Sự tham gia của các tổ chức cung ứng dịch vụ thanh toán mới không phải là ngân hàng, tiến bộ công nghệ và gia tăng kết nối mạng đã khiến cho hoạt động thanh toán ngày nay có nhiều thay đổi. Đi kèm với sự thay đổi đó là sự gia tăng của mối đe dọa nguy hiểm: tội phạm mạng gia tăng. Kể từ sau đại dịch, cả khu vực nhà nước và tư nhân trên toàn cầu đều chứng kiến các cuộc tấn công mạng quy mô lớn, khiến hoạt động, uy tín và cơ sở dữ liệu của nhiều tổ chức gặp rủi ro.
Theo số liệu thống kê của Công ty Cyble (trụ sở chính tại Mỹ), trong đầu năm 2022, có gần 50 cơ quan nhà nước tại 21 quốc gia đã bị ảnh hưởng bởi 13 nhóm mã độc tống tiền (ransomware). Mặc dù các cuộc tấn công bằng phần mềm độc hại và ransomware không phải là hiện tượng mới, nhưng mối đe dọa và quy mô của chúng ngày càng tăng lên do tính chẩt liên kết giữa các yếu tố trong hệ sinh thái. Các vụ tấn công mạng xảy ra gần đây cho thấy các tổ chức, cả khu vực công và khu vực tư nhân, đều có nguy cơ bị tấn công mạng và bị đe dọa khiến cho các tổ chức, cá nhân liên quan của “nạn nhân” cũng có thể bị ảnh hưởng nghiêm trọng. Một công ty công nghệ tên SolarWinds đã bị tấn công năm 2020 và 18.000 khách hàng của họ có nguy cơ bị tin tặc tấn công; hay cuộc tấn công vào Công ty dẫn dầu Colonial Pipeline năm 2021 làm 100 gigabyte dữ liệu bị đánh cắp trong vòng hai giờ đã khiến nước Mỹ phải ban bố tình trạng khẩn cấp.
Các cuộc tấn công mạng đang trở nên thường xuyên hơn, tập trung hơn và phức tạp hơn. Tuy nhiên, nhiều tổ chức, ngay cả trong khu vực công, vẫn chưa nhận diện và chuẩn bị để tự bảo vệ mình một cách đầy đủ. Trong một cuộc khảo sát năm 2022, Công ty tư vấn Ernst & Young (EY) đã nêu lên một số con số đáng lo ngại: 56% giám đốc công ty được khảo sát không biết liệu hệ thống phòng thủ của họ có đủ mạnh trước chiến lược mới của tin tặc hay không và chỉ 21% tổ chức tin rằng họ có cách thức hoạt động hiệu quả để ngăn ngừa rủi ro; 75% các lỗi bảo mật vào năm 2023 sẽ xuất phát từ việc quản lý danh tính, quyền truy cập và quyền riêng tư không đầy đủ. EY cũng nêu lên tình trạng đáng báo động khi nhiều tổ chức hiện chưa có chiến lược và quy hoạch an ninh thông tin tổng thể hoặc nhiều tổ chức mặc dù đang triển khai áp dụng công nghê điện toán đám mây song lại chưa thiết lập các biện pháp kiểm soát bảo mật đám mây hữu hiệu.
Trong khi đó, hoạt động thanh toán số đang tăng trưởng một cách mạnh mẽ. Chỉ riêng hệ thống thanh toán Visa trong năm tài chính 2023 đã xử lý khoảng 212,6 tỷ giao dịch (tăng khoảng 6,03% so với năm 2022 và 18,27% so với năm 2021) trên toàn cẩu với giá trị giao dịch đạt 12.3 nghìn tỷ đô la (tăng 10,44% so với năm 2022 và 29,08% so với năm 2021). Bên cạnh sự gia tăng về khối lượng và giá trị giao dịch xử lý, thanh toán số ngày nay cũng đối mặt với nhiều rủi ro an ninh mạng, đó là sự kết nối và phụ thuộc lẫn nhau giữa các chủ thể trong hệ thống, sự ra đời của nhiều loại hình và phương thức thanh toán số mới. Với khối lượng và giá trị thanh toán nhiều như vậy, mối đe dọa về một cuộc tấn công mạng là rất lớn. Các công nghệ thanh toán dựa trên điện toán đám mây và ứng dụng công nghệ ngân hàng mở khiến các chủ thể cung cấp dịch vụ thanh toán trong hệ sinh thái phải đầu tư, thiết lập những biện pháp an ninh bảo mật thận trọng, cân bằng giữa việc áp dụng các giải pháp đổi mới sáng tạo với bảo mật dữ liệu khách hàng. Câu hỏi đặt ra là, với hệ sinh thái thanh toán số đang phát triển kết nối giữa các chủ thể tổ chức và cá nhân, giữa khu vực nhà nước và tư nhân, phải làm gì để đảm bảo an toàn và bảo vệ hệ sinh thái?
