Đang tải... (xem toàn văn)
Bốn nguyên tắc dành cho khả năng phục hồi mạng đối với các cơ sở hạ tầng thị trường tài chính đã được đề cập đến trong Bộ tài liệu 24 nguyên tắc quốc tế của BIS vào năm 2012 và được hoàn thiện đặc điểm kỹ thuật trong Bộ tài liệu hướng dẫn dành cho các cơ sở hạ tầng tài chính (FMIs) của BISCPMI và IOSCO vào năm 2016. Đó là các nguyên tắc về quản trị (nguyên tắc 2), khung quản lý rủi ro toàn diện (nguyên tắc 3), giải quyết cuối cùng về mặt tài chính khi thanh toán qua hệ thống (nguyên tắc 8), rủi ro hệ thống (nguyên tắc 17) và các liên kết giữa FMIs (nguyên tắc 20). Nghiên cứu tiến hành phân tích định tính các nguyên tắc trên thông qua mô hình ROCCIPI về rủi ro an ninh mạng, thực trạng phòng chống tội phạm công nghệ cao (TPSDCNC) của ngân hàng thương mại (NHTM) và các bên liên quan cùng với số liệu thu thập được từ quá trình khảo sát các chuyên gia CNTT (ICT), nhà quản lý ngân hàng và khách hàng. Từ đó, nghiên cứu khuyến nghị Ngân hàng Nhà nước (NHNN) và các NHTM cần dựa vào bộ tiêu chuẩn của BIS để xây dựng bộ tiêu chuẩn đánh giá quản trị rủi ro công nghệ, đặc biệt là các nguyên tắc về khả năng phục hồi mạng của FMIs.
CÁC NGUYÊN TẮC CỦA BIS-CPMI VÀ IOSCO VỀ KHẢ NĂNG PHỤC HỒI MẠNG CỦA CÁC CƠ SỞ HẠ TẦNG TÀI CHÍNH: TRƯỜNG HỢP VIỆT NAM Bốn nguyên tắc dành cho khả phục hồi mạng sở hạ tầng thị trường tài đề cập đến Bộ tài liệu 24 nguyên tắc quốc tế BIS vào năm 2012 hoàn thiện đặc điểm kỹ thuật Bộ tài liệu hướng dẫn dành cho sở hạ tầng tài (FMIs) BIS-CPMI IOSCO vào năm 2016 Đó nguyên tắc quản trị (nguyên tắc 2), khung quản lý rủi ro toàn diện (nguyên tắc 3), giải cuối mặt tài tốn qua hệ thống (nguyên tắc 8), rủi ro hệ thống (nguyên tắc 17) liên kết FMIs (nguyên tắc 20) Nghiên cứu tiến hành phân tích định tính nguyên tắc thơng qua mơ hình ROCCIPI rủi ro an ninh mạng, thực trạng phòng chống tội phạm cơng nghệ cao (TPSDCNC) ngân hàng thương mại (NHTM) bên liên quan với số liệu thu thập từ trình khảo sát chuyên gia CNTT (ICT), nhà quản lý ngân hàng khách hàng Từ đó, nghiên cứu khuyến nghị Ngân hàng Nhà nước (NHNN) NHTM cần dựa vào tiêu chuẩn BIS để xây dựng tiêu chuẩn đánh giá quản trị rủi ro công nghệ, đặc biệt nguyên tắc khả phục hồi mạng FMIs Đặt vấn đề Trung tâm Chiến lược Nghiên cứu quốc tế (Centre for Strategic and International Studies - CSIS) ước tính chi phí kinh tế tội phạm mạng toàn giới mức 600 tỷ USD (Fitzgerald, 2018) Do đó, cơng ty khơng nên xem an ninh mạng vấn đề công nghệ thông tin (CNTT) đơn mà bên liên quan cần phải đóng vai trò định việc giảm thiểu rủi ro Bên cạnh gia tăng rõ ràng việc quy định tập trung an ninh mạng, cách tiếp cận để giải rủi ro không gian mạng thay đổi Trong nỗ lực tìm kiếm giải pháp quản trị rủi ro cơng nghệ, Ủy ban tốn sở hạ tầng thị trường (Committee on Payments and Market Infrastructures - CPMI) thuộc Ngân hàng Thanh toán quốc tế (Bank for International Settlements - BIS) Tổ chức ủy