ĐỀ XUẤT MÔ HÌNH BẢO ĐẢM AN NINH MẠNG TRONG LĨNH VỰC NGÂN HÀNG
TẠI VIỆT NAM: CÁCH TIẾP CẬN TỪ CÁC BÊN LIÊN QUAN
1. Đặt vấn đề
Lĩnh vực ngân hàng đã trải qua sự thay đổi mô hình vận hành và kinh doanh khi công
nghệ được ứng dụng và phát triển. Để tăng cường các cơ sở khách hàng, ngân hàng đã giới thiệu
nhiều nền tảng để thông qua đó, các giao dịch có thể được thực hiện dễ dàng. Những công nghệ
này cho phép khách hàng truy cập vào tài chính ngân hàng của họ 24/7 và hàng năm, ATM và
các dịch vụ ngân hàng trực tuyến. Công nghệ thông tin (CNTT) đã trở thành một phần quan
trọng của hệ thống ngân hàng. Nếu như ngân hàng được xem là xương sống của nền kinh tế, thì
CNTT đã trở thành xương sống của hệ thống ngân hàng. Các ngân hàng gần như không thể cung
cấp các sản phẩm tài chính mới mà không phụ thuộc nhiều vào CNTT. Lĩnh vực ngân hàng đang
đưa ra những thay đổi tiến bộ khác nhau để chuyển đổi các chi nhánh ngân hàng có trụ sở văn
phòng truyền thống thành một khuôn khổ tiên tiến về "giải pháp ngân hàng cốt lõi", hướng tới
ngân hàng điện tử. Do đó, ngân hàng cũng đối mặt với những thách thức đến từ gian lận, tấn
công của tội phạm công nghệ cao với nhiều thủ đoạn ngày càng tinh vi hơn. Ngành dịch vụ tài
chính ngân hàng phải đối mặt với các cuộc tấn công mạng gần gấp ba lần so với bất kỳ ngành
nào khác. Ngoài ra, các ngân hàng cũng sở hữu dữ liệu của hàng triệu người dùng nên tội phạm
sử dụng công nghệ cao (TPSDCNC) có nhiều nguồn để kiếm lợi nhuận thông qua tống tiền, trộm
cắp và lừa đảo. Các cuộc tấn công mạng có thể tàn phá các tổ chức tài chính ngân hàng, khiến
thông tin khách hàng nhạy cảm và dữ liệu tài chính quan trọng gặp rủi ro. Các ngân hàng cũng
khó lấy lại niềm tin của khách hàng và sửa chữa danh tiếng bị tổn hại nếu họ trở thành nạn nhân
của một cuộc tấn công mạng. Ngày càng nhiều tổ chức dịch vụ tài chính đang hoạt động trong
tình trạng bị tấn công liên tục, khiến các nhóm bảo mật và CNTT bị thách thức trong khả năng
thu thập, phổ biến và giải thích các sự kiện độc hại.
Một cuộc tấn công mạng là bất kỳ hình thức tấn công nào của các quốc gia, nhóm, cá nhân
hoặc tổ chức nhắm vào các hệ thống máy tính, cơ sở hạ tầng, mạng máy tính... bằng nhiều cách
khác nhau. Tấn công mạng của các tin tặc ngày càng trở nên phức tạp và nguy hiểm đối với an
ninh mạng của mỗi quốc gia và quyền lợi của người dùng (Uma & Padmavathi, 2011). Tội phạm
mạng là liên tục, không suy giảm và không thể dừng lại vì dễ thực hiện, đem lại nhiều lợi lộc; cơ
hội bị bắt và trừng phạt quá thấp do nhiều khách hàng không thực hiện các biện pháp bảo vệ cơ
bản nhất, và nhiều sản phẩm công nghệ thiếu phòng thủ đầy đủ, trong khi tội phạm mạng ngày