Các chuyên gia Visa cho rằng, để ngăn ngừa, phòng chống các hành vi vi phạm an ninh mạng, các cơ quan quản lý có thẩm quyền của mỗi quốc gia cũng như chủ sở hữu của mỗi tổ chức cần phải có chiến lược và kế hoạch bảo vệ hệ sinh thái thanh toán số của mình, tập trung vào ba điểm mấu chốt:
Duy trì an ninh, an toàn và hoạt động của hệ thống
Với vô số điểm kết nối, hệ thống thanh toán số luôn có nguy cơ đối mặt với rủi ro cả bên trong lẫn bên ngoài. Đối với các hệ thống thanh toán quốc gia và hệ thống được coi là tầm quan trọng đối với quốc gia, các hệ thống còn phải chịu rủi ro bởi các cuộc tấn công từ nước ngoài, từ cộng đồng hacker và các rủi ro đạo đức. Vì vậy, đòi hỏi phải có sự giám sát liên tục các giao dịch diễn ra trên hệ thống và xác định kịp thời các mô hình và xu hướng gian lận, ngay cả trước khi an ninh hệ thống bị xâm phạm.
Thiết lập tiêu chuẩn bảo mật
Do hệ sinh thái thanh toán được đổi mới và cải tiến hơn rất nhiều so với trước đây nên đòi hỏi các quy định và tiêu chuẩn về bảo mât cũng cần cập nhật và thay đổi kịp thời. Để làm được điều này một cách hiệu quả, cần có sự phối hợp và phân định trách nhiệm rõ ràng giữa cơ quan quản lý và chủ sở hữu, đơn vị vận hành hệ thống và các bên tham gia. Nếu không có công nghệ hỗ trợ với hiệu quả cao nhất cho hệ thống hoạt động thông suốt, an toàn từ đầu đến cuối thì mọi người tham gia hệ thống, từ người vận hành đến khách hàng hay bên thứ ba đều có thể bị ảnh hưởng.
Đảm bảo an ninh tài chính
Thiệt hại bởi tội phạm mạng càng lớn cho thấy tính chất và quy mô tội phạm ngày càng nghiêm trọng. Các chuyên gia Visa dự đoán các thiệt hại này sẽ vượt con số 10 nghìn tỷ USD vào năm 2025, cao hơn gấp ba lần so với năm 2015. Con số 6 nghìn tỷ USD thiệt hại trong năm ngoái cho thấy số tiền mà tội phạm mạng thu được có thể tạo ra “nền kinh tế” tương đương với nền kinh tế lớn thứ ba trên thế giới, sau Mỹ và Trung Quốc. Để ngăn chặn, giảm bớt đáng kể những rủi ro, thiệt hại do tội phạm mạng gây ra, việc quan trọng cần làm là cơ quan quản lý, tổ chức vận hành hệ thống phải chuyển dịch ưu tiên đầu tư từ bảo trì và vận hành hệ thống sang đầu tư cho trí tuệ và công nghệ nhằm bảo vệ hệ thống khỏi các mối đe dọa của tội phạm mạng, nhất là các điểm nút dễ bị tấn công.
Vai trò của cơ quan quản lý
Trong hệ sinh thái thanh toán số, mối đe dọa đối với một người cũng là mối đe dọa đối với tất cả. Các chính sách và các biện pháp phù hợp và hiệu quả được chính phủ và cơ quan quản lý thực hiện để bảo đảm an ninh an toàn bảo mật cho hệ sinh thái thanh toán số sẽ làm giảm mối đe dọa tới các thành phần khác tham gia hệ thống. Mặc dù ý tưởng hợp tác trong lĩnh vực an ninh an toàn bảo mật mạng có thể không phải là một khái niệm mới, nhưng nó đang ngày càng trở nên quan trọng hơn và đáng chú ý hơn sau mỗi cuộc tấn công. Để phát triển mạnh mẽ và an toàn trong bối cảnh tội phạm mạng đe dọa hàng ngày, cần có sự thống nhất, hợp tác trong lĩnh vực bảo vệ an toàn thông tin mạng, không chỉ trong mỗi quốc gia, mỗi tổ chức mà còn cần có sự hợp tác giữa các bên, giữa nhà nước và tư nhân, giữa cơ quan quản lý và đơn vị vận hành.