ban chứng khoán quốc tế (International Organisation of Securities Commissions - IOSCO) sử dụng phương pháp tiếp cận trọng vào việc bảo đảm nhà quản lý cấp cao chịu trách nhiệm quản lý rủi ro hoạt động xem xét góc độ khả phục hồi mạng sở hạ tầng tài (financial market infrastructuress - FMIs) Theo đó, nguyên tắc dành cho khả phục hồi mạng FMIs đề cập đến Bộ tài liệu 24 nguyên tắc quốc tế hệ thống toán, lưu ký chứng khoán trung ương, hệ thống toán chứng khoán, đối tác trung tâm kho lưu trữ thương mại ban hành vào năm 2012 sở hạ tầng thị trường tài (Principles for Financial market infrastructures - PFMI) Đó nguyên tắc vấn đề quản trị (nguyên tắc 2), khung quản lý rủi ro toàn diện (nguyên tắc 3), giải cuối mặt tài tốn qua hệ thống (ngun tắc 8), rủi ro hệ thống (nguyên tắc 17) liên kết FMIs (nguyên tắc 20) (BIS, 2012) PFMI tiêu chuẩn quan trọng 12 tiêu chuẩn mà cộng đồng quốc tế coi thiết yếu để tăng cường trì ổn định tài Trong đó, 12 tiêu chuẩn thuộc lĩnh vực sách rộng lớn sách kinh tế vĩ mơ minh bạch liệu, quy định tài giám sát sở hạ tầng thể chế thị trường (FSB, 2019) Đến năm 2016, Bộ tài liệu hướng dẫn dành cho FMIs ban hành, khơng thiết lập tiêu chuẩn bổ sung cho FMI tiêu chuẩn quy định theo BIS-CPMI IOSCO dành cho FMIs mà làm rõ hoàn thiện đặc điểm kỹ thuật nguyên tắc dành cho khả phục hồi mạng FMIs có thuộc nguyên tắc 2, 3, 8, 17 20 (BIS, 2014; BIS, 2016; CNMV, 2017) Các nguyên tắc dành cho khả phục hồi mạng FMIs 60 ngân hàng trung ương thành viên BIS áp dụng thức Việt Nam chưa phải thành viên BIS (BIS, 2019) Do đó, nhóm tác giả tiến hành nghiên cứu áp dụng nguyên tắc BIS-CPMI IOSCO khả phục hồi mạng FMIs Việt Nam Qua đó, nghiên cứu xem xét vai trò NHTM bên liên quan quản trị rủi ro công nghệ đề xuất số khuyến nghị bảo đảm an ninh mạng nhằm phòng chống TPSDCNC bối cảnh Cơ sở lý luận Đề tài tiếp cận lý thuyết bên liên quan đến hiệu an ninh mạng (Hoepers, Jessen & Faulhaber, 2014; Mei, 2017), lý thuyết khuếch tán đổi (Rogers, 1962; Khrais, 2015; Bening, 2019; Gercke, 2012; Lewis, 2018) để làm sở lý luận cho nghiên cứu 2.1 Rủi ro an ninh mạng khả phục hồi mạng sở hạ tầng tài Trước đây, khái niệm rủi ro hoạt động khác Theo đó, rủi ro hoạt động thuật ngữ chủ yếu sử dụng rủi ro “còn lại” khơng thể chấp nhận tổ chức tài - khơng phân loại rủi ro tín dụng, rủi ro khoản rủi ro thị trường, vậy, ghi nhận chi tiết đơn hàng bảng cân đối kế toán Rủi ro hoạt động cuối định nghĩa rộng Ủy ban giám sát ngân hàng Basel vào đầu năm 2000 Khung Basel thể rõ ràng việc bao gồm rủi ro hoạt động yêu cầu vốn tối thiểu, với rủi ro tín dụng thị trường Ủy ban Basel xác định rủi ro hoạt động “Có nguy mát quy trình nội bộ, người hệ thống không đầy đủ thất bại từ kiện bên Định nghĩa bao gồm rủi ro pháp lý, loại trừ rủi ro chiến lược uy tín (BASEL, 2011) Định nghĩa rủi ro hoạt động bao gồm rủi ro khơng gian mạng, chưa có định nghĩa cụ thể chấp nhận toàn cầu rủi ro khơng gian