Báo cáo an ninh, bảo mật thanh toán (Payment Security Report - PSR) được Verizon, một công ty truyền thông và mạng di động của Hoa Kỳ, công bố hàng năm từ năm 2010. Vào thời điểm đó, đây là nghiên cứu đầu tiên cung cấp những phân tích chuyên sâu về các tiêu chuẩn bảo mật trong lĩnh vực thanh toán thẻ (the Payment Card Industry Data Security Standard – PCI DSS do Visa công bố từ năm 2004) cũng như đánh giá tình hình triển khai áp dụng hàng năm.
Trải qua 9 năm từ thời điểm công bố Báo cáo đầu tiên, năm 2019, Verizon tiếp tục công bố đến độc giả những góc nhìn độc đáo khi đánh giá tác động của chuẩn PCI DSS trong dài hạn cũng như phân tích kết quả thực hiện tiêu chuẩn này trên toàn cầu trong thập kỷ vừa qua. Những kết quả phân tích của Verizon sẽ giúp nhìn nhận bối cảnh an ninh, bảo mật trong thanh toán thẻ trên toàn cầu và rút kinh nghiệm cho công tác đảm bảo an ninh, bảo mật trong thanh toán thẻ tại Việt Nam.
An ninh, bảo mật trong thanh toán thẻ trên thế giới
Báo cáo của Verizon khảo sát việc tuân thủ Tiêu chuẩn an ninh, bảo mật dữ liệu trong lĩnh vực thanh toán thẻ năm 2019 của 302 tổ chức tại 60 quốc gia trên thế giới, tập trung trong 4 lĩnh vực, bao gồm 60 tổ chức bán lẻ, 53 tổ chức công nghệ thông tin, 32 đơn vị dịch vụ khách hàng và 153 tổ chức dịch vụ tài chính. Kết quả khảo sát cho thấy mức độ tuân thủ (compliance) đã có sự thay đổi theo chiều hướng tiêu cực trong thời gian gần đây. Năm 2012 có 11,1% tổ chức được khảo sát đáp ứng đầy đủ các tiêu chuẩn và tỷ lệ này đạt mức cao nhất vào năm 2016 với 55,4% tổ chức thì đến năm 2018, con số này rơi xuống còn 36,7%. Điều này cho thấy, việc đáp ứng sự tuân thủ quy định về an ninh, bảo mật trong thanh toán thẻ sau 10 năm vẫn còn là thách thức đối với nhiều đơn vị. Xét theo khu vực, Châu Á – Thái Bình Dương (APAC) vượt qua châu Mỹ, châu Âu, khu vực Trung Đông và châu Phi (EMEA) về mức độ tuân thủ các tiêu chuẩn an ninh, bảo mật. Xét theo lĩnh vực, ngành dịch vụ tài chính và công nghệ thông tin (IT) đạt kết quả tốt hơn về mức độ tuân thủ so với lĩnh vực bán lẻ và ngành dịch vụ khách hàng.
Về sự cố bảo mật thông tin, Báo cáo 2019 của Verizon cho thấy các tổ chức gặp sự cố rò rỉ thông tin thường không đáp ứng đủ các tiêu chuẩn do PCI DSS đặt ra, trong đó các tổ chức bán lẻ đạt tỷ lệ thấp nhất trong việc đáp ứng yêu cầu ứng phó sự cố bảo mật thông tin. Khu vực dịch vụ tài chính mặc dù được đánh giá cao hơn các ngành, lĩnh vực được khảo sát nhưng vẫn có khoảng 7% tổ chức còn lỗ hổng trong việc ứng phó với sự cố rò rỉ thông tin. Có thể thấy việc xây dựng và duy trì một hệ thống thanh toán thẻ an toàn và bảo mật là điều cần thiết, đây không phải là yếu tố mang tính “góp phần” bởi sự cố rò rỉ dữ liệu (nếu xảy ra) sẽ là rủi ro rất lớn đối với tổ chức và ảnh hưởng tới uy tín của tổ chức đó.
