành pháp luật quốc tế hiệu quả trong khi tội phạm mạng hoạt động xuyên biên giới ngày càng diễn biến phức tạp, vì vậy, cần đẩy mạnh các nỗ lực hợp tác ở cấp độ quốc tế để ngăn chặn, phá vỡ và làm thoái chí cuộc tấn công mạng ngay tại nguồn phát sinh. Giải pháp này đòi hỏi sự hợp tác mạnh mẽ giữa cơ quan thực thi pháp luật và cơ quan chức năng trong nước, giữa tổ chức trong nước và nước ngoài, trong đó có sự tham gia của những tổ chức quản lý cơ sở hạ tầng hay quản lý hệ thống an ninh quan trọng.
Cuối cùng, chú trọng phát triển năng lực ứng phó với rủi ro mạng. Phát triển năng lực bảo đảm an toàn an ninh mạng sẽ góp phần củng cố sự ổn định tài chính và thúc đẩy tài chính toàn diện tại mỗi quốc gia. Việc này đặc biệt có ý nghĩa đối với các nước có nền kinh tế đang phát triển và mới nổi do dễ bị tác động bởi rủi ro an ninh mạng. Cuộc khủng hoảng Covid-19 đã chứng minh vai trò của năng lực quốc gia, của sự hợp tác giữa các nước có ý nghĩa quyết định để ứng phó với thảm họa. Giống như bất kỳ loại vi-rút nào, mối đe dọa an ninh mạng phát sinh ở bất kỳ quốc gia nào cũng sẽ khiến phần còn lại của thế giới kém an toàn hơn.
Trong bối cảnh các nguy cơ và hiểm họa gây mất an ninh an toàn thông tin ngày càng gia tăng và mức độ sử dụng công nghệ ngày càng phát triển như hiện nay, việc triển khai đồng bộ, tổng thể các giải pháp quản lý rủi ro an ninh mạng và tăng cường sự ổn định của hệ thống tài chính là hết sức cần thiết và cấp bách. Cùng với đó, làn sóng chuyển đổi số của các ngân hàng đang diễn ra mạnh mẽ, việc đảm bảo an ninh an toàn hệ thống và tăng cường khả năng ngăn ngừa, ứng phó trước các cuộc tấn công mạng là ưu tiên hàng đầu của mỗi tổ chức tín dụng và của cả hệ thống. Những khuyến nghị trên đây nên được phân tích, nghiên cứu và triển khai phù hợp để hoạt động tài chính ngân hàng vừa có thể cung ứng các sản phẩm, dịch vụ hiện đại, tiện ích, thúc đẩy tài chính toàn diện nhưng vẫn đảm bảo an ninh mạng, chủ động phòng ngừa và ngăn chặn hoạt động gian lận, rửa tiền, tội phạm mạng, bảo vệ quyền riêng tư, bảo mật dữ liệu khách hàng thích ứng với bối cảnh 4.0.
BVA-NMĐ
(Nguồn: Insights & Analysis on Economics & Finance, IMF, December 2020)