mạng thời điểm BIS (2016) định nghĩa rủi ro hệ thống nguyên tắc 17, “Sự kết hợp xác suất kiện xảy phạm vi tài sản thơng tin, tài ngun máy tính truyền thông tổ chức hậu kiện tổ chức” Như vậy, nguyên tắc Bộ tài liệu PFMI nhận rủi ro hoạt động, bao gồm rủi ro không gian mạng, rủi ro cụ thể mà FMI phải đối mặt tuyên bố FMI cần có thỏa thuận mục tiêu quản trị để quản lý rủi ro cách toàn diện theo khung quản lý rủi ro Việc quản lý rủi ro không gian mạng bao gồm kỳ vọng nêu nguyên tắc 17 lưu ý quan trọng Hoạt động an tồn hiệu FMIs điều cần thiết để trì thúc đẩy ổn định tài tăng trưởng kinh tế Nếu khơng quản lý cách, FMI nguồn gây cú sốc tài chính, chẳng hạn trật tự khoản tổn thất tín dụng, kênh dẫn truyền cú sốc qua thị trường tài nước quốc tế Trong ngữ cảnh này, mức độ phục hồi không gian mạng, đóng góp cho khả phục hồi hoạt động FMIs (BIS, 2014; BIS, 2016) 2.2 Các nguyên tắc quốc tế BIS-CPMI IOSCO khả phục hồi mạng sở hạ tầng tài Tài liệu hướng dẫn BIS-CPMI IOSCO nhằm mục đích tăng thêm động lực thúc đẩy tính quán quốc tế nỗ lực liên tục ngành nhằm tăng cường khả phục hồi không gian mạng Điều bao gồm khả FMIs chống lại trước cơng mạng, phản ứng nhanh chóng hiệu với chúng đạt mục tiêu phục hồi mục tiêu nhanh an toàn cơng thành cơng Ngồi ra, tài liệu hướng dẫn cung cấp cho quan chức hướng dẫn quốc tế đồng ý để hỗ trợ giám sát giám sát quán, hiệu FMIs lĩnh vực rủi ro không gian mạng Về cốt lõi, tài liệu hướng dẫn yêu cầu FMIs phải thấm nhuần văn hóa nhận thức rủi ro không gian mạng thể đánh giá lại cải thiện liên tục tâm phục hồi không gian mạng họ cấp tổ chức Hơn nữa, hướng dẫn nhắm trực tiếp vào FMIs, điều quan trọng họ phải đóng vai trò tích cực việc tiếp cận người tham gia bên liên quan khác để thúc đẩy hiểu biết hỗ trợ mục tiêu phục hồi thực Các giải pháp hiệu yêu cầu hợp tác FMIs bên liên quan họ họ tìm cách tăng cường khả phục hồi khơng gian mạng họ (BIS, 2016) Trong 24 nguyên tắc Bộ tài liệu hướng dẫn dành cho PFMI (BIS, 2016), nguyên tắc phù hợp từ tài liệu nhằm cung cấp bổ sung cho PFMI khả phục hồi không gian mạng nguyên tắc 2, 3, 8, 17 20 Cụ thể sau: Nguyên tắc 2: Quản trị - Một FMI cần có thỏa thuận quản trị rõ ràng minh bạch, thúc đẩy an toàn hiệu FMI, hỗ trợ ổn định hệ thống tài rộng lớn hơn, cân nhắc lợi ích cơng cộng khác có liên quan, mục tiêu bên liên quan Nguyên tắc 3: Khung quản lý rủi ro toàn diện - Một FMI cần có khn khổ quản lý rủi ro hợp lý để quản lý tồn diện pháp lý, tín dụng, khoản, hoạt động rủi ro khác Nguyên tắc 8: Giải cuối mặt tài toán qua hệ thống- Một FMI cần cung cấp giải tài cuối rõ ràng định, mức tối thiểu vào cuối ngày giá trị Khi cần thiết tốt hơn, FMI cung cấp giải tài cuối ngày thời gian thực Nguyên tắc 17: Rủi ro hoạt động - Một FMI cần xác định nguồn gốc dẫn tới rủi ro hoạt động đáng, nội bên ngoài, giảm thiểu tác động chúng thông qua việc sử dụng hệ thống, sách, thủ tục kiểm sốt thích hợp Hệ thống nên thiết