Ngành ngân hàng nói chung và các ngân hàng thương mại nói riêng đang đẩy nhanh chuyển đổi số mọi mặt hoạt động, nâng cao khả năng cung cấp sản phẩm dịch vụ hiện đại, đáp ứng tốt hơn nữa nhu cầu của khách hàng.
Theo ông Nguyễn Viết Hòa, Trưởng ban Thông tin cộng đồng, Liên minh Blockchain Việt Nam (Hội Truyền thông số Việt Nam), ngành tài chính - ngân hàng luôn có mối quan hệ mật thiết với việc xây dựng, quản lý và vận hành hệ thống dữ liệu, từ những phương tiện sơ khai như sổ sách ghi chép, tới các hệ thống core banking đang lưu trữ hàng tỉ bản ghi mỗi ngày.
“Trong dòng chảy đó, bảo mật dữ liệu luôn đóng vai trò then chốt nhằm bảo vệ cho toàn bộ hệ thống hoạt động an toàn, minh bạch và hiệu quả. Thực tế là các đơn vị trong và ngoài ngành đã và đang phát triển nhiều giải pháp nhằm hạn chế tối đa những lỗ hổng và nguy cơ tấn công gây mất an toàn dữ liệu”, ông Hòa nhận định.
CÁC GIẢI PHÁP BẢO MẬT DỮ LIỆU PHỔ BIẾN
Theo ông Hòa, các giải pháp bảo mật dữ liệu được các ngân hàng triển khai tại Việt Nam có thể được chia thành năm nhóm phổ biến.
Thứ nhất, phòng chống gian lận: Phòng ngừa các giao dịch trái phép, giao dịch mạo danh hoặc giao dịch giả mạo trang mục tiêu nhằm đánh cắp danh tính. Giải pháp cho vấn đề này là các phương pháp như xác thực hai yếu tố, sinh trắc học vân tay, xác thực 3D khuôn mặt.
Thứ hai, kiểm soát rủi ro dữ liệu: Xây dựng hệ thống giám sát, cảnh báo hành vi bất thường trong việc truy xuất dữ liệu, chủ yếu tập trung vào các nhóm thông tin nhạy cảm như thông tin định danh cá nhân, lịch sử giao dịch và các thông tin tài chính liên quan.
Thứ ba, bảo mật hạ tầng mạng lưới: Áp dụng các tiêu chuẩn mới nhất, cập nhật thường xuyên các bản vá, quy trình liên quan tới hoạt động của hệ thống liên lạc, truyền dữ liệu, mã hóa thông tin giữa các bên liên quan trong giao dịch ngân hàng.
Thứ tư, phòng chống tấn công lừa đảo (phishing): Cùng với sự phát triển của công nghệ, các phương pháp tấn công lừa đảo ngày càng tinh vi với việc sử dụng các công nghệ tiên tiến như “deepfake AI”. Biện pháp đối phó chủ yếu nằm ở việc phổ cập, nâng cao hiểu biết về các dấu hiệu nghi ngờ.
Thứ năm, phòng chống thất thoát và can thiệp dữ liệu bất hợp pháp: Các hình thức tấn công như tiêm nhiễm mã độc nhằm đánh cắp, thay đổi thông tin trái quy định có thể được phòng chống thông qua việc áp dụng công nghệ mã hoá tiên tiến như blockchain để phân tán dữ liệu lưu trữ và ngăn chặn quyền ghi đè thông tin bất hợp pháp, đảm bảo tính toàn vẹn của dữ liệu giao dịch.
Ông Hòa cho biết, hiện nay đã nhiều bộ tiêu chuẩn quốc tế mà ngân hàng Việt Nam có thể áp dụng nhằm nâng cao chuẩn mực về kiểm soát rủi ro nói chung và bảo mật thông tin nói riêng. “Tuy nhiên, sẽ cần nhiều đóng góp hơn nữa từ các tình huống thực tế để đảm bảo tính cập nhật và hiệu quả trong bối cảnh công nghệ liên tục phát triển và biến đổi”, ông nhấn mạnh.