càng tinh vi về công nghệ và đã nhanh chóng chuyển sang sử dụng đám mây điện toán, trí tuệ
nhân tạo, phần mềm dưới dạng dịch vụ và mã hóa (Gercke, 2012; Lewis, 2018).
Với sự lan rộng bùng nổ của Internet và các giao dịch tài chính điện tử, dịch vụ bảo mật
trực tuyến đã trở thành một yêu cầu thiết yếu và là một thước đo mới quan trọng trong việc đánh
giá năng lực cạnh tranh của dịch vụ ngân hàng trực tuyến. Theo đó, các ngân hàng bắt buộc phải
cung cấp một môi trường ngân hàng trực tuyến an toàn dựa trên các quy trình bảo mật nâng cao.
Ngân hàng an toàn trong tương lai với việc phòng ngừa chủ động, và các lớp phòng thủ độc đáo
hơn để bảo vệ tài sản của mình và khách hàng sẽ phải sử dụng nhiều công nghệ, đặc biệt là công
nghệ ứng dụng trí tuệ nhân tạo để chủ động ngăn chặn các vi phạm tiềm ẩn và mất dữ liệu
(Khrais, 2015; Bening, 2019).
Nghiên cứu của Gupta, Walp và Sharman (2012) cho thấy các tổ chức, trên toàn thế giới,
đã áp dụng các phương pháp tiếp cận thực tế và ứng dụng để giảm thiểu rủi ro và quản lý chương
trình bảo mật thông tin. Việc xem xét sự phức tạp của một môi trường CNTT phân tán, quy mô
lớn, bảo mật cần được chủ động lên kế hoạch và chuẩn bị trước, thay vì sử dụng như các phản
1


ứng đối với những thay đổi trong bối cảnh. Do đó, nghiên cứu tiếp cận phòng chống tội phạm
mạng từ vấn đề bảo mật thông tin và xác định các bên liên quan đến phòng chống tội phạm mạng
nhằm đề xuất mô hình bảo đảm an ninh mạng trong lĩnh vực ngân hàng tại Việt Nam.
2. Lý thuyết tiếp cận các bên liên quan đến hiệu quả an ninh mạng
Theo Hoepers, Steding-Jessen và Faulhaber (2014), cách tiếp cận nhiều bên liên quan đến
hiệu quả an ninh mạng được áp dụng dựa trên thực tế cho thấy hầu hết các mối đe dọa bảo mật
Internet đang ngày càng phức tạp, ảnh hưởng đến nhiều lĩnh vực cùng một lúc và đòi hỏi các nỗ
lực phối hợp để được phát hiện và giảm thiểu hiệu quả. Điều này đặc biệt đúng với các sự cố liên
quan đến máy tính ma, thư rác, phần mềm độc hại và DDoS. Sự gia tăng của tội phạm mạng đã
mang lại một mối quan tâm mới trong quan hệ đối tác thực thi pháp luật với khu vực tư nhân.
Những sự hợp tác này đã tạo điều kiện cho việc chia sẻ thông tin và tài nguyên để tăng cường
điều tra, đồng thời nâng cao nhận thức về các mối đe dọa thích hợp của các cuộc tấn công mạng
và xây dựng sự phối hợp giữa các bên liên quan. Việc chia sẻ thông tin, nghiên cứu và phát triển

có thể cùng có lợi cho các cơ quan thực thi pháp luật và các tổ chức đi trước cuộc chơi. Interpol
khẳng định rằng, không một quốc gia hay ngành nghề nào có thể chỉ dựa vào khả năng của chính
mình để giải quyết vấn đề tội phạm xuyên quốc gia và có tổ chức (Mei, 2017).
Haller, Merrell, Butkovic và Willke (2010) nhìn dưới góc độ các thông lệ tốt nhất về an
ninh mạng, dưới góc nhìn chiến lược quan trọng đều cho rằng cần phải có các bên liên quan.
Theo đó, không phải duy nhất đội ứng cứu an ninh mạng quốc gia (Computer Security Incident
Response Team - CSIRT) có trách nhiệm mà nhiều bên liên quan cũng cần tương tác trực tiếp với
CSIRT quốc gia. Hơn nữa, CSIRT quốc gia có thể nâng cao vai trò của mình và giúp nâng cao
văn hóa an ninh bằng cách chủ động tương tác với các bên liên quan này.
3. Đề xuất mô hình phối hợp giữa các bên liên quan trong thực tiễn bảo đảm an ninh mạng
trong lĩnh vực ngân hàng tại Việt Nam
Qua nghiên cứu kinh nghiệm của các nước và thực trạng phòng chống TPSDCNC trong
ngành Ngân hàng tại Việt Nam, nghiên cứu đề xuất mô hình và trình bày trách nhiệm/hành động
của các bên liên quan như sau:
Các bên liên quan
(Multistakeholders)

Hợp tác

Khu vực cơ quan quản lý

Khu vực công ty cung cấp

(Partnership)

Chính phủ và các cơ quan phụ trách thuộc chính phủ

dịch vụ và khách hàng
- Các cơ sở hạ tầng của thị


liên quan đến an ninh mạng:
-Viện Kiểm sát nhân dân tối cao.

