Tài chính tiêu dùng số: Lỗ hổng bảo mật thông tin

Tuy nhiên, điều này cũng tạo ra nhiều thách thức đối với các đơn vị kinh doanh trong việc bảo mật dữ liệu của khách hàng, và người dùng phải chấp nhận “sống chung” với việc thông tin cá nhân dễ bị lộ.

Tràn lan trang mạng lừa đảo toàn cầu

Đầu tháng 9, British Airways, hãng vận chuyển hàng không nước Anh cho biết đang điều tra hành vi trộm cắp dữ liệu khách hàng từ trang web và ứng dụng di động của họ.

Theo British Airways, thông tin chi tiết cá nhân và tài chính của khách hàng đã đặt chỗ trên trang web hoặc ứng dụng của hãng từ 10 giờ 58 phút tối 21-8 đến 9 giờ 45 phút tối 5-9 đã bị xâm phạm. Có khoảng 380.000 thẻ tín dụng đã bị lộ. British Airways đã xin lỗi về sự cố này và khẳng định rất coi trọng dữ liệu của khách hàng. Họ đã làm việc với khách hàng và đề nghị những người bị ảnh hưởng liên hệ với ngân hàng (NH) hoặc nhà cung cấp thẻ tín dụng để được giải quyết. 

Mới đây, một hacker tại Trung Quốc cũng rao bán 240 triệu thông tin của 130 triệu khách hàng (số điện thoại, địa chỉ email, tài khoản NH, thông tin đặt phòng) tại Huazhu Hotels Group, một trong những chuỗi khách sạn lớn nhất nước với hơn 3.800 khách sạn lớn nhỏ ở khắp 382 tỉnh thành. Huazhu Hotels Group đã thông báo thông tin này và cơ quan an ninh đã  nhanh chóng vào cuộc.

Những vụ việc điển hình trên cho thấy, bên cạnh việc đánh cắp thông tin khách hàng, các trang mạng lừa đảo cũng tràn lan trên thế giới. Trong quý II-2018, công nghệ anti-phishing (chống lừa đảo) của Kaspersky Lab, đã ngăn chặn được hơn 107 triệu lượt truy cập vào các trang mạng lừa đảo, trong đó 35,7% các trang tấn công có liên quan đến các dịch vụ tài chính.

Theo Kaspersky Lab, bằng cách tạo ra các trang giả mạo NH, thanh toán hoặc các trang mua sắm, hacker có thể đánh cắp thông tin của các nạn nhân như tên, mật khẩu, địa chỉ email, số điện thoại, số thẻ tín dụng và mã PIN. Những cuộc tấn công này thường nhắm vào khách hàng của các tổ chức tài chính như NH, hệ thống thanh toán và các giao dịch mua bán trực tuyến. 

Báo cáo mới nhất của Wall Street Journal cho biết, trước đây Facebook đã liên hệ với một số NH lớn tại Hoa Kỳ như Chase, JPMorgan, Citibank và Wells Fargo, yêu cầu cung cấp dữ liệu khách hàng, bao gồm các giao dịch thẻ, thói quen mua sắm và cả số dư tài khoản. Các dữ liệu này sẽ phục vụ cho dịch vụ tài chính mới trên ứng dụng Messenger. Với hơn 1,3 tỷ người dùng, nếu hợp tác với Facebook, các NH này sẽ có thêm lượng lớn khách hàng mới.

Tuy nhiên, sau vụ Facebook để xảy ra việc Cambridge Analytica thu thập thông tin nhận dạng cá nhân của 87 triệu người sử dụng, niềm tin vào mức độ bảo mật của mạng xã hội này đang bị giảm sút mạnh. Vì thế, trước đề nghị này, JPMorgan khẳng định không chia sẻ dữ liệu khách hàng với bất kỳ nền tảng nào.

“Sống chung” với hacker
Việc hacker thu thập thông tin khách hàng là chuyện xảy ra thường ngày trên thế giới. Tuy nhiên, cách xử lý đối với khách hàng của các doanh nghiệp (DN) nước ngoài rất chuyên nghiệp. Tại Việt Nam, những ngày qua việc lộ thông tin khách hàng cũng đang nóng lên, sau khi hacker tung ra thông tin của khách hàng được cho lấy từ hệ thống Thế Giới Di Động, bao gồm cả một số thông tin thẻ tín dụng.

Hiện có khoảng 58 triệu người dùng internet và các NH, công ty fintech đang ngày càng mở rộng cung cấp dịch vụ thanh toán khá tốt. Tuy nhiên, số lượng người mua hàng trực tuyến và thanh toán trực tuyến rất ít. Cụ thể, chỉ khoảng 20% đơn hàng được thanh toán trực tuyến, còn lại 80% thanh toán khi mua hàng vì chưa đủ niềm tin. Ông Nguyễn Thanh Hưng,  Chủ tịch Hiệp hội Thương mại điện tử Việt Nam

Nhưng liên quan đến sự việc, phản ứng của Thế Giới Di Động chỉ phát đi thông cáo báo chí phủ nhận để lộ thông tin khách hàng. Cục An toàn Thông tin (Bộ Thông tin - Truyền thông) thì khẳng định Thế Giới Di Động không bị tấn công. Hội thẻ Việt Nam trấn an khách hàng rằng dù lộ số thẻ hacker cũng khó lấy được tiền, vì muốn giao dịch phải có mã số bí mật (CVV).

