CÁC NGUYÊN TẮC CỦA BIS-CPMI VÀ IOSCO VỀ KHẢ NĂNG PHỤC
HỒI MẠNG CỦA CÁC CƠ SỞ HẠ TẦNG TÀI CHÍNH: TRƯỜNG HỢP
VIỆT NAM
Bốn nguyên tắc dành cho khả năng phục hồi mạng đối với các cơ sở hạ tầng
thị trường tài chính đã được đề cập đến trong Bộ tài liệu 24 nguyên tắc quốc tế của
BIS vào năm 2012 và được hoàn thiện đặc điểm kỹ thuật trong Bộ tài liệu hướng
dẫn dành cho các cơ sở hạ tầng tài chính (FMIs) của BIS-CPMI và IOSCO vào
năm 2016. Đó là các nguyên tắc về quản trị (nguyên tắc 2), khung quản lý rủi ro
toàn diện (nguyên tắc 3), giải quyết cuối cùng về mặt tài chính khi thanh toán qua
hệ thống (nguyên tắc 8), rủi ro hệ thống (nguyên tắc 17) và các liên kết giữa FMIs
(nguyên tắc 20). Nghiên cứu tiến hành phân tích định tính các nguyên tắc trên
thông qua mô hình ROCCIPI về rủi ro an ninh mạng, thực trạng phòng chống tội
phạm công nghệ cao (TPSDCNC) của ngân hàng thương mại (NHTM) và các bên
liên quan cùng với số liệu thu thập được từ quá trình khảo sát các chuyên gia
CNTT (ICT), nhà quản lý ngân hàng và khách hàng. Từ đó, nghiên cứu khuyến
nghị Ngân hàng Nhà nước (NHNN) và các NHTM cần dựa vào bộ tiêu chuẩn của
BIS để xây dựng bộ tiêu chuẩn đánh giá quản trị rủi ro công nghệ, đặc biệt là các
nguyên tắc về khả năng phục hồi mạng của FMIs.
1. Đặt vấn đề
Trung tâm Chiến lược và Nghiên cứu quốc tế (Centre for Strategic and
International Studies - CSIS) ước tính chi phí kinh tế của tội phạm mạng trên toàn
thế giới ở mức 600 tỷ USD (Fitzgerald, 2018). Do đó, các công ty không nên xem
an ninh mạng là một vấn đề công nghệ thông tin (CNTT) đơn thuần mà các bên
liên quan cần phải đóng một vai trò nhất định trong việc giảm thiểu rủi ro. Bên
cạnh sự gia tăng rõ ràng trong việc các quy định tập trung về an ninh mạng, các
1


cách tiếp cận để giải quyết các rủi ro không gian mạng cũng đang thay đổi.
Trong nỗ lực tìm kiếm các giải pháp quản trị rủi ro công nghệ, Ủy ban thanh
toán và cơ sở hạ tầng thị trường (Committee on Payments and Market

Infrastructures

- CPMI) thuộc Ngân hàng Thanh toán quốc tế (Bank for

International Settlements - BIS) và Tổ chức ủy ban chứng khoán quốc tế
(International Organisation of Securities Commissions - IOSCO) đã sử dụng
phương pháp tiếp cận chú trọng vào việc bảo đảm các nhà quản lý cấp cao chịu
trách nhiệm quản lý rủi ro hoạt động và xem xét góc độ khả năng phục hồi mạng
đối với cơ sở hạ tầng tài chính (financial market infrastructuress - FMIs). Theo đó,
các nguyên tắc dành cho khả năng phục hồi mạng đối với FMIs đã được đề cập đến
trong Bộ tài liệu 24 nguyên tắc quốc tế về hệ thống thanh toán, lưu ký chứng khoán
trung ương, hệ thống thanh toán chứng khoán, đối tác trung tâm và kho lưu trữ
thương mại ban hành vào năm 2012 đối với các cơ sở hạ tầng thị trường tài chính
(Principles for Financial market infrastructures - PFMI). Đó là các nguyên tắc về
các vấn đề như quản trị (nguyên tắc 2), khung quản lý rủi ro toàn diện (nguyên tắc
3), giải quyết cuối cùng về mặt tài chính khi thanh toán qua hệ thống (nguyên tắc
8), rủi ro hệ thống (nguyên tắc 17) và các liên kết giữa FMIs (nguyên tắc 20) (BIS,
2012).
PFMI còn là một tiêu chuẩn quan trọng của bộ 12 tiêu chuẩn chính mà cộng
đồng quốc tế coi là thiết yếu để tăng cường và duy trì sự ổn định tài chính. Trong
đó, 12 tiêu chuẩn chính này thuộc các lĩnh vực chính sách rộng lớn của chính sách
kinh tế vĩ mô và minh bạch dữ liệu, quy định tài chính và giám sát và cơ sở hạ tầng
thể chế và thị trường (FSB, 2019).
Đến năm 2016, Bộ tài liệu hướng dẫn dành cho FMIs được ban hành, trong
đó không thiết lập các tiêu chuẩn bổ sung cho FMI ngoài các tiêu chuẩn đã được
quy định theo BIS-CPMI và IOSCO dành cho FMIs mà chỉ làm rõ và hoàn thiện
đặc điểm kỹ thuật của các nguyên tắc dành cho khả năng phục hồi mạng đối với
2