-Phát hiện, điều tra,

trường tài chính (NHTM,

-Tòa án Nhân dân tối cao.

phòng

công ty chứng khoán …)

-Bộ Tư pháp.

phạm sử dụng công

- Các công ty CNTT

- Bộ Công an (C50).

nghệ cao.

- Cá nhân người dùng

-Ngân hàng Nhà nước (Cục Công nghệ thông tin).

- Chia sẻ thông tin.

-…


-Bộ Thông tin và Truyền thông (Trung tâm Thông tin

-Xây dựng hạ tầng

An toàn, Trung tâm Cảnh báo, Trung tâm Ứng cứu

kỹ thuật.

khẩn cấp máy tính Việt Nam …)

2

…

chống

tội


Hình 1. Các bên liên quan trong việc phối hợp phòng chống TPSDCNC tại Việt Nam
Nguồn: Tổng hợp của nhóm tác giả.
3.1 Hoạt động của khu vực quản lý
Chính phủ
Chính phủ xây dựng cơ chế phối hợp giữa các cơ quan thuộc chính phủ, tạo cơ chế chia sẻ
thông tin nhằm bảo đảm an ninh mạng và phòng chống TPSDCNC. Cần nhanh chóng xây dựng
quy chế phối hợp giữa ngân hàng với các cơ quan chức năng liên quan trong đó Cục Công nghệ
thông tin - NHNN; C50, Trung tâm Thông tin an toàn, Trung tâm Cảnh báo, Trung tâm Ứng cứu
khẩn cấp máy tính Việt Nam,… trong phòng ngừa, phát hiện, đấu tranh với các loại TPSDCNC
trong lĩnh vực ngân hàng.

Ngân hàng Nhà nước
Ngân hàng Nhà nước (NHNN) tự quản lý và chịu trách nhiệm hoạt động an toàn thông tin
(ATTT) mạng, quyền, trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm ATTT
mạng; mật mã dân sự; tiêu chuẩn, quy chuẩn kỹ thuật về ATTT mạng; kinh doanh trong lĩnh vực
ATTT mạng; phát triển nguồn nhân lực ATTT mạng; quản lý nhà nước về ATTT mạng.
NHNN phối hợp với Cục Cảnh sát phòng chống TPSDCNC thiết lập kênh trao đổi định kỳ
hàng tháng, hàng quý về phương thức, thủ đoạn mới của tội phạm trong lĩnh vực ngân hàng. Khi
nhận diện được những phương thức, thủ đoạn mới, cần thông báo rộng rãi trên các phương tiện
truyền thông để khách hàng nhận biết và phòng tránh.
NHNN phối hợp với Bộ Thông tin và Truyền thông xây dựng một bộ tiêu chuẩn đánh giá
quản trị rủi ro công nghệ của các NHTM và đưa ra các khuyến nghị phù hợp nhằm bảo vệ ngân
hàng giảm rủi ro từ tội phạm sử dụng công nghệ cao.

Bộ Công an
Tăng cường phối hợp với các đơn vị có liên quan để giải quyết các yêu cầu phát hiện, xác
minh, điều tra TPSDCNC một cách kịp thời, triệt để.
Bộ Công an chủ trì, phối hợp với các bộ, ngành hữu quan như: Viện Kiểm sát Nhân dân
Tối cao, Tòa án Nhân dân Tối cao, Bộ Tư pháp, Bộ Thông tin và Truyền thông, NHNN xây dựng
Thông tư liên ngành về phòng, chống TPSDCNC. Đây chính là cơ sở pháp lý quan trọng để các
bên tham gia hợp tác, chia sẻ, cung cấp, quản lý và sử dụng thông tin, tài liệu phục vụ cho công
tác phòng, chống TPSDCNC và bảo đảm an ninh, an toàn trong hoạt động của ngân hàng. Theo
đó, các ngân hàng cần chủ động thông báo cho các cơ quan chức năng liên quan về những dấu
hiệu nghi vấn về gian lận, giả mạo trong các hoạt động tại ngân hàng; phối hợp thực hiện nguyên
tắc trao đổi thông tin, cung cấp các hồ sơ thông tin cần thiết theo đề nghị của các bên tham gia;
hướng dẫn người bị hại trình báo đến cơ quan pháp luật để được hỗ trợ, xử lý kịp thời. Ngược
lại, Cục CNTT - NHNN; C50, Trung tâm Thông tin an toàn, Trung tâm Cảnh báo, Trung tâm
Ứng cứu khẩn cấp máy tính Việt Nam cần kịp thời trao đổi, cung cấp thông tin về TPSDCNC,
giúp các ngân hàng sớm nhận biết phương thức, thủ đoạn tấn công và cách thức phòng ngừa,…
Bên cạnh đó, phần lớn các TPSDCNC hiện nay là người nhập cư trái phép từ nước ngoài,
Bộ Công an cần có các biện pháp tăng cường kiểm soát ở các tuyến biên giới để tránh không cho