CẦN ĐẢM BẢO QUYỀN RIÊNG TƯ DỮ LIỆU
Song hành với bảo mật dữ liệu (data security) là việc thực thi quyền riêng tư dữ liệu (data privacy). Theo Tiến sĩ Phạm Nguyễn Anh Huy, Sáng lập viên Trung tâm Fintech-Crypto tại Đại học RMIT Việt Nam, mặc dù Nghị định 13/2023/NĐ-CP (có hiệu lực từ ngày 1/7/2023) đã đưa ra hành lang pháp lý về bảo vệ dữ liệu cá nhân, song việc áp dụng nghị định này trong hệ thống tài chính - ngân hàng dự kiến sẽ cần nhiều thời gian.
“Để có thể tuân thủ triệt để các quy định trong Nghị định 13, các tổ chức tài chính và ngân hàng cần tăng cường kiểm soát việc xử lý và lưu trữ dữ liệu cá nhân từ cấp độ nhân viên vì họ thường xuyên tiếp xúc, trao đổi trực tiếp với khách hàng – có thể thông qua điện thoại cá nhân – nên rất dễ xảy ra vi phạm nghiêm trọng về việc bảo vệ dữ liệu cá nhân. Chẳng hạn, thông tin cá nhân của khách hàng được truyền từ nhân viên công ty chứng khoán này sang nhân viên công ty chứng khoán khác mà không được sự đồng ý của khách hàng”, Tiến sĩ Huy cho biết.
Đồng thời, với sự phát triển của trí tuệ nhân tạo (AI), trí tuệ nhân tạo tạo sinh (generative AI) và các ứng dụng của chúng trong hệ thống tài chính - ngân hàng, một mối quan ngại ngày càng lớn là liệu thông tin cá nhân của khách hàng liệu có được sử dụng hợp pháp trong việc đào tạo AI.
“Các chủ thể dữ liệu có được toàn quyền kiểm soát thông tin cá nhân của mình nếu các tổ chính tài chính và ngân hàng ứng dụng AI trong hệ thống của họ? Nếu các tổ chức này sử dụng trái phép dữ liệu khách hàng cho việc đào tạo AI thì chủ thể dữ liệu sẽ theo dõi và khởi kiện như thế nào?” Tiến sĩ Huy gợi hỏi.
Vị chuyên gia Đại học RMIT cho biết trên danh nghĩa, chủ thể dữ liệu có thể yêu cầu các tổ chức không được phép sử dụng hoặc loại bỏ thông tin cá nhân của mình khi đào tạo các mô hình AI.
Một ví dụ điển hình là công cụ ChatGPT thuộc công ty OpenAI bị cấm trong một thời gian ngắn ở Italia cho đến khi công ty này cung cấp các giải pháp cho phép chủ thể dữ liệu ở Italia đồng ý hoặc từ chối việc sử dụng dữ liệu cá nhân trong việc đào tạo AI.
Tuy nhiên, không giống như các công cụ tìm kiếm như Google, các yêu cầu này không dễ thực hiện vì AI tạo sinh như các mô hình ngôn ngữ lớn thường không thể truy xuất hoặc loại bỏ các phần thông tin cụ thể theo lệnh. Hơn nữa, các mô hình ngôn ngữ lớn phổ biến hiện tại cũng không minh bạch vì các mô hình này chủ yếu là các “hộp đen” và người dùng không biết rõ các câu trả lời được hình thành như thế nào.
“Do đó, Chính phủ và các cơ quan chức năng cần có hướng dẫn và quy định cụ thể về việc sử dụng dữ liệu cá nhân trong việc đào tạo AI trong lĩnh vực tài chính - ngân hàng, đồng thời khuyến khích các tổ chức tài chính và ngân hàng ứng dụng các mô hình AI có trách nhiệm và có thể giải thích được”, Tiến sĩ Huy kết luận.