FMIs hiện có thuộc nguyên tắc 2, 3, 8, 17 và 20 (BIS, 2014; BIS, 2016; CNMV,
2017). Các nguyên tắc dành cho khả năng phục hồi mạng đối với FMIs được 60
ngân hàng trung ương thành viên của BIS áp dụng chính thức.
Việt Nam chưa phải là thành viên của BIS (BIS, 2019). Do đó, nhóm tác giả
tiến hành nghiên cứu về áp dụng các nguyên tắc của BIS-CPMI và IOSCO đối với
khả năng phục hồi mạng đối với FMIs tại Việt Nam. Qua đó, nghiên cứu xem xét
vai trò của NHTM và các bên liên quan trong quản trị rủi ro công nghệ và đề xuất
một số khuyến nghị đối với bảo đảm an ninh mạng nhằm phòng chống TPSDCNC
trong bối cảnh hiện nay.
2. Cơ sở lý luận
Đề tài tiếp cận lý thuyết về các bên liên quan đến hiệu quả an ninh mạng
(Hoepers, Jessen & Faulhaber, 2014; Mei, 2017), lý thuyết khuếch tán đổi mới
(Rogers, 1962; Khrais, 2015; Bening, 2019; Gercke, 2012; Lewis, 2018) để làm cơ
sở lý luận cho nghiên cứu.
2.1 Rủi ro an ninh mạng và khả năng phục hồi mạng đối với cơ sở hạ tầng tài
chính
Trước đây, các khái niệm về rủi ro hoạt động là khác nhau. Theo đó, rủi ro
hoạt động là một thuật ngữ chủ yếu được sử dụng như là một rủi ro “còn lại” hoặc
không thể chấp nhận được đối với một tổ chức tài chính - không được phân loại
trong rủi ro tín dụng, rủi ro thanh khoản hoặc rủi ro thị trường, và do vậy, nó được
ghi nhận bởi các chi tiết đơn hàng trên bảng cân đối kế toán. Rủi ro hoạt động cuối
cùng cũng được định nghĩa rộng hơn bởi Ủy ban giám sát ngân hàng Basel vào đầu
những năm 2000. Khung Basel thể hiện rõ ràng việc bao gồm các rủi ro hoạt động
trong các yêu cầu vốn tối thiểu, cùng với rủi ro tín dụng và thị trường. Ủy ban
Basel đã xác định rủi ro hoạt động là “Có nguy cơ mất mát do các quy trình nội bộ,
con người và hệ thống không đầy đủ hoặc thất bại hoặc từ các sự kiện bên ngoài.
Định nghĩa này bao gồm rủi ro pháp lý, nhưng loại trừ rủi ro chiến lược và uy tín
3



(BASEL, 2011).
Định nghĩa về rủi ro hoạt động này còn bao gồm cả rủi ro không gian mạng,
mặc dù vẫn chưa có một định nghĩa cụ thể và được chấp nhận trên toàn cầu về rủi
ro không gian mạng tại thời điểm đó cho đến khi BIS (2016) định nghĩa rủi ro hệ
thống tại nguyên tắc 17, là “Sự kết hợp giữa xác suất của một sự kiện xảy ra trong
phạm vi tài sản thông tin, tài nguyên máy tính và truyền thông của tổ chức và hậu
quả của sự kiện đó đối với tổ chức”. Như vậy, các nguyên tắc trong Bộ tài liệu
PFMI nhận ra rủi ro hoạt động, bao gồm rủi ro không gian mạng, là rủi ro chính cụ
thể mà FMI phải đối mặt và tuyên bố rằng FMI cần có các thỏa thuận và mục tiêu
quản trị để quản lý các rủi ro này một cách toàn diện theo khung quản lý rủi ro.
Việc quản lý rủi ro không gian mạng được bao gồm trong các kỳ vọng được nêu
trong nguyên tắc 17 và những lưu ý quan trọng của nó.
Hoạt động an toàn và hiệu quả của FMIs là điều cần thiết để duy trì và thúc
đẩy sự ổn định tài chính và tăng trưởng kinh tế. Nếu không được quản lý đúng
cách, FMI có thể là nguồn gây ra các cú sốc tài chính, chẳng hạn như trật tự thanh
khoản và tổn thất tín dụng, hoặc kênh chính dẫn truyền các cú sốc này qua thị
trường tài chính trong nước và quốc tế. Trong ngữ cảnh này, mức độ phục hồi
không gian mạng, đóng góp cho khả năng phục hồi hoạt động của FMIs (BIS,
2014; BIS, 2016).
2.2. Các nguyên tắc quốc tế của BIS-CPMI và IOSCO về khả năng phục hồi
mạng đối với cơ sở hạ tầng tài chính
Tài liệu hướng dẫn của BIS-CPMI và IOSCO nhằm mục đích tăng thêm
động lực và thúc đẩy tính nhất quán quốc tế trong các nỗ lực liên tục của ngành
nhằm tăng cường khả năng phục hồi không gian mạng. Điều này bao gồm khả
năng FMIs chống lại trước các cuộc tấn công mạng, phản ứng nhanh chóng và hiệu
quả với chúng và đạt được các mục tiêu phục hồi mục tiêu nhanh hơn và an toàn
hơn nếu các cuộc tấn công thành công. Ngoài ra, tài liệu hướng dẫn còn cung cấp
4



cho các cơ quan chức năng một bộ hướng dẫn được quốc tế đồng ý để hỗ trợ giám
sát và giám sát nhất quán, hiệu quả FMIs trong lĩnh vực rủi ro không gian mạng.
Về cốt lõi, tài liệu hướng dẫn yêu cầu FMIs phải thấm nhuần văn hóa nhận
thức về rủi ro không gian mạng và thể hiện sự đánh giá lại và cải thiện liên tục về
tâm thế phục hồi không gian mạng của họ ở mọi cấp trong tổ chức. Hơn nữa, trong
khi hướng dẫn nhắm trực tiếp vào FMIs, điều quan trọng là họ phải đóng vai trò
tích cực trong việc tiếp cận những người tham gia và các bên liên quan khác để
thúc đẩy sự hiểu biết và hỗ trợ các mục tiêu phục hồi và thực hiện. Các giải pháp
hiệu quả có thể yêu cầu sự hợp tác giữa FMIs và các bên liên quan của họ khi họ
tìm cách tăng cường khả năng phục hồi không gian mạng của chính họ (BIS,
2016).
Trong 24 nguyên tắc của Bộ tài liệu hướng dẫn dành cho PFMI (BIS, 2016),
các nguyên tắc phù hợp nhất từ tài liệu này nhằm cung cấp bổ sung cho PFMI về
khả năng phục hồi không gian mạng là các nguyên tắc 2, 3, 8, 17 và 20. Cụ thể như
sau:
 Nguyên tắc 2: Quản trị - Một FMI cần có các thỏa thuận quản trị rõ ràng và