các đối tượng lợi dụng sơ hở nhập cảnh trái phép vào sâu trong nội địa thực hiện hành vi phạm
tội. Bộ Công an cần đề xuất với Chính phủ giao cho Bộ Công an chỉ đạo công tác xây dựng,
phát triển lực lượng cảnh sát phòng, chống TPSDCNC ngang tầm nhiệm vụ trong tình hình mới.
3


Bộ Công an cần chỉ đạo kiện toàn tổ chức bộ máy và triển khai thành lập các đơn vị cảnh sát
phòng, chống TPSDCNC trực thuộc các phòng chức năng ở công an các tỉnh, thành phố trực
thuộc trung ương nhằm xây dựng một hệ thống cảnh sát phòng, chống tội TPSDCNC trên phạm
vi toàn quốc.

Bộ Thông tin và Truyền thông
Bộ Thông tin và Truyền thông chịu trách nhiệm bảo đảm an toàn tài nguyên viễn thông,
đối với vòng ngoài về truyền thông mạng, định danh và định tuyến, ứng cứu sự cố ATTT mạng
cấp quốc gia.
Xây dựng Chiến lược đưa Việt Nam trở thành cường quốc an toàn, an ninh mạng; phối hợp
với Bộ Công an trong việc xây dựng các văn bản hướng dẫn Luật An ninh mạng; đầu mối tập
trung về mặt kỹ thuật, chỉ đạo các doanh nghiệp cung cấp dịch vụ viễn thông, Internet thực hiện
các hoạt động, nhiệm vụ bảo đảm an toàn, an ninh mạng; triển khai thu thập thông tin, tổng hợp,
phân tích, theo dõi và dự báo, cảnh báo sớm xu hướng về các hoạt động, diễn biến trên không
gian mạng Việt Nam; triển khai các chương trình diễn tập, tập trận phòng thủ, đào tạo, tập huấn,
bồi dưỡng nâng cao kiến thức, kỹ năng về ATTT cho các cơ quan, tổ chức và doanh nghiệp; thúc
đẩy phát triển các nhóm sản phẩm, dịch vụ về hệ sinh thái số Việt Nam; giám sát tin chính xác/sử
dụng trí tuệ nhân tạo phân loại, đánh giá tin từ không gian mạng.
Triển khai xây dựng Nghị định về xác thực và định danh điện tử; Nghị định thay thế Nghị
định 90/2008/NĐ-CP và Nghị định 77/2012/NĐ-CP về chống thư rác; Quy hoạch bảo đảm ATTT
mạng đến năm 2030; Kế hoạch bảo đảm ATTT mạng giai đoạn 2021-2025; Đề án bảo đảm ATTT
cho đô thị thông minh; Đề án áp dụng thí điểm tiêu chuẩn TCVN:11930 cho hệ thống thông tin
của cơ quan, tổ chức nhà nước; Hồ sơ đề xuất cấp độ mẫu cho hệ thống thông tin cấp độ 5 và tiêu
chí quy trình đánh giá phần mềm phòng chống phần mềm độc hại.

Triển khai hệ thống chia sẻ và phân tích thông tin về nguy cơ, rủi ro mất an toàn, an ninh
mạng trong các nước ASEAN và đưa Việt Nam thành một trong những Trung tâm chia sẻ nguy
cơ an toàn, an ninh mạng của ASEAN; phát triển Trung tâm Giám sát an toàn không gian mạng
quốc gia, đẩy mạnh hoạt động của Trung tâm này để triển khai giám sát an toàn trên toàn bộ
không gian mạng Việt Nam.