Báo cáo 2019 của Verizon dành một phần lớn nội dung tập trung phân tích về an ninh, bảo mật trong thanh toán qua điện thoại di động bởi đây là lĩnh vực được quan tâm trên toàn cầu. Trong những năm qua, cùng với sự gia tăng tỷ lệ người sử dụng điện thoại di động là sự tăng lên của lượng thông tin truyền qua di động, sự phát triển của thương mại điện tử qua di động hay sự tăng trưởng mạnh mẽ của hoạt động thanh toán qua di động. Nếu không có biện pháp bảo vệ thích hợp, điện thoại di động sẽ trở thành một mục tiêu mới cho tội phạm mạng (cyber crime). Nhận thức được tình hình này, trong 2 năm qua, Verizon đã tiến hành khảo sát độc lập hơn 600 người liên quan đến sử dụng di động, và kết quả là chỉ có 33% người được hỏi có quan tâm đến vấn đề bảo mật cho di động. Con số này có tăng lên 5% so với kết quả khảo sát năm 2018 nhưng cho thấy yêu cầu an ninh, bảo mật cho thiết bị di động vẫn chưa được người dùng quan tâm đúng mức.
Theo khảo sát của Forrester, công ty nghiên cứu thị trường của Hoa Kỳ, đối với 416 người làm trong lĩnh vực dịch vụ tài chính năm 2018, khoảng 69% điện thoại di động vừa được sử dụng cho công việc, vừa được sử dụng cho mục đích cá nhân. Tình trạng này khiến các thiết bị di động dễ bị nhiễm các phần mềm độc hại hoặc có thể cho phép kẻ tấn công quyền truy cập, làm lộ lọt tài liệu công việc hoặc dữ liệu nhạy cảm... Bên cạnh đó, sự phát triển của hoạt động thanh toán qua di động cũng làm gia tăng những mối quan ngại về bảo mật cho di động.
Trên các số liệu phân tích, Verizon đã giới thiệu một chương trình yêu cầu xây dựng chu trình khép kín cho hoạt động bảo mật, bao gồm đủ 4 bước: đánh giá, bảo vệ, phát hiện và phản hồi. Cách tiếp cận này thường được áp dụng cho hệ thống công nghệ thông tin và Verizon tin rằng đã đến lúc thiết bị di động cũng cần áp dụng chu trình này. Bên cạnh đó, Verizon đề xuất 9 yêu cầu để các tổ chức thanh toán thẻ và các đơn vị liên quan đến thanh toán thẻ có thể sử dụng và thiết lập cơ chế bảo mật cho điện thoại di động cũng như để cảnh báo người dùng, bao gồm: (1) Thiết lập và duy trì môi trường kiểm soát để có thể kiểm soát các rủi ro bảo mật liên quan đến các thiết bị di động, (2) Thiết bị di động cần rõ ràng về thông tin cấu hình để kiểm soát các ứng dụng có thể được cài đặt, (3) Bảo mật thiết bị di động đòi hỏi sự theo dõi liên tục để có thể đánh giá thường xuyên và đánh giá lại các biện pháp bảo mật đối với dữ liệu và quyền truy cập thiết bị, (4) Cần duy trì nhiều lớp bảo vệ để đảm bảo dữ liệu di động không bị gián đoạn, không bị thay đổi hoặc bị tấn công, (5) Cần duy trì khả năng phát hiện và phản hồi kịp thời của thiết bị di động khi phát hiện thông số không phù hợp với thiết kế kỹ thuật, (6) Các thiết bị di động thường có tuổi thọ ngắn hơn các thiết bị để bàn nên cần quản lý và kiểm soát những thay đổi của phần cứng và ứng dụng để xác định kịp thời các bộ phận/phần mềm cần thay đổi, (7) Cần theo dõi và đo lường hiệu suất bảo vệ dữ liệu trên toàn bộ thiết bị di động để có cảnh báo kịp thời (theo quy trình 4 bước gồm: phát triển, triển khai, theo dõi và đánh giá), (8) Cần thiết có chiến lược/kế hoạch bảo mật di động và lộ trình triển khai phù hợp, và (9) Phát triển đội ngũ nhân lực nội bộ để có thể bảo vệ dữ liệu thanh toán với mức độ cao hơn so với thông tin khác.