minh bạch, thúc đẩy sự an toàn và hiệu quả của FMI, và hỗ trợ sự ổn định
của hệ thống tài chính rộng lớn hơn, cân nhắc lợi ích công cộng khác có liên
quan, và các mục tiêu của các bên liên quan.
 Nguyên tắc 3: Khung quản lý rủi ro toàn diện - Một FMI cần có khuôn

khổ quản lý rủi ro hợp lý để quản lý toàn diện pháp lý, tín dụng, thanh
khoản, hoạt động và các rủi ro khác.
 Nguyên tắc 8: Giải quyết cuối cùng về mặt tài chính khi thanh toán qua

hệ thống- Một FMI cần cung cấp giải quyết tài chính cuối cùng rõ ràng và
nhất định, ở mức tối thiểu vào cuối ngày giá trị. Khi cần thiết hoặc tốt hơn,
một FMI sẽ cung cấp giải quyết tài chính cuối cùng trong ngày hoặc trong
5



thời gian thực.
 Nguyên tắc 17: Rủi ro hoạt động - Một FMI cần xác định các nguồn gốc

dẫn tới rủi ro hoạt động chính đáng, cả nội bộ và bên ngoài, và giảm thiểu
tác động của chúng thông qua việc sử dụng các hệ thống, chính sách, thủ tục
và kiểm soát thích hợp. Hệ thống nên được thiết kế để bảo đảm mức độ bảo
mật và độ tin cậy hoạt động cao và phải có đầy đủ, có thể mở rộng sức chứa.
Quản lý liên tục kinh doanh nên nhằm mục đích phục hồi kịp thời các hoạt
động và hoàn thành các nghĩa vụ của FMI, kể cả trong trường hợp có sự gián
đoạn trên diện rộng.
 Nguyên tắc 20: Các liên kết FMI - Một FMI khi thiết lập liên kết với một

hoặc nhiều FMI nên xác định, giám sát và quản lý rủi ro liên quan đến liên
kết.
Dựa vào 5 nguyên tắc trên về khả năng phụ hồi mạng đối với FMIs, tài liệu
hướng dẫn của BIS-CPMI và OSCO (BIS, 2016) mô tả một khung bảo mật không
gian mạng gồm 5 phần (Quản trị - Nhận biết - Bảo vệ - Phát hiện - Đáp ứng và
phục hồi), trong đó một loạt các thực tiễn được đưa ra nhằm tăng cường an ninh
mạng của các nhà khai thác CSHT được cập nhật liên tục theo tính chất phát triển
của các mối đe dọa (BIS, 2016; CNMV, 2017).
Bảng 1: Khung bảo mật không gian mạng
Thành

Nội dung

phần
Quản trị


Điều này bao gồm tất cả các thỏa thuận và thủ tục mà một CSHT

(Governan

đã đưa vào thực tế để quản lý rủi ro không gian mạng. Các biện

ce)

pháp không nên giới hạn ở các điểm kỹ thuật mà còn bao gồm cả
con người. Cụ thể, ban quản lý và ban quản trị công ty cuối cùng
sẽ chịu trách nhiệm thiết lập và đảm bảo tuân thủ kế hoạch an
ninh mạng.
6


Các tổ chức nên nuôi dưỡng văn hóa doanh nghiệp cam kết
mạnh mẽ và nhận thức được các vấn đề an ninh mạng. Để đảm
bảo điều này xảy ra, hội đồng quản trị nên bao gồm những người
có khả năng và kiến thức kỹ thuật cần thiết. Công ty văn hóa
phải được liên kết và cam kết với khả năng phục hồi không gian
mạng và đảm bảo rằng toàn bộ tổ chức đang tham gia vào vấn
đề.
Quản trị bao gồm các yêu cầu nêu trên để bổ nhiệm một cấp cao
quản lý để giám sát việc thực hiện và giám sát các chính sách an
ninh mạng, với thẩm quyền, tính độc lập và quyền truy cập vào
hội đồng quản trị.
Kiểm toán bên ngoài được khuyến nghị để định kỳ đánh giá khả
Nhận biết

năng phục hồi không gian mạng của CSHT.

Mục đích là để xác định CSHT nào trong các CSHT và các hoạt

(Identificat

động quan trọng cần được bảo vệ ưu tiên khỏi cuộc tấn công

ion)

mạng và phân bổ tài nguyên phù hợp. Quản lý đơn hàng và thực
hiện, quản lý rủi ro, giám sát và hệ thống truyền thông của công
ty phải được đưa vào như các quy trình quan trọng.
Nhu cầu liên quan đến số lượng người lớn nhất có thể từ tổ chức
trong các nhiệm vụ an ninh mạng một lần nữa được nhấn mạnh.
Báo cáo đề xuất thành lập một ủy ban với các đại diện từ hệ
thống thông tin, ngành nghề kinh doanh, các vấn đề pháp lý,
nhân sự, truyền thông và quản lý rủi ro. Hầu hết các cơ sở giao
dịch được thảo luận trong báo cáo đều có một giám đốc an ninh

Bảo vệ

thông tin.
CSHT phải đặt đúng cơ chế kiểm soát với các tiêu chuẩn an ninh

(Protection

mạng đòi hỏi khắt khe nhất. Các biện pháp như vậy có thể là tổ
7


)


chức, chẳng hạn như tạo ra các trung tâm bảo mật hoạt động,
hoặc kỹ thuật, chẳng hạn như hệ thống chống vi-rút và chống
xâm nhập.
a. Bảo vệ các quá trình và tài sản quan trọng. Với sự nhấn mạnh
đặc biệt vào việc bảo vệ thông tin và xác định điểm yếu. Nó
cũng khuyến nghị các quy trình thiết kế lại để kết hợp phân khúc
và các điểm kiểm soát lớn hơn để có thể tách biệt mọi vấn đề.
b. Liên kết. Thực hiện các biện pháp bảo vệ để giảm thiểu rủi ro
và yêu cầu các nhà cung cấp dịch vụ và người tham gia cung cấp
các tiêu chuẩn bảo mật mạng cao.
c. Các mối đe dọa nội bộ. Phát hiện các hành vi trên danh nghĩa
của nhân viên và kiểm soát giới hạn quyền truy cập vào nhân
viên được ủy quyền.
d. Đào tạo. Với sự nhấn mạnh và tập trung đặc biệt vào nhóm
nhân viên có quyền truy cập vào các hệ thống và quy trình bị