Bộ Giáo dục và Đào tạo, Bộ Khoa học và Công nghệ
Bộ Giáo dục và Đào tạo cảnh báo, phòng ngừa việc lạm dụng, thiếu hiểu biết pháp luật
dẫn đến vi phạm pháp luật, nhất là giới học sinh, sinh viên. Bộ Khoa học và Công nghệ xây
dựng và công bố bộ tiêu chuẩn chất lượng cho các sản phẩm dịch vụ tài chính, đặc biệt liên quan
đến lĩnh vực ngân hàng.
3.2 Hoạt động của khu vực cung cấp dịch vụ và khách hàng
 Khách hàng
Đối với khách hàng cá nhân: cần chủ động nâng cao cảnh giác trong việc bảo mật thông tin
tài khoản cá nhân khi sử dụng mạng xã hội, tham gia các diễn đàn…; cần tìm hiểu và áp dụng
đúng, đầy đủ các thông tin hướng dẫn của các ngân hàng, các tổ chức giáo dục, các nhà cung cấp
dịch vụ, các cơ quan truyền thông để chủ động bảo vệ mình trước các tác động từ bên ngoài.
Tăng cường trách nhiệm cá nhân tham gia phòng ngừa TPSDCNC như bảo vệ mật khẩu, khóa
mật khẩu, cơ sở dữ liệu, thông tin cá nhân, thông tin tài khoản và hệ thống thiết bị công nghệ cao
của mình; phát hiện, kịp thời tố giác tội phạm có sử dụng công nghệ cao phạm pháp luật khác.
Đối với các cơ quan, tổ chức, doanh nghiệp tại Việt Nam: cần nhanh chóng cập nhật, vá
các lỗ hổng để hệ thống CNTT không bị tin tặc sử dụng làm bàn đạp tấn công các hệ thống khác;
Cần quản lý được cơ sở dữ liệu (dữ liệu đang nằm ở đâu, ai sử dụng và sử dụng thế nào?) để có
4


biện pháp bảo vệ phù hợp. Bên cạnh đó, cần hướng dẫn nhân viên về cách thức bảo vệ thông tin
và tuân thủ chính sách về ATTT, đồng thời áp dụng các biện pháp bảo mật mạnh như mã hóa, cơ
chế xác thực nhiều lớp.


Các công ty CNTT
Đối với các công ty cung cấp dịch vụ CNTT như các ISP, Cloud service: cần phải bảo đảm
các chuẩn, cung cấp các cam kết cũng như chứng cứ chứng minh đã và đang bảo mật cho
NHTM.
Đối với các công ty cung cấp thiết bị đầu cuối: cần phải bảo đảm yêu cầu bảo mật về
CNTT theo NHNN.

Ngân hàng thương mại
Để bảo đảm thông tin và quyền lợi riêng tư của khách hàng, những yêu cầu cụ thể cần
phải vượt qua đó chính là sự thay đổi từ ba phía. Thứ nhất là cơ quan quản lý cần phải tạo ra
một khuôn khổ pháp lý để thiết chế và quản lý tốt hơn dịch vụ tài chính số. Thứ hai, là bản thân
khách hàng doanh nghiệp và cá nhân cần nâng cao tầm hiểu biết và kiến thức của mình về dịch
vụ tài chính. Cuối cùng, ngân hàng cũng cần siết chặt hệ thống bảo mật để đảm bảo tài sản,
thông tin cho khách hàng. Điều đó bắt buộc các ngân hàng phải mở rộng đầu tư nhiều hơn cho
các chương trình, phần mềm về bảo mật vì nó không chỉ ảnh hưởng tới quyền lợi của khách
hàng mà còn liên quan tới cả danh tiếng và lòng tin của công chúng đối với ngân hàng. Các
ngân hàng cần thực hiện:
(i) Ngân hàng phải theo xu hướng triển khai dịch vụ ngân hàng mới
Trong những năm gần đây, nhiều ngân hàng đã nắm bắt và triển khai nhiều dịch vụ mang
lại từ CMCN 4.0 như internet banking, mobile banking. Năm 1997, tỷ lệ dân số sử dụng internet
chỉ là 0% thì đến tháng 6/2018, Việt Nam đã có 64 triệu người dùng, chiếm 66,3% dân số
(Internetworldstats, 2019). Việt Nam có tốc độ tăng trưởng người dân sử dụng internet khá cao,
bình quân lên đến 9%/năm, xếp hạng thứ 15 trên thế giới. Đây là một thị trường màu mỡ để khai
thác nguồn khách hàng tiềm năng của các ngân hàng. Tỷ lệ khách hàng của hệ thống NHTM tại
Việt Nam sử dụng dịch vụ ngân hàng số trong năm 2017 chiếm khoảng 36,4%/tổng số giao dịch
tại các ngân hàng đã tăng nhiều lần so với con số 7,7% vào năm 2016. Trong bối cảnh Việt Nam
là quốc gia có tốc độ phát triển của CNTT cao, và có xu hướng tăng nhanh chóng các loại tội
phạm sử dụng công nghệ cao, việc phát triển các dịch vụ dựa trên sự phát triển CNTT sẽ đầy rủi
ro và vì vậy, các NHTM cần hết sức cẩn trọng, cần chuẩn bị đủ lực trước khi ra biển lớn.
(ii) Ngân hàng sẽ thay đổi của mô hình kinh doanh, văn hóa kinh doanh theo hướng