kế để bảo đảm mức độ bảo mật độ tin cậy hoạt động cao phải có đầy đủ, mở rộng sức chứa Quản lý liên tục kinh doanh nên nhằm mục đích phục hồi kịp thời hoạt động hồn thành nghĩa vụ FMI, kể trường hợp có gián đoạn diện rộng Nguyên tắc 20: Các liên kết FMI - Một FMI thiết lập liên kết với nhiều FMI nên xác định, giám sát quản lý rủi ro liên quan đến liên kết Dựa vào nguyên tắc khả phụ hồi mạng FMIs, tài liệu hướng dẫn BIS-CPMI OSCO (BIS, 2016) mô tả khung bảo mật không gian mạng gồm phần (Quản trị - Nhận biết - Bảo vệ - Phát - Đáp ứng phục hồi), loạt thực tiễn đưa nhằm tăng cường an ninh mạng nhà khai thác CSHT cập nhật liên tục theo tính chất phát triển mối đe dọa (BIS, 2016; CNMV, 2017) Bảng 1: Khung bảo mật không gian mạng Thành Nội dung phần Quản trị Điều bao gồm tất thỏa thuận thủ tục mà CSHT (Governan đưa vào thực tế để quản lý rủi ro không gian mạng Các biện ce) pháp không nên giới hạn điểm kỹ thuật mà bao gồm người Cụ thể, ban quản lý ban quản trị công ty cuối chịu trách nhiệm thiết lập đảm bảo tuân thủ kế hoạch an ninh mạng Các tổ chức nên ni dưỡng văn hóa doanh nghiệp cam kết mạnh mẽ nhận thức vấn đề an ninh mạng Để đảm bảo điều xảy ra, hội đồng quản trị nên bao gồm người có khả kiến thức kỹ thuật cần thiết Cơng ty văn hóa phải liên kết cam kết với khả phục hồi không gian mạng đảm bảo toàn tổ chức tham gia vào vấn đề Quản trị bao gồm yêu cầu nêu để bổ nhiệm cấp cao quản lý để giám sát việc thực giám sát sách an ninh mạng, với thẩm quyền, tính độc lập quyền truy cập vào hội đồng quản trị Kiểm tốn bên ngồi khuyến nghị để định kỳ đánh giá khả Nhận biết phục hồi khơng gian mạng CSHT Mục đích để xác định CSHT CSHT hoạt (Identificat động quan trọng cần bảo vệ ưu tiên khỏi công ion) mạng phân bổ tài nguyên phù hợp Quản lý đơn hàng thực hiện, quản lý rủi ro, giám sát hệ thống truyền thông công ty phải đưa vào quy trình quan trọng Nhu cầu liên quan đến số lượng người lớn từ tổ chức nhiệm vụ an ninh mạng lần nhấn mạnh Báo cáo đề xuất thành lập ủy ban với đại diện từ hệ thống thông tin, ngành nghề kinh doanh, vấn đề pháp lý, nhân sự, truyền thông quản lý rủi ro Hầu hết sở giao dịch thảo luận báo cáo có giám đốc an ninh Bảo vệ thơng tin CSHT phải đặt chế kiểm soát với tiêu chuẩn an ninh (Protection mạng đòi hỏi khắt khe Các biện pháp tổ ) chức, chẳng hạn tạo trung tâm bảo mật hoạt động, kỹ thuật, chẳng hạn hệ thống chống vi-rút chống xâm nhập a Bảo vệ trình tài sản quan trọng Với nhấn mạnh đặc biệt vào việc bảo vệ thơng tin xác định điểm yếu Nó khuyến nghị quy trình thiết kế lại để kết hợp phân khúc điểm kiểm soát lớn để tách biệt vấn đề b Liên kết Thực biện pháp bảo vệ để giảm thiểu rủi ro yêu cầu nhà cung cấp dịch vụ người tham gia cung cấp tiêu chuẩn bảo mật mạng cao c Các mối đe dọa nội Phát hành vi danh nghĩa nhân viên kiểm soát giới hạn quyền truy cập vào nhân viên ủy quyền d Đào tạo Với nhấn mạnh tập trung đặc biệt vào nhóm nhân viên có