Phát hiện

hạn chế.
Khả năng nhận ra các sự cố tiềm ẩn hoặc phát hiện các vi phạm

(Detection) trong bảo mật hệ thống.
a. Giám sát vĩnh viễn trong thời gian thực hoặc với độ trễ ít nhất
có thể phát hiện các hoạt động bất thường.
b. Giám sát một loạt các yếu tố bên ngoài và bên trong.
c. Điều khiển nhiều lớp bao gồm con người và quy trình trong
đó mỗi cấp hoạt động như một mạng bảo mật hơn các cấp trước
đó.
Đáp ứng và Khả năng của CSHT để tiếp tục vận hành, khôi phục các hệ

phục hồi

thống quan trọng sau một cuộc tấn công và giảm rủi ro hệ thống

(Response

có khả năng làm gián đoạn các hoạt động.
8


and

a. Kế hoạch ứng phó. Để xác định thiệt hại và quy mô của bất kỳ

recovery)

cuộc tấn công và thực hiện các biện pháp ngăn chặn.
b. Khởi động lại sau hai giờ. Các quy trình và hoạt động quan
trọng phải được khôi phục trong vòng hai giờ sau khi một cuộc
tấn công và các giao dịch được hoàn thành và bị xóa trước khi
phiên giao dịch tiếp theo mở ra.
c. Kế hoạch dự phòng. Nếu nó chứng tỏ không thể khởi động lại
các hoạt động quan trọng trong vòng hai giờ phải có một kế
hoạch thay thế bao gồm nhiều kịch bản khác nhau.
d. Lập kế hoạch và chuẩn bị. Các tổ chức CSHT phải chuẩn bị
và thường xuyên kiểm tra kế hoạch phản ứng và phục hồi tấn
công.
e. Liên kết. Trong trường hợp các cuộc tấn công xâm phạm tính
toàn vẹn dữ liệu và thậm chí bảo mật của các bản sao lưu,
khuyến nghị rằng dữ liệu nên được lấy từ bên thứ ba. CSHT thị

trường mở cửa cho các thành viên của họ, những người có quyền
truy cập thời gian thực vào các hệ thống giao dịch và kho lưu trữ
thương mại.
Nguồn: BIS (2016) và CNMV (2017).

2.3. Sự áp dụng phổ biến trên thế giới của các nguyên tắc quản trị rủi ro công
nghệ của BIS-CPMI và IOSCO về khả năng phục hồi mạng đối với FMIs
Năm 2015, các nhà quản lý cấp cao và các cơ quan cấp chứng nhận của Anh
đã phát triển cách tiếp cận này của BIS. Theo đó, tại nước Anh, các cơ quan giám
sát được khuyến nghị tăng cường sử dụng bảng câu hỏi để đánh giá khả năng phục
hồi hoạt động trong tương lai, có khả năng dựa trên các khuôn khổ hiện có trong
việc hỗ trợ đánh giá các khả năng của các công ty và FMIs.Trong đó, các khung
hiện tại bao gồm các hướng dẫn CPMI-IOSCO, các yếu tố cơ bản của an ninh
9


mạng G7, khung bảo mật không gian mạng của Viện tiêu chuẩn và công nghệ quốc
gia (National Institute of Standards & Technology - NIST) và khung đánh giá
mạng của Trung tâm an ninh mạng quốc gia (National Cyber Security Centre NCSC) (FCA, 2016; Bank of England, 2018).
Cơ quan tiền tệ Singapore (Monetary Authority of Singapore - MAS) và Ủy
ban chứng khoán Hồng Kông (Hong Kong Securities and Futures Commission HKSFC) thực hiện theo Anh để cải thiện FMIs của mình (HKMA, 2018; Parkerfitzgerald, 2018; MAS, 2019).
Tại Châu Âu, Hội đồng quản trị của Ngân hàng Trung ương châu Âu
(European Central Bank - ECB) thông qua các tiêu chuẩn cho các cơ sở hạ tầng thị
trường tài chính và thanh toán (Payments and Market Infrastructures - PFMIs) vào
tháng 6/2013. Khi phát triển Kỳ vọng giám sát khả năng phục hồi không gian mạng
(cyber resilience oversight expectations - CROE), ECB cũng đã tính đến các tài
liệu hướng dẫn quốc tế hiện có, đặc biệt là Khung bảo mật mạng do Viện Tiêu
chuẩn và công nghệ quốc gia Hoa Kỳ công bố, tiêu chuẩn thực hành tốt về bảo mật
thông tin theo ISO/IEC 27002, khung COBIT 5 về quản trị và quản lý CNTT
doanh nghiệp, Tiêu chuẩn thực hành tốt về bảo mật thông tin của Diễn đàn bảo mật

thông tin và Công cụ đánh giá an ninh mạng của Hội đồng kiểm tra tài chính liên
bang Hoa Kỳ. CROE tuân theo Hướng dẫn trong việc xác định FMIs là hệ thống
thanh toán quan trọng có hệ thống, lưu ký chứng khoán trung tâm, hệ thống thanh
toán chứng khoán, đối tác trung tâm và kho lưu trữ thương mại.
Theo Ủy ban giám sát tài chính (Financial Stability Board - FSB), hơn 72%
các khu vực pháp lý của G20 đã báo cáo các kế hoạch ban hành các quy định,
hướng dẫn hoặc thực hành giám sát mới nhằm giải quyết vấn đề an ninh mạng cho
lĩnh vực tài chính trong những năm tới (Parker-fitzgerald, 2018). Trong đó, các
nguyên tắc quản lý rủi ro công nghệ của BIS và các hướng dẫn của BIS-CPMI và
IOSCO kết hợp với các quy định đặc thù ở mỗi quốc gia được các ngân hàng trung
10