bảo mật
Ứng dụng công nghệ vào phát triển ngân hàng số, đòi hỏi các ngân hàng buộc phải thay đổi
lại mô hình kinh doanh, văn hóa kinh doanh, quy trình. Các NHTM sẽ tự động hóa các quy trình,
quản trị từ xa qua môi trường mạng, không làm việc tại văn phòng; đa dạng dịch vụ trực tuyến,
hỗ trợ kết nối đa phương tiện. Việc phát triển đa dạng dịch vụ kéo theo hệ thống CNTT phải mở
rộng, có những đặc điểm: Cấu trúc hệ thống CNTT ngày càng đa dạng, phức tạp; tích hợp nhiều
loại thiết bị, sản phẩm khác nhau (máy chủ, phần mềm hệ thống, cơ sở dữ liệu, thiết bị truyền
thông và an ninh...). NHTM cần lan tỏa văn hóa bảo mật cho lãnh đạo, cho cán bộ phụ trách
thông tin, bảo mật và cho cả khách hàng.
(iii) Ngân hàng cần chú trọng đầu tư vào công nghệ
Trong bối cảnh tất cả dữ liệu của khách hàng và ngân hàng đều được kết nối, thì rủi ro là
vấn đề cần quan tâm nhất vì nền tảng về công nghệ của hệ thống NHTM chưa ổn định, mức độ
an toàn chưa cao. Hạ tầng ứng dụng CNTT cho ngân hàng số nếu không được quản lý, kiểm soát
chặt chẽ sẽ dễ bị mất an toàn khi bất cứ thành phần nào có lỗ hổng bảo mật hoặc năng lực tổ
5


chức quản lý kém, không am hiểu đầy đủ về đặc tính của mô hình dịch vụ mới. Chính vì vậy, các
ngân hàng cần phải chú trọng đầu tư để nâng cao khả năng quản lý rủi ro kỹ thuật số để củng cố
niềm tin của khách hàng và an toàn hoạt động kinh doanh ngân hàng. Việc áp dụng các công
nghệ và dịch vụ mới để đối phó với các tình huống, với cạnh tranh cần tương thích với quản trị
an ninh mạng, khả năng chịu đựng chi phí. Để tồn tại không có cách nào khác NHTM phải thay
đổi tuy nhiên, cần hết sức cân nhắc khi thay đổi công nghệ. Vấn đề kỹ thuật để bảo đảm tính bảo
mật, an toàn cho giao dịch điện tử là một thách thức rất lớn phụ thuộc vào công nghệ, cách thức
sử dụng của bên cung cấp và bên sử dụng. Do vậy, ngoài việc bảo đảm an toàn, ổn định cần lựa
chọn công nghệ tin cậy và cần xác định cơ sở pháp lý để xử lý rủi ro đúng pháp luật khi có rủi ro
về công nghệ. Đối với NHTM, khó khăn không phải là lựa chọn công nghệ tin cậy mà ở sự chấp
nhận của khách hàng và các cơ quan chính phủ. Nếu có nguồn tài chính dồi dào và nhân lực
CNTT chất lượng cao, NHTM có thể tăng cường đầu tư nghiên cứu, ứng dụng trí tuệ nhân tạo.
Bằng cách phân tích các điểm dữ liệu khác nhau, các thuật toán học, máy có thể phát hiện các