Thực tiễn triển khai tại Việt Nam
Nhận thức được vai trò và tầm quan trọng của an ninh, bảo mật trong hoạt động thanh toán điện tử, thanh toán thẻ nói riêng và hoạt động ngân hàng nói chung, trong những năm qua, Ngân hàng Nhà nước (NHNN) đã ban hành nhiều văn bản nhằm tăng cường an ninh, an toàn và bảo vệ thông tin dữ liệu, bảo vệ quyền lợi hợp pháp của khách hàng, như: Thông tư 36/2012/TT-NHNN ngày 28/12/2012 quy định an toàn hoạt động của máy giao dịch tự động; Thông tư 47/2014/TT-NHNN ngày 31/12/2014 quy định các yêu cầu kỹ thuật an toàn bảo mật trang thiết bị phục vụ thanh toán thẻ ngân hàng; Thông tư 35/2016/TT-NHNN ngày 29/12/2016 quy định về an toàn, bảo mật cho việc cấp dịch vụ ngân hàng trên Internet; Thông tư 18/2018/TT-NHNN ngày 21/8/2018 quy định về an toàn hệ thống CNTT trong hoạt động ngân hàng; Thông tư 20/2018/TT-NHNN ngày 30/8/2018 quy định về giám sát các hệ thống thanh toán,vv... Đặc biệt, NHNN đã ban hành Quyết định công bố Bộ tiêu chuẩn cơ sở về thẻ chip nội địa (Quyết định 1928/QĐ-NHNN ngày 05/10/2018), được xây dựng theo hướng tương thích với chuẩn EMV hiện được nhiều tổ chức thẻ quốc tế khuyến nghị áp dụng nhằm đảm bảo an ninh, an toàn, bảo mật trong hoạt động thẻ ngân hàng, tạo thuận lợi cho việc gia tăng các tính năng, tiện ích cho chủ thẻ. Bên cạnh đó, NHNN cũng đang nghiên cứu ban hành lộ trình áp dụng các tiêu chuẩn quốc tế về an ninh, bảo mật như ISO 27001 cho hệ thống CNTT, chuẩn PCI DSS cho hệ thống thanh toán thẻ, các công nghệ bảo mật đa nhân tố mới thay thế các công nghệ bảo mật cũ lạc hậu không an toàn…
Cùng với đó, NHNN đã tập trung triển khai một số giải pháp như: Giám sát các hệ thống thanh toán đảm bảo hoạt động an toàn, hiệu quả; tăng cường công tác đảm bảo an ninh, an toàn trong thanh toán điện tử; áp dụng các tiêu chuẩn an toàn bảo mật thanh toán theo chuẩn quốc tế (PCI-DSS, Tiêu chuẩn thẻ chip nội địa...); giám sát hoạt động các tổ chức cung ứng dịch vụ trung gian thanh toán đảm bảo hoạt động đúng quy định; tăng cường thanh tra, kiểm tra về an toàn, bảo mật trong thanh toán điện tử và thanh toán thẻ để đánh giá, phát hiện, cảnh báo sớm các rủi ro, xử lý các vi phạm pháp luật trong thanh toán điện tử, thanh toán thẻ; thường xuyên phối hợp với các cơ quan chức năng trong việc trao đổi thông tin, phòng, chống tội phạm trong hoạt động thanh toán thẻ, thanh toán điện tử và thông báo các phương thức, thủ đoạn mới của tội phạm trong thanh toán. Ngoài ra, NHNN cũng thường xuyên theo dõi, chỉ đạo, tăng cường kiểm tra, giám sát hoạt động thanh toán thẻ, ATM/POS và hoạt động cung ứng dịch vụ trung gian thanh toán; phát hiện, đề xuất xử lý kịp thời các vấn đề, rủi ro phát sinh, đặc biệt là tình hình dư luận được phản ánh qua các phương tiện thông tin đại chúng, góp phần đảm bảo hoạt động thanh toán thẻ, ATM/POS và hoạt động cung ứng dịch vụ trung gian thanh toán an toàn, hiệu quả, tuân thủ các quy định pháp luật cũng như góp phần giảm thiểu các sự cố gây bức xúc trong dư luận.
Tuy nhiên, việc đảm bảo an ninh, bảo mật trong thanh toán thẻ cũng cần sự tham gia của các bên liên quan đến thanh toán thẻ, không chỉ là ngân hàng mà còn là các tổ chức cung ứng dịch vụ trung gian thanh toán, đơn vị chấp nhận thanh toán, người dùng … để tạo dựng một chu trình bảo mật khép kín đáp ứng 9 yêu cầu trên đây. Các phân tích, khuyến nghị tại Báo cáo an ninh, bảo mật trong thanh toán thẻ 2019 của Verizon sẽ là những kinh nghiệm quý báu để chúng ta học tập, rút kinh nghiệm và hoàn thiện tốt hơn công tác an ninh, bảo mật trong thanh toán thẻ tại Việt Nam./.
VA-MĐ
(Tổng hợp từ Báo cáo “2019 Payment Security Report” của Verizon)