ương và các ủy ban chứng khoán thành viên áp dụng và thực hiện nhằm góp phần
cải thiện khả năng phục hồi của FMIs của mình.
3. Phương pháp nghiên cứu
Đề tài thu thập thông tin sơ cấp từ việc thực hiện khảo sát 29 chuyên gia ICT
của NHTM và ý kiến chuyên sâu của 4 lãnh đạo ngân hàng phụ trách mảng an ninh
thông tin của ngân hàng về (i) hạ tầng kỹ thuật, (ii) nhân lực, tổ chức và quản trị,
(iii) điểm mạnh và điểm yếu trong công tác phòng chống TPSDCNC. Ngoài ra, đề
tài cũng thu thập dữ liệu khảo sát từ 866 người dung để tìm hiểu nhận thức của
người dân về an toàn thông tin (ATTT) mạng và TPSDCNC. Đề tài sử dụng
phương pháp phân tích định tính thông qua mô hình ROCCIPI (Quy tắc - Cơ hội Năng lực - Giao tiếp - Quan tâm - Quá trình - Ý thức hệ, tư tưởng).
Phương pháp giải quyết vấn đề ROCCIPI là một cách để giải thích hành vi
có vấn đề lặp đi lặp lại để hiểu rõ hơn hành vi. Bằng cách hiểu rõ hơn về hành vi,
chúng ta có thể bắt đầu đề xuất các phản ứng chính sách chính xác để thay đổi
hành vi này. ROCCIPI là từ viết tắt của bảy yếu tố giải thích cho hành vi có vấn đề.
Mỗi yếu tố tập trung vào một khía cạnh của một hành vi và đặt câu hỏi sẽ dẫn đến
sự hiểu biết tốt hơn về vấn đề và các phản ứng chính sách có ý nghĩa hơn. Bảy yếu
tố có thể được chia thành hai loại, bao gồm những yếu tố chủ quan (quan tâm, tư

tưởng) và những yếu tố khách quan (5 yếu tố còn lại).
Trong nghiên cứu này, nhóm tác giả phân tích thực trạng phòng chống
TPSDCNC của NHTM và các bên liên quan theo ROCCIPI, qua đó xem xét khả
năng phục hồi mạng đối với FMIs Việt Nam theo các nguyên tắc của BIS-CPMI và
IOSCO.
4. Thực trạng bảo đảm an toàn thông tin mạng tại Việt Nam theo mô hình
ROCCIPI
4.1 Quy tắc (rule)
Xét theo nguyên tắc 2 và 3, Việt Nam đã ngày càng hoàn thiện khung pháp lý
11


góp phần phòng chống TPSDCNC nói chung, đối với ngành Ngân hàng nói riêng.
Việt Nam đã có hơn 40 văn bản về ATTT mạng với văn bản pháp quy có giá trị cao
nhất điều chỉnh hành vi của các bên liên quan đến phòng chống TPSDCNC là Luật
An ninh mạng số 24/2018/QH14 ban hành ngày 12/6/2018 có hiệu lực vào
01/01/2019. Trước khi có Luật An ninh mạng, hành lang pháp lý về bảo đảm ATTT
đã có Luật Giao dịch điện tử ngày 29/11/2005, Luật CNTT ngày 29/06/2006, Luật
ATTT mạng ngày 19/11/2015, tạo nền tảng pháp lý và nâng cao chất lượng hoạt
động bảo vệ các hệ thống CNTT và mạng máy tính của Việt Nam trước các cuộc
tấn công của TPSDCNC. Văn bản luật chuyên ngành có: Quyết định số 986/QĐTTg ngày 8/8/2018 của Thủ tướng Chính phủ Về việc Phê duyệt Chiến lược phát
triển ngành Ngân hàng Việt Nam đến năm 2025, định hướng đến năm 2030; Quyết
định số 488/QĐ-TTg ngày 27/3/2017 của NHNN Việt Nam về việc ban hành Kế
hoạch ứng dụng CNTT của các tổ chức tín dụng giai đoạn 2017 - 2020.
Tuy nhiên, hành lang pháp lý cho việc phòng chống TPSDCNC vẫn còn một
số vấn đề cần điều chỉnh: (i) Chưa có Thông tư liên ngành về phòng, chống
TPSDCNC; (ii) Một số luật còn thiếu một số nội dung như Luật các tổ chức tín
dụng chưa có các nội dung Luật thanh toán mới; Luật Giao dịch điện tử, Luật xử lý
vi phạm hành chính, Pháp lệnh Thương mại điện tử... chưa có các chế định về các
hành vi tội phạm, chứng cứ, các biện pháp ngăn chặn; Bộ luật Tố tụng hình sự

chưa có các quy định có liên quan đến chứng cứ điện tử, các thủ tục tố tụng hình sự
về việc thu thập, bảo quản, phục hồi và giám định chứng cứ điện tử phù hợp với
đặc điểm, tính chất của TPSDCNC.
4.2. Cơ hội (opportunity)
Xét theo nguyên tắc 8 và 17, hệ thống CNTT dù hiện đại thế nào đi nữa thì
vẫn cần sự tương tác với con người trong việc cung cấp thông tin đầu vào. Các sai
sót trong quá trình tương tác không đúng với quy định, hoặc vượt ngoài tầm kiểm
soát, sàng lọc thông tin đầu vào thiếu chặt chẽ sẽ dẫn đến mất an toàn cho hệ
12