Với các NHTM im hơi lặng tiếng trước thông tin này, lãnh đạo NH chia sẻ qua phỏng vấn báo chí, nhưng kèm theo đề nghị giấu tên. Và cho đến thời điểm này, thông tin trên vẫn còn được cơ quan chức năng kiểm tra, rà soát để chứng thực.

Lo sợ rủi ro, những người từng thanh toán bằng thẻ tín dụng tại đây đã khóa tính năng thanh toán trực tuyến, thậm chí khóa thẻ tạm thời để tự bảo vệ mình.

Vụ việc trên chưa lắng xuống, mới đây hacker tung thêm thông tin được cho là lấy từ hệ thống bán lẻ Con Cưng và FPT Shop. Theo lời hacker, các dữ liệu được tung ra chỉ là phần nhỏ trong dữ liệu đã chiếm được và sẽ bán với giá tốt, hoặc giao dịch với ai muốn trao đổi hàng hóa. Tuy nhiên, các đơn vị nói trên không có bất kỳ phản hồi về thông tin này.

Theo thông tin từ Cục An toàn Thông tin, thông tin khách hàng FPT Shop bị hacker công bố chỉ là thông tin mẫu để thử nghiệm, hiện chứa mã độc nên người dùng không nên tải về. Cơ quan này cũng nhận định xu hướng tấn công mạng để khai thác thông tin cá nhân của người dùng đang ngày trở nên phổ biến hơn. Rõ ràng việc này gây ảnh hưởng đến niềm tin của người tiêu dùng, cản trở nỗ lực khuyến khích thanh toán không dùng tiền mặt của Chính phủ.

Theo TS. Nguyễn Trí Hiếu, chuyên gia tài chính NH, vấn đề bảo mật thông tin kể cả ở Hoa Kỳ cũng có lỗ hổng, nhưng các quy định bảo vệ thông tin khách hàng hết sức nghiêm ngặt. Các công ty bán lẻ nhận được những thông tin về tên khách hàng, thẻ tín dụng, thẻ NH phải tuyệt đối giữ bí mật. Nếu làm lộ, khách hàng sẽ khởi kiện và NH phải bồi thường số tiền rất lớn. Để phòng chống rủi ro, NH và các công ty bán lẻ phải thường xuyên nâng cấp hệ thống.

Trong khi tại Việt Nam, người dân đang phải sống chung với hacker về vấn đề bảo mật thông tin cá nhân. Bởi dù vấn đề này đã được quy định trong luật nhưng chưa được quan tâm. Đặc biệt nhiều DN bỏ lơ điều này, nên nhân viên thường bán thông tin vô tội vạ. Bằng chứng là thông tin cá nhân được rao bán, trao đổi tràn lan trên mạng, thậm chí vừa thực hiện xong một giao dịch, khách hàng liên tục bị nhắn tin gọi điện.

Bảo mật là yêu cầu cấp thiết
Hiện fintech đang phát triển với tốc độ rất nhanh, nhưng mức độ bảo mật của fintech đến đâu vẫn chưa có nhiều thông tin. Thậm chí ứng dụng ví điện tử Zalo Pay còn cho phép đăng nhập bằng Zalo của chính người dùng không cần bước xác thực mật khẩu, vân tay. Như vậy, nếu mất thiết bị di động, người khác dễ dàng mở ví Zalo Pay để chuyển tiền từ tài khoản liên kết vào ví để sử dụng. 

Theo nhiều chuyên gia, khi NH và các công ty fintech bắt tay hợp tác, khó khăn nằm ở sự đồng thuận để chia sẻ thuật toán giữa 2 bên, và làm sao để bảo vệ được thông tin dữ liệu NH đã xây dựng qua nhiều năm. Tuy vậy, trong quá trình chuyển đổi công nghệ, các dự án đầu tư vào bảo mật của NH vẫn tập trung vào mua sắm thiết bị, chưa đầu tư vào nguồn nhân lực, nhân sự hiện tại những kỹ năng cần thiết về bảo mật.

Tháng 8 vừa qua, NHNN đã ban hành Thông tư 18 quy định về an toàn hệ thống thông tin trong hoạt động NH, có hiệu lực từ đầu năm 2019. Trong đó quy định rõ về vấn đề quản lý dịch vụ giao dịch trực tuyến, yêu cầu đối với hệ thống thông tin của tổ chức bảo đảm tính toàn vẹn của dữ liệu trao đổi với khách hàng trong giao dịch trực tuyến.

Đây là quy định cần thiết, bởi theo Hiệp hội An toàn Thông tin Việt Nam (VNISA), năm 2017 các TCTD và NH đạt chỉ số an toàn thông tin 59,9%, trong đó nhóm 25 NH có chỉ số đạt 60,9%, các TCTD khác 55,4%. Con số này còn thấp so với yêu cầu cấp bách về an toàn thông tin mạng đặt ra. 

Bảo mật thông tin khách hàng là yêu cầu quan trọng trong thời đại số để phòng ngừa rủi ro. Theo đó, cần có quy định chặt chẽ hơn để NH và DN nâng cao trách nhiệm trong vấn đề này. Đối với lĩnh vực tài chính NH, khi công nghệ ngày càng thâm nhập sâu, nguy cơ sự bị tấn công trong môi trường mạng càng cao, do đó yêu cầu bảo mật thông tin khách hàng ngày càng trở nên bức thiết.