Nói tóm lại, sự hợp tác giữa khu vực công và tư, cùng với sự tham gia của các chuyên gia về an ninh bảo mật, sẽ cho phép khu vực công và nhà nước trước hết tạo lập được một tiêu chuẩn bảo vệ nhất quán, tiên tiến, phù hợp; và việc đầu tư, thiết lập sự hợp tác này được coi là khoản đầu tư hiệu quả bởi còn nhỏ hơn nhiều so với với những tổn thất và chi phí khắc phục hậu quả của các cuộc tấn công mạng trong tương lai và những tác động về sau. Điều quan trọng hơn bao giờ hết, làm thế nào để các cơ quan quản lý nhà nước, các tổ chức có thể triển khai và lồng ghép một cách có hiệu quả những khuyến nghị của các chuyên gia trong một chiến lược hay đề án công nghệ thông tin để có bước đi phù hợp trong tương lai. Vừa qua, Thống đốc Ngân hàng Nhà nước Việt Nam đã ký Quyết định số 234/QĐ-NHNN ngày 19/02/2024 ban hành Chiến lược phát triển các hệ thống thanh toán Việt Nam đến năm 2030. Chiến lược đã đưa ra nhiều nhiệm vụ và giải pháp đồng bộ, trong đó có việc đảm bảo an ninh, an toàn, bảo mật hệ thống thanh toán với các nội dung cụ thể: (i) Xây dựng, triển khai Khung quản lý rủi ro toàn diện đối với các hệ thống thanh toán trên cơ sở tuân thủ quy định pháp luật về đảm bảo an ninh, an toàn hệ thống công nghệ thông tin; (ii) Áp dụng chính sách đảm bảo an ninh, an toàn, bảo mật dữ liệu, chính sách chống tấn công mạng, chính sách phục hồi rủi ro an ninh mạng; áp dụng các biện pháp, giải pháp công nghệ nhằm đảm bảo an toàn, bảo mật dữ liệu thanh toán của khách hàng qua các hệ thống thanh toán; (iii) Thường xuyên dự báo tốc độ tăng trưởng và xây dựng kế hoạch phát triển, nâng cấp hệ thống thanh toán, hệ thống công nghệ và an ninh bảo mật đảm bảo các hệ thống thanh toán hoạt động thông suốt, an toàn, đáp ứng nhu cầu thanh toán ngày càng tăng của nền kinh tế; (iv) Thúc đẩy cơ chế phối hợp, trao đổi thông tin kịp thời giữa các tổ chức vận hành các hệ thống thanh toán, các thành viên, các cơ quan có thẩm quyền và các bên liên quan khác để kịp thời xử lý tra soát, khiếu nại của khách hàng, đảm bảo quyền, lợi ích hợp pháp của người sử dụng dịch vụ thanh toán, dịch vụ trung gian thanh toán; (v) Nghiên cứu, triển khai ứng dụng dữ liệu dân cư quốc gia, khai thác hiệu quả các nguồn dữ liệu tin cậy khác và ứng dụng công nghệ phân tích dữ liệu lớn trong nhận biết, xác minh thông tin khách hàng, làm sạch dữ liệu khách hàng.
Chiến lược - kim chỉ nam cho việc phát triển hệ thống thanh toán Việt Nam đến năm 2030 đã thể hiện tầm nhìn dài hạn, đảm bảo sự phát triển tổng thể, bền vững của hệ sinh thái thanh toán số trong một định hướng tổng thể chung, giúp hoạt động thanh toán Việt Nam xác định được hướng đi của mình một cách toàn diện, tổng quát: phát triển các hệ thống thanh toán Việt Nam đồng bộ, hiện đại, xử lý xuyên suốt liền mạch để cung cấp các dịch vụ thanh toán an toàn, tức thời với chi phí hợp lý, đáp ứng tốt nhu cầu thanh toán của người dân, doanh nghiệp, cơ quan, tổ chức và sẵn sàng kết nối thanh toán xuyên biên giới.
VA
Nguồn: Visa, EY