thống/cho khách hàng. Nếu như ngân hàng có thể chủ động kiểm soát hoạt động từ
ngân hàng, thì bên phía khách hàng lại phụ thuộc vào chính họ và các yếu tố bên
ngoài khác. Trước tình trạng công tác quản trị rủi ro công nghệ chưa được chuyên
môn hóa, nhiều NHTM còn coi như đây là một phần nhỏ trong rủi ro hoạt động,
NHNN cũng đã định hướng cho sự thay đổi này trong Thông tư 18/2018/TTNHNN tại Điều 12 khoản 2, mục b (Thành lập hoặc chỉ định bộ phận chuyên trách
để quản lý vận hành trung tâm Điều hành an ninh mạng đáp ứng yêu cầu của
Thông tư 18/2018/TT-NHNN). Chính vì vậy, các hệ thống của NHTM Việt Nam
nên được thiết kế để cung cấp mức độ bảo mật và độ tin cậy hoạt động cao và phải
có công suất phù hợp, có thể mở rộng. Quản lý sự liên tục của việc kinh doanh nên
nhằm mục đích khôi phục hoạt động với độ trễ ngắn nhất có thể, theo nguyên tắc
trong vòng hai giờ.
Với sự lan rộng bùng nổ của Internet và các giao dịch tài chính điện tử, dịch
vụ bảo mật trực tuyến đã trở thành một yêu cầu thiết yếu và là một thước đo mới
quan trọng trong việc đánh giá năng lực cạnh tranh của dịch vụ ngân hàng trực
tuyến. Theo đó, các ngân hàng bắt buộc phải cung cấp một môi trường ngân hàng
trực tuyến an toàn dựa trên các quy trình bảo mật nâng cao. Ngân hàng an toàn
trong tương lai với việc phòng ngừa chủ động, và các lớp phòng thủ độc đáo hơn
để bảo vệ tài sản của mình và khách hàng sẽ phải sử dụng nhiều công nghệ, đặc
biệt là công nghệ ứng dụng trí tuệ nhân tạo để chủ động ngăn chặn các vi phạm

tiềm ẩn và mất dữ liệu (Khrais, 2015; Bening, 2019).
4.3. Năng lực (capacity)
Xét theo nguyên tắc 2, 8 và 17, các NHTM đã quan tâm đầu tư, đổi mới công
nghệ, từng bước hoàn chỉnh hạ tầng CNTT nói chung và hạ tầng an ninh, bảo mật
nói riêng. Cụ thể: tại Trung tâm dữ liệu chính và Trung tâm dữ liệu dự phòng và
các hệ thống quan trọng, 100% các NHTM đã đầu tư, trang bị các giải pháp an
ninh bảo mật cơ bản như: tường lửa; hệ thống phát hiện xâm nhập (IPS/IDS); hệ
13


thống phòng chống virus; xác thực đa thành tố đối với các giao dịch điện tử; và mã
hóa dữ liệu đối với các hệ thống quan trọng. Phần lớn NHTM cũng đã trang bị các
giải pháp tăng cường an toàn, an ninh mạng như: hệ thống quản lý sự kiện an ninh;
hệ thống phòng chống thư rác; hệ thống lọc nội dung Web; hệ thống quản lý file
nhật ký; hệ thống đánh giá điểm yếu ứng dụng và mạng; công nghệ chữ ký số.
Tuy nhiên, chỉ có 7 NHTM Việt Nam có chỉ số sẵn sàng phát triển và ứng
dụng công nghệ thông tin trên mức trung bình. Số lượng các NHTM đạt các tiêu
chuẩn quốc tế về an ninh bảo mật đã tăng lên hàng năm, đến nay có 43,8% NHTM
đạt chứng chỉ về CNTT. Trong số 34 NHTM đang triển khai tiêu chuẩn PCI/DSS,
có 8 NHTM đã nhận được chứng nhận đạt chuẩn; 14 NHTM đang triển khai áp
dụng tiêu chuẩn ISO 27001, đã có 7 NHTM nhận được chứng nhận đạt chuẩn. Các
NHTM Việt Nam chưa đạt độ trưởng thành về công nghệ để có thể thực hiện thử
nghiệm xâm nhập (Penetration Testing - Pentest). Các chuyên gia ICT cũng chỉ ra
các điểm yếu mà NHTM mình cần khắc phục. Các chuyên gia ICT nhấn mạnh các
yếu tố bên trong như sự chưa đầu tư đúng mức cho công nghệ bảo mật, trình độ
nguồn nhân lực (nhân lực CNTT, đặc biệt là nhân lực trong ATTT là vấn đề đang
rất khó khăn của các NHTM), đồng thời đặc biệt quan tâm đến các yếu tố liên quan
như nhận thức của khách hàng, tính đồng bộ trong triển khai bảo mật và quy chuẩn
chung.
4.4. Giao tiếp (communication)

Xét theo nguyên tắc 20, các NHTM chưa có tiêu chuẩn đánh giá chất lượng
công nghệ chung được phép ứng dụng trong lĩnh vực ngân hàng, chưa triển khai
đồng nhất một nền tảng công nghệ tài chính cùng chuẩn, dẫn đến xuất hiện lỗ hổng
ATTT trên thị trường liên ngân hàng. Điều đó làm cho hệ thống ngân hàng hoạt
động chưa thống nhất có thể gây khó khăn trong công tác bảo mật và bảo đảm
ATTT.
Các NHTM vẫn chưa có một kênh thông tin riêng chia sẻ các thông tin có liên
14


quan đến sự phối hợp liên kết để hỗ trợ nhau loại trừ các tình huống tiêu cực, nhằm
chủ động giám sát và ngăn chặn nhóm TPSDCNC cũng như chưa có hệ thống liên
kết phòng ngừa TPSDCNC, tội phạm rửa tiền trong quá trình cung ứng dịch vụ tài
chính công nghệ.
4.5. Quan tâm (interest)
Xét theo nguyên tắc 2 và 3, những năm gần đây, phòng chống TPSDCNC nổi
lên thành một trong những mối quan tâm hàng đầu, đặc biệt trong ngành ngân
hàng. Theo số liệu của WEF (2017), rủi ro do tội phạm mạng tấn công được xếp
hàng thứ năm sau rủi ro thảm họa do con người tạo ra, khủng hoảng tài chính, xung
đột trong nước, thất nghiệp hoặc thiếu việc làm.
Lực lượng tham gia phòng chống TPSDCNC của Việt Nam hiện có Bộ Công
an, Bộ Quốc phòng, Bộ Thông tin và Truyền thông và các Bộ chủ quản hệ thống
thông tin. Nhiều bộ chủ quản đã có chuyên trách về ATTT cho ngành: Cục Công
nghệ Tin học thuộc NHNN, Cục Cảnh sát phòng chống TPSDCNC (C50) thuộc Bộ
Công an…
NHNN cũng đã nghiên cứu, liên tục thay thế nhiều văn bản quy phạm hướng
dẫn các NHTM trong việc triển khai các dịch vụ ngân hàng điện tử bảo đảm an
toàn bảo mật nhằm đáp ứng những thay đổi nhanh chóng của CNTT.
4.6. Quá trình (process)
Tội phạm mạng là liên tục, không suy giảm và không thể dừng lại vì dễ thực

