Tiếng chuông cảnh tỉnh về quản trị NH
Mới đây, trên mạng xã hội ở Việt Nam lan truyền tấm hình chụp màn hình máy tính sao kê tài khoản NH của một nghệ sĩ nổi tiếng liên quan đến vụ việc đang thu hút nhiều dư luận.
Dù NH đã thừa nhận nhân viên của mình phát tán, nhưng đây là tiếng chuông cảnh tỉnh với những người đang làm trong lĩnh vực NH, cũng như lãnh đạo của các tổ chức này.
Trong thời đại công nghệ thông tin, bảo mật dữ liệu của khách hàng có thể nói là quan trọng nhất đối với các NH. Trước đây, uy tín của các NH nằm ở sự vững chãi của các két sắt, được đào sâu dưới hầm, qua nhiều lớp cửa thép dày cộp, chống được cháy nổ và cả động đất.
Ngày nay đó là hệ thống bảo mật của NH. Bởi vì phần lớn các tài sản, các khoản nợ được lưu giữ dưới dạng các con số, các dòng dữ liệu. Việc dữ liệu khách hàng bị tiết lộ thường được coi là tai nạn (incident) của hệ thống bảo mật, do lỗi không có chủ ý của con người, hay do bị tấn công từ bên ngoài.
Nhưng rủi ro bảo mật không chỉ đến từ hệ thống công nghệ thông tin. Có 3 nơi rủi ro bảo mật phát sinh, đó là từ góc độ quản trị NH (governance) liên quan đến quy trình, sự giám sát, hệ thống thông tin (information systems), và tác nghiệp hàng ngày (operations).
Vụ việc trên cho thấy lỗi trong tác nghiệp của nhân viên, có liên quan đến vấn đề quản trị của NH. Lẽ thường, khi ký hợp đồng làm việc, trong các điều khoản hợp đồng dĩ nhiên phải có các điều nhân viên không được làm, chưa kể các chuẩn mực nghề nghiệp (business ethics) của ngành.
Và như vậy đây không là lỗi hoàn toàn của nhân viên, NH cũng có trách nhiệm liên đới trong việc đào tạo thường xuyên, cũng như giám sát.
Hệ lụy của việc dữ liệu khách hàng bị tiết lộ là nghiêm trọng ở nhiều cấp độ khác nhau. Chẳng hạn, NH phải chịu trách nhiệm về các khoản thiệt hại phát sinh do tài khoản khách hàng bị tấn công riêng lẻ, hay cả hệ thống thông tin của NH là con mồi của hacker.
Thiệt hại quan trọng cũng không kém đó chính là uy tín của NH. Là khách hàng, không ai muốn gửi tiền hay làm ăn với NH mà “nhà cửa” lỏng lẻo. Các đối tác quan trọng càng không.
NH cũng lúng túng
NH cũng lúng túng
| Dữ liệu của khách hàng trong các NH là sự sống còn của các NH. Việc bảo mật chính là hình thức “két sắt” thế hệ mới, và uy tín nằm ở hệ thống, cũng như ý thức, kỹ năng của những người đang nắm giữ chìa khóa. |
Cơ quan quản lý nhà nước cũng yêu cầu các NH thực hiện KYC, chủ yếu cho mục đích chống rửa tiền, các hoạt động phi pháp.
Nhưng khi dữ liệu của khách hàng tăng, tích hợp từ nhiều nguồn, nhiều hệ thống với tiêu chuẩn hay định dạng không đồng nhất, là thách thức rất lớn cho hệ thống thông tin của NH. Bởi càng từ nhiều nguồn, nhiều “lối vào” càng có nhiều điểm hở sườn, nhiều chỗ có thể bị khoét lỗi bảo mật.
Việc thu thập các dữ liệu của khách hàng cũng gặp sự phản ứng nhất định từ họ bởi quyền riêng tư.
Ở nhiều nước phát triển, như châu Âu với Luật về bảo vệ dữ liệu chung năm 2016 (General Data Protection Regulation 2016/679 aka. GDPR), là sự thay đổi rất lớn từ các nhà cung cấp dịch vụ nói chung và lĩnh vực NH nói riêng. Có những dữ liệu, hiện nay NH muốn thu thập phải được sự đồng ý của khách hàng.
Tóm lại, dữ liệu của khách hàng trong các NH là sự sống còn của các NH. Việc bảo mật chính là một hình thức “két sắt” thế hệ mới, và uy tín là nằm ở hệ thống, cũng như ý thức, kỹ năng của những người đang nắm giữ chìa khóa.
NH trong nước cần lưu ý
Trong rủi ro bảo mật dữ liệu của khách hàng, các NH nội địa cạnh tranh với nhau về công nghệ và hầu như không có sự khác biệt lớn giữa các NH trong cùng một nhóm, chẳng hạn các NH lớn đều đủ nguồn lực để trang bị hệ thống tốt nhất.
Thậm chí, những NH đi sau còn có lợi thế hơn vì chi phí công nghệ giảm theo thời gian. Vấn đề đối với bảo mật dữ liệu, vì vậy chủ yếu nằm ở hệ thống quản trị của NH, cũng như trong quá trình tác nghiệp hàng ngày.
Trong quản trị, bên cạnh các quy trình, hệ thống giám sát, nhận thức của lãnh đạo về vấn đề bảo mật cực kỳ quan trọng. Không chỉ đầu tư xác đáng cho hệ thống công nghệ thông tin, người lãnh đạo phải luôn theo dõi sát sao vấn đề này, coi đây là nhiệm vụ quan trọng của mình. Vì vậy, cần có sự chỉ đạo nhất quán, phối hợp giữa các phòng ban của NH, xem đây là hoạt động cốt lõi của NH.
Trong quá trình tác nghiệp hàng ngày, đó là ý thức và kỹ năng của các nhân viên. Việc đào tạo huấn luyện định kỳ, liên tục hết sức cần thiết cho mọi nhân viên, đặc biệt các chức năng quyền hạn theo vị trí việc làm.
Nếu ý thức được mức độ nghiêm trọng của việc công bố tài khoản của khách hàng, không nhân viên nào lại dám bốc đồng như vậy, chưa kể bên cạnh xử lý nội bộ, còn có thể bị liên đới đến các quy định pháp luật.