quyền truy cập vào hệ thống quy trình bị Phát hạn chế Khả nhận cố tiềm ẩn phát vi phạm (Detection) bảo mật hệ thống a Giám sát vĩnh viễn thời gian thực với độ trễ phát hoạt động bất thường b Giám sát loạt yếu tố bên bên c Điều khiển nhiều lớp bao gồm người quy trình cấp hoạt động mạng bảo mật cấp trước Đáp ứng Khả CSHT để tiếp tục vận hành, khôi phục hệ phục hồi thống quan trọng sau cơng giảm rủi ro hệ thống (Response có khả làm gián đoạn hoạt động and a Kế hoạch ứng phó Để xác định thiệt hại quy mô recovery) công thực biện pháp ngăn chặn b Khởi động lại sau hai Các quy trình hoạt động quan trọng phải khơi phục vòng hai sau công giao dịch hồn thành bị xóa trước phiên giao dịch mở c Kế hoạch dự phòng Nếu chứng tỏ khơng thể khởi động lại hoạt động quan trọng vòng hai phải có kế hoạch thay bao gồm nhiều kịch khác d Lập kế hoạch chuẩn bị Các tổ chức CSHT phải chuẩn bị thường xuyên kiểm tra kế hoạch phản ứng phục hồi công e Liên kết Trong trường hợp công xâm phạm tính tồn vẹn liệu chí bảo mật lưu, khuyến nghị liệu nên lấy từ bên thứ ba CSHT thị trường mở cửa cho thành viên họ, người có quyền truy cập thời gian thực vào hệ thống giao dịch kho lưu trữ thương mại Nguồn: BIS (2016) CNMV (2017) 2.3 Sự áp dụng phổ biến giới nguyên tắc quản trị rủi ro công nghệ BIS-CPMI IOSCO khả phục hồi mạng FMIs Năm 2015, nhà quản lý cấp cao quan cấp chứng nhận Anh phát triển cách tiếp cận BIS Theo đó, nước Anh, quan giám sát khuyến nghị tăng cường sử dụng bảng câu hỏi để đánh giá khả phục hồi hoạt động tương lai, có khả dựa khn khổ có việc hỗ trợ đánh giá khả công ty FMIs.Trong đó, khung bao gồm hướng dẫn CPMI-IOSCO, yếu tố an ninh mạng G7, khung bảo mật không gian mạng Viện tiêu chuẩn công nghệ quốc gia (National Institute of Standards & Technology - NIST) khung đánh giá mạng Trung tâm an ninh mạng quốc gia (National Cyber Security Centre NCSC) (FCA, 2016; Bank of England, 2018) Cơ quan tiền tệ Singapore (Monetary Authority of Singapore - MAS) Ủy ban chứng khốn Hồng Kơng (Hong Kong Securities and Futures Commission HKSFC) thực theo Anh để cải thiện FMIs (HKMA, 2018; Parkerfitzgerald, 2018; MAS, 2019) Tại Châu Âu, Hội đồng quản trị Ngân hàng Trung ương châu Âu (European Central Bank - ECB) thông qua tiêu chuẩn cho sở hạ tầng thị trường tài tốn (Payments and Market Infrastructures - PFMIs) vào tháng 6/2013 Khi phát triển Kỳ vọng giám sát khả phục hồi không gian mạng (cyber resilience oversight expectations - CROE), ECB tính đến tài liệu hướng dẫn quốc tế có, đặc biệt Khung bảo mật mạng Viện Tiêu chuẩn công nghệ quốc gia Hoa Kỳ công bố, tiêu chuẩn thực hành tốt bảo mật thông tin theo ISO/IEC 27002, khung COBIT quản trị quản lý CNTT doanh nghiệp, Tiêu chuẩn thực hành tốt bảo mật thông tin Diễn đàn bảo mật thông tin Công cụ đánh giá an ninh mạng Hội đồng kiểm tra tài liên bang Hoa Kỳ CROE tuân theo Hướng dẫn việc xác định FMIs hệ thống toán quan trọng có hệ thống, lưu ký