hiện, đem lại nhiều lợi lộc, cơ hội bị bắt và trừng phạt quá thấp do nhiều khách
hàng không thực hiện các biện pháp bảo vệ cơ bản nhất, và nhiều sản phẩm công
nghệ thiếu phòng thủ đầy đủ, trong khi tội phạm mạng ngày càng tinh vi về công
nghệ và đã nhanh chóng chuyển sang sử dụng đám mây điện toán, trí tuệ nhân tạo,
phần mềm dưới dạng dịch vụ và mã hóa (Gercke, 2012; Lewis, 2018).
Xét theo 4 nguyên tắc trên, pháp luật Việt Nam hiện thiếu có chế tài nghiêm
khắc và chưa hình sự hóa đối với hành vi mua bán, cho thuê trái pháp luật các
15


phương tiện thanh toán, đặc biệt là hành vi một số người dân mua bán, tiết lộ trái
phép thông tin thẻ ngân hàng của chính mình. Điều này có thể thấy qua thực tiễn
công tác đấu tranh phòng, chống tội phạm trong lĩnh vực ngân hàng và tội phạm
liên quan đến tiền giả của lực lượng Công an. Cụ thể, trong quá đấu tranh với tội
phạm liên quan tiền giả, lực lượng Công an nhận thấy, việc nhiều người dân mua
bán thậm chí là cho thuê thông tin thẻ ngân hàng (ATM) của mình cho “đường
dây” làm, tiêu thụ tiền giả đã gây nhiều khó khăn trong công tác phát hiện, ngăn
chặn các hành vi phạm tội. Ngoài ra, thực tiễn công tác đấu tranh đối với tội phạm
trong lĩnh vực ngân hàng thời gian qua cũng cho thấy, việc cung ứng dịch vụ thanh
toán, nhất là hành vi mở ATM phát sinh nhiều vấn đề phức tạp. Qua đấu tranh với
TPSDCNC, các đối tượng lợi dụng mạng máy tính, mạng viễn thông, mạng
internet... thực hiện hành vi chiếm đoạt tài sản thông qua thủ đoạn lừa đảo để nạn
nhân chuyển tiền vào tài khoản ATM mà các đối tượng mua được từ người khác.
Cơ quan Công an một số địa phương phát hiện nhiều trường hợp người dân đăng
ký mở ATM, sau đó bán thông tin cho các đối tượng xấu, tạo điều kiện cho các đối
tượng lừa đảo qua mạng, tội phạm rửa tiền,.... Về hành vi này, hiện nay các ngân
hàng và các tổ chức tín dụng chưa có chế tài nghiêm khắc, pháp luật hình sự cũng
chưa quy định cụ thể. Thời gian gần đây, trong Thông tư hướng dẫn việc mở và sử
dụng tài khỏa thanh toán tại tổ chức cung cứng dịch vụ thanh toán số 08/VBHNNHNN của NHNN ngày 27/2/2018 đã quy định nghĩa vụ của chủ tài khoản thanh
toán là “không được cho thuê, cho mượn tài khoản thanh toán của mình” (điểm h,

khoản 2, Điều 5), trong đó bao gồm thẻ ngân hàng, tuy nhiên chế tài đối với việc vi
phạm nghĩa vụ thì vẫn chưa được quy định. Thực tiễn cho thấy, cần thiết cần phải
có chế tài nghiêm khắc đối với hành vi mua bán, cho thuê trái pháp luật các
phương tiện thanh toán của chính khách hàng, thậm chí phải tội phạm hóa hành vi
này thông qua việc sửa đổi, bổ sung cấu thành Tội vi phạm quy định về hoạt động
ngân hàng, hoạt động khác liên quan đến hoạt động ngân hàng.
16


4.7. Tư tưởng (ideology)
Xét theo nguyên tắc 17, mặc dù đã có riêng một Đề án về tuyên truyền, phổ
biến, nâng cao nhận thức và trách nhiệm về ATTT mạng (phê duyệt tại Quyết định
893 ngày 19/6/2015 của Thủ tướng Chính phủ) nhưng người sử dụng còn chủ
quan, thờ ơ trong việc bảo mật thông tin tài khoản cá nhân khi sử dụng mạng xã
hội hoặc không quan tâm đến loại thẻ đó có những đặc điểm gì, tính năng khác hay
không. Vì vậy, những khe hở này đã tiếp tay cho những kẻ xấu hành động trái pháp
luật như lấy cắp mật khẩu rồi sau đó chế tạo thẻ giống hệt vậy, hoặc gắn thiết bị
theo dõi nhỏ bên ngoài hoặc bên trong cây ATM và theo dõi mọi hành vi của
khách hàng. Nhiều biểu hiện cho thấy ý thức của người sử dụng máy tính, thiết bị
số, mạng thông tin ở Việt Nam đối với việc bảo đảm an toàn cho thiết bị và hệ
thống thông tin còn thấp. Tình trạng sử dụng các phần mềm không có bản quyền,
phần mềm đã được bẻ khóa rất phổ biến ở Việt Nam, dẫn đến làm tăng nguy cơ
mất an toàn đối với các thiết bị và hệ thống thông tin của chính người sử dụng.
Phần lớn các máy tính, thiết bị không sử dụng các phần mềm bảo vệ (phần mềm
diệt virus) hoặc thiết lập tường lửa để bảo vệ. Đây là nguyên nhân dẫn đến việc lây
lan các phần mềm độc hại trở lên nhanh chóng, là tiền đề để đối tượng phạm tội
thực hiện các hành vi phạm tội về mạng máy tính.
Khách hàng tham gia khảo sát có trình độ học vấn khá cao, trên 90% có trình
độ đại học và sau đai học, 90,3% sống tại các trung tâm tài chính, văn hóa lớn của
cả nước là TP.HCM và Hà Nội. Tuy nhiên, kết quả khảo sát cho thấy, khác hàng