giao dịch gian lận mà phân tích của con người không nhận diện được. Ngành Ngân hàng cần tiên
phong trong việc ứng dụng trí tuệ nhân tạo vào thực tiễn hoạt động, như phân tích dự báo, xác
định giọng nói, lập trình ngôn ngữ tự nhiên, khởi tạo ngôn ngữ tự nhiên. Ngoài ra, hiện nay, công
nghệ Blockchain được đánh giá là công nghệ bảo mật tối ưu nhất với tốc độ xử lý nhanh chóng.
Sự khác biệt của công nghệ Blockchain so với những công nghệ bảo mật, lưu trữ thông thường là
không tồn tại ở một địa điểm cụ thể nào mà dữ liệu sẽ được Blockchain phân tán trên hàng nghìn
máy tính khắp thế giới. Khi cần khai thác và sử dụng dữ liệu, khách hàng thông qua các thuật
toán phức tạp và quá trình mã hóa có sự tham gia đồng bộ của nhiều máy tính sẽ nhóm các bản
ghi số hóa thành từng chuỗi khối. Bên cạnh đó, Blockchain cũng được coi là hình thức lưu trữ
minh bạch tuyệt đối. Theo đó, mọi thành phần tham gia lưu trữ đều có quyền truy cập phiên bản
đầy đủ. Dữ liệu một khi đã được cập nhật, nó không thể bị thay đổi hoặc xáo trộn mà chỉ có thể
bổ sung và quá trình cập nhật diễn ra đồng thời trên tất cả máy tính trong mạng lưới. Nếu các dữ
liệu gốc về giao dịch được thay đổi sau khi mã hóa, thì chỉ cần có một chữ ký điện tử khác để
nhắc nhở toàn mạng lưới về nội dung cần sửa. Với bản chất phân tán của dữ liệu theo chuỗi khối,
tin tặc rất khó có thể truy cập tất cả phiên bản cùng lúc, do quá trình mã hóa chỉ diễn ra một
chiều.
3.3 Hợp tác giữa khu vực quản lý công - khách hàng và công ty cung
cấp dịch vụ
Hợp tác công tư trong xây dựng cơ sở hạ tầng
Đặc biệt chú trọng hợp tác quốc tế trong đầu tư cho hạ tầng kỹ thuật. Việc này có thể học
hỏi kinh nghiệm của các quốc gia trong khu vực như Thái Lan, Singapore. Ngày 14/9/2018,
Trung tâm An ninh mạng Hiệp hội các nước Đông Nam Á (Association of South East Asian
Nations – ASEAN) chính thức hoạt động ở Thái Lan. Đây là trung tâm thứ 4 ở Châu Á chuyên
về an ninh mạng và đối phó với tội phạm sử dụng công nghệ cao cùng các mối đe dọa phức tạp
hơn, có thể dẫn đến hành vi trộm cắp thông tin nhạy cảm hoặc thậm chí làm mất uy tín các chính
phủ và công ty, trong khi nhân viên an ninh mạng ở các nước thành viên vẫn còn hạn chế về số
lượng. Thống kê cho thấy, các cuộc tấn công mạng đã trở nên phổ biến tại châu Á từ năm 2016
với con số là 60% cuộc tấn công. Các chuyên gia về an ninh mạng cũng cảnh báo, các mối đe
dọa về an toàn an ninh mạng có thể khiến 1.000 công ty hàng đầu ASEAN tổn thất tới 750 tỷ
USD. Vì vậy, trung tâm sẽ đóng một vai trò quan trọng trong việc giảm thiểu tội phạm mạng

trong khu vực với mục tiêu chính là phát triển lực lượng lao động an ninh không gian mạng, đặc
biệt trong các cơ quan chính phủ ASEAN và Đội phản ứng khẩn cấp máy tính (Computer
Emergency Response Team - CERT) tại mỗi quốc gia ASEAN nhằm tăng cường nhận thức an
6