chưa thực sự quan tâm đến bảo mật và ATTT cũng như thiếu các am hiểu cơ bản về
vấn đề này. Khách hàng đều nắm được các phương thức lừa đảo với số người biết
lừa đảo ngân hàng trực tuyến; đánh cắp thông tin; phần mềm quảng cáo, gián điệp
lần lượt là 82%; 86,8%; 56,8%. Khách hàng cũng nhận thức được: (i) mật khẩu
càng phức tạp với các hỗn hợp số, chữ, ký tự lạ khả năng bảo mật càng cao, nhưng
không phải an toàn tuyệt đối (ii) Việc sử dụng kết hợp các số, chữ hoa và chữ
17


thường làm mật khẩu sẽ tăng tính bảo mật thông tin khách hàng, hạn chế rủi ro
việc ăn cắp dữ liệu và hack tài khoản với 66% tán thành, 28% cho rằng không cần
thiết vì quá phức tạp, khó nhớ và đây là việc mà các ngân hàng phải chịu trách
nhiệm; (iii) thường xuyên thay đổi mật khẩu sẽ giảm rủi ro bị tội phạm mạng tấn
công. Tuy nhiên, trên thực tế cũng chỉ có 27% khách hàng sử dụng cách thức ghi
mật khẩu là hỗn hợp số, chữ, ký tự lạ và 47% đồng ý thay đổi mật khẩu từ 3 - 6
tháng/1 lần vì:(i) mật khẩu thay đổi thường xuyên và liên tục rất bất tiện, gây khó
chịu cho người sử dụng ngân hàng trực tuyến; (ii) khó khăn khi phải đổi và nhớ
mật khẩu; (iii) dễ bị quên phải đến ngân hàng để cài lại mật khẩu và lộ mật khẩu
khi đổi mật khẩu nhiều lần.
Thực trạng trên cho thấy, các cơ quan, doanh nghiệp và người dân chưa ý thức
đầy đủ tầm quan trọng của công tác bảo mật cơ sở dữ liệu, hệ thống thông tin, chủ
quan với các cảnh báo an ninh, an toàn mạng; nhiều tổ chức, doanh nghiệp chưa
chú trọng đến đầu tư hệ thống bảo mật thông tin của đơn vị mình; khách hàng,
người sử dụng các dịch vụ ngân hàng trực tuyến, mạng xã hội còn chủ quan, mất
cảnh giác việc nâng cao nhận thức của người sử dụng. Bối cảnh này đặt ra thách
thức cho các đơn vị cung cấp dịch vụ thông tin, NHTM thao tác trên hệ thống và
người sử dụng bắt buộc phải tuân thủ các phương thức xác thực có mức độ bảo mật
cao, thiết lập các mật khẩu có định dạng an toàn cần thiết.
5. Khuyến nghị và kết luận
Một là, cần hoàn thiện khung pháp lý nhằm phát huy thế mạnh và tính kết nối

giữa các bên liên quan trong hệ thống NHTM để bảo đảm an toàn, bảo mật CNTT;
Hai là, cần chú trọng phát triển hoạt động của NHTM dựa trên khai thác công nghệ
để có thể phát triển theo hướng ứng dụng công nghệ và quản trị rủi ro; Ba là, tạo
điều kiện lan tỏa văn hóa bảo mật cho toàn bộ các bên liên quan trong hệ thống.
Chính vì vậy, NHNN và các NHTM cần dựa vào bộ tiêu chuẩn của BIS để xây
dựng bộ tiêu chuẩn đánh giá quản trị rủi ro công nghệ, đặc biệt là các nguyên tắc
18


về khả năng phục hồi mạng của FMIs. Trên cơ sở này, FMIs tại Việt Nam cần được
đánh giá theo nội dung hướng dẫn của BIS-CPMI và ISOCO với cách tiếp cận bảo
mật thông tin và sự hợp tác giữa các bên liên quan. Ngoài ra, việc tuân thủ các
khuyến nghị của BIS-CPMI và IOSCO là một trách nhiệm trực tiếp của NHNN
Việt Nam, đặc biệt là đối với các chương trình đánh giá ngành tài chính tương lai
(Financial Sector Assessment Program - FSAP) của Quỹ Tiền tệ Quốc tế
(Interantional Monetary Fund - IMF).
Tài liệu tham khảo
Bank of England (2018). Building the UK financial sector’s operational resilience.
Bening, R. (2019). Tackling cyber crime - A shared threat needs a shared response.
BIS (2012). Principles for financial market infrastructures. Retrieved from
/>BIS (2014). Cyber resilience in financial market infrastructures. Retrieved from
/>BIS (2016). Guidance on cyber resilience for financial market infrastructures.
Retrieved from />BIS

(2019).

CPMI

-


overview.

Retrieved

from

/>Basel (2011). Basel III: A global regulatory framework for more resilient banks
and banking systems.
CNMV (2017). Cyber security in market infrastructures. Retrieved from
/>d_Infraestructuras_Mercados_en.pdf.
FCA (2016). Our approach to cyber security in financial services firms.
FSB (2019). Principles for Financial Market Infrastructures (PFMI). Retrieved
from />Gercke, M. (2012). Understanding cybercrime: Phenomena, challenges and legal
19


response.
HKMA (2018). Principles for Financial Market Infrastructures: Disclosure for
HKD CHATS. Hong Kong Monetary Authority.
Hoepers, C., Jessen, S., K. & Faulhaber, H. (2014).The Importance of a
Multistakeholder Approach to Cybersecurity Effectiveness.
Khrais, L. T. (2015). Highlighting the Vulnerabilities of Online Banking System.
Lewis, J. (2018). Economic Impact of Cybercrime— No Slowing Down.
MAS (2019). External Publications and Papers.
Mei, T. T. (2017). Joining hands to fight cybercrime.
Fitzgerald, P. (2018). From cyber security to operational resilience.
WEF (2017). Guidance on Public Private Information Sharing against
Cybercrime.

20