ninh mạng, tăng cường an ninh thông tin và bảo vệ dữ liệu, cũng như quảng bá chia sẻ thông tin.
Trước đó, vào tháng 6/2018, dưới sự hỗ trợ của Hội đồng phát triển kinh tế Singapore (Singapore
Economic Development Board - EDB), Tập đoàn Honeywell cũng cho ra mắt Trung tâm an ninh
mạng công nghiệp đầu tiên tại châu Á. Ngoài 2 trung tâm về an ninh mạng nói trên, khu vực
ASEAN còn có 2 trung tâm khác. Trung tâm thứ nhất là do tổ chức Cảnh sát hình sự quốc tế
(Interpol) thành lập năm 2015 với mục đích tập trung vào công tác chống tội phạm mạng. Trung
tâm nằm trong toà nhà khu liên hợp toàn cầu của Interpol về sự đổi mới (The INTERPOL Global
Complex for Innovation - IGCI) tại Singapore và đã hỗ trợ trao đổi thông tin với khu vực tư
nhân, nơi có những thông tin quan trọng có thể thúc đẩy các nỗ lực và hành động chống tội phạm
mạng. Trung tâm thứ hai cũng được khai trương cùng năm tại Singapore là Trung tâm Vệ tinh
chống tội phạm mạng do hãng Microsoft tài trợ và là một trong số 12 trung tâm vệ tinh mà
Microsoft có kế hoạch xây dựng trên toàn cầu.
Hợp tác công tư trong chia sẻ kinh nghiệm phòng chống TPSDCNC
Ngân hàng Nhà nước với chức năng và vị thế của mình kết hợp với các bộ, đặc biệt là các
Bộ Thông tin và Truyền thông, Bộ Công an cùng phối hợp với các NHTM thường xuyên tổ chức
hội thảo, tọa đàm, tập huấn, chia sẻ kinh nghiệm về (i) các lỗi bảo mật, các nhược điểm mới của
các dịch vụ tài chính công nghệ, cách thức phòng ngừa những lỗi bảo mật, nhược điểm của các
sản phẩm tài chính công nghệ; (ii) các điểm yếu kỹ thuật của hệ thống CNTT ngân hàng. Đồng
thời, NHTM cần tăng cường phối hợp với công an địa phương khi phát hiện dấu hiệu gian lận,
giả mạo trong thanh toán điện tử.
Hợp tác công tư trong lan tỏa văn hóa bảo mật
Phối hợp với các ngành chức năng trong các hoạt động triển khai ứng dụng công nghệ,
thiết lập hệ thống phòng vệ để chủ động và nâng cao hiệu quả phòng ngừa tội phạm. Nâng cao ý
thức cảnh giác của người quản lý, TPSDCNC.

4. Kết luận
Quá trình phát triển đòi hỏi ứng dụng công nghệ cao, đi kèm với nguy cơ thất thoát dữ
liệu, bảo mật thông tin khách hàng, càng gia tăng nguy cơ bảo đảm an toàn cho các giao dịch
khách hàng cực lớn. Mặc dù tình hình tội phạm sử dụng công nghệ cao diễn biến phức tạp nhưng
các phương án phòng chống hiện hữu của các ngân hàng là tương đối bị động. Trước xu hướng
phát triển của CNTT, trước xu hướng phát triển của TPSDCNC và dịch vụ ngân hàng dựa trên
nền tảng công nghệ mới và trước xu hướng tội phạm mạng ngày càng tinh vi về công nghệ và
thường hành động trước các chuyên gia bảo mật CNTT, NHTM và cơ quan quản lý có những
thay đổi phù hợp và cần thiết nhất là: (i) hoàn thiện khung pháp lý nhằm phát huy thế mạnh và
tính kết nối giữa các bên liên quan trong hệ thống NHTM để bảo đảm an toàn, bảo mật CNTT;
(ii) chú trọng phát triển hoạt động của NHTM dựa trên khai thác công nghệ để có thể phát triển
theo hướng ứng dụng công nghệ và quản trị rủi ro; (iii) tạo điều kiện lan tỏa văn hóa bảo mật cho
toàn bộ các bên liên quan trong hệ thống.
Tài liệu tham khảo
Bening, R. (2019). Tackling cyber crime - A shared threat needs a shared response.
Gercke, M. (2012). Understanding cybercrime: Phenomena, challenges and legal response.
Gupta, M., Walp, J. & Sharman, R. (2012). Strategic and Practical Approaches for Information
Security Governance: Technologies and Applied Solutions.
Haller, J., Merrell, S. A., Butkovic, M. J., & Willke, B. J. (2010). Best Practices for National
Cyber Security: Building a National Computer Security Incident Management Capability
7


(No. CMU/SEI-2010-SR-009).
Hoepers, C., Steding-Jessen, K. & Faulhaber, H. (2014).The Importance of a Multistakeholder
Approach to Cybersecurity Effectiveness.
Internetworldstats (2019). Internet Usage in Asia.
Khrais, L. T. (2015). Highlighting the Vulnerabilities of Online Banking System.
Lewis, J. (2018). Economic Impact of Cybercrime— No Slowing Down.
Mei, T. T. (2017). Joining hands to fight cybercrime.

Uma, M. & Padmavathi, G. (2011). A Survey on Various Cyber Attacks and Their Classification.
International Journal of Network Security, Vol.15, No.5, PP.390-396, Sept. 2011.

8