chứng khốn trung tâm, hệ thống toán chứng khoán, đối tác trung tâm kho lưu trữ thương mại Theo Ủy ban giám sát tài (Financial Stability Board - FSB), 72% khu vực pháp lý G20 báo cáo kế hoạch ban hành quy định, hướng dẫn thực hành giám sát nhằm giải vấn đề an ninh mạng cho lĩnh vực tài năm tới (Parker-fitzgerald, 2018) Trong đó, nguyên tắc quản lý rủi ro công nghệ BIS hướng dẫn BIS-CPMI IOSCO kết hợp với quy định đặc thù quốc gia ngân hàng trung 10 ương ủy ban chứng khoán thành viên áp dụng thực nhằm góp phần cải thiện khả phục hồi FMIs Phương pháp nghiên cứu Đề tài thu thập thông tin sơ cấp từ việc thực khảo sát 29 chuyên gia ICT NHTM ý kiến chuyên sâu lãnh đạo ngân hàng phụ trách mảng an ninh thông tin ngân hàng (i) hạ tầng kỹ thuật, (ii) nhân lực, tổ chức quản trị, (iii) điểm mạnh điểm yếu cơng tác phòng chống TPSDCNC Ngoài ra, đề tài thu thập liệu khảo sát từ 866 người dung để tìm hiểu nhận thức người dân an tồn thơng tin (ATTT) mạng TPSDCNC Đề tài sử dụng phương pháp phân tích định tính thơng qua mơ hình ROCCIPI (Quy tắc - Cơ hội Năng lực - Giao tiếp - Quan tâm - Quá trình - Ý thức hệ, tư tưởng) Phương pháp giải vấn đề ROCCIPI cách để giải thích hành vi có vấn đề lặp lặp lại để hiểu rõ hành vi Bằng cách hiểu rõ hành vi, bắt đầu đề xuất phản ứng sách xác để thay đổi hành vi ROCCIPI từ viết tắt bảy yếu tố giải thích cho hành vi có vấn đề Mỗi yếu tố tập trung vào khía cạnh hành vi đặt câu hỏi dẫn đến hiểu biết tốt vấn đề phản ứng sách có ý nghĩa Bảy yếu tố chia thành hai loại, bao gồm yếu tố chủ quan (quan tâm, tư tưởng) yếu tố khách quan (5 yếu tố lại) Trong nghiên cứu này, nhóm tác giả phân tích thực trạng phòng chống TPSDCNC NHTM bên liên quan theo ROCCIPI, qua xem xét khả phục hồi mạng FMIs Việt Nam theo nguyên tắc BIS-CPMI IOSCO Thực trạng bảo đảm an tồn thơng tin mạng Việt Nam theo mơ hình ROCCIPI 4.1 Quy tắc (rule) Xét theo nguyên tắc 3, Việt Nam ngày hồn thiện khung pháp lý 11 góp phần phòng chống TPSDCNC nói chung, ngành Ngân hàng nói riêng Việt Nam có 40 văn ATTT mạng với văn pháp quy có giá trị cao điều chỉnh hành vi bên liên quan đến phòng chống TPSDCNC Luật An ninh mạng số 24/2018/QH14 ban hành ngày 12/6/2018 có hiệu lực vào 01/01/2019 Trước có Luật An ninh mạng, hành lang pháp lý bảo đảm ATTT có Luật Giao dịch điện tử ngày 29/11/2005, Luật CNTT ngày 29/06/2006, Luật ATTT mạng ngày 19/11/2015, tạo tảng pháp lý nâng cao chất lượng hoạt động bảo vệ hệ thống CNTT mạng máy tính Việt Nam trước công TPSDCNC Văn luật chuyên ngành có: Quyết định số 986/QĐTTg ngày 8/8/2018 Thủ tướng Chính phủ Về việc Phê duyệt Chiến lược phát triển ngành Ngân hàng Việt Nam đến năm 2025, định hướng đến năm 2030; Quyết định số 488/QĐ-TTg ngày 27/3/2017 NHNN Việt Nam việc ban hành Kế hoạch ứng dụng CNTT tổ chức tín dụng giai đoạn 2017 - 2020 Tuy nhiên, hành lang pháp lý cho việc phòng chống TPSDCNC số vấn đề cần điều chỉnh: (i) Chưa có Thơng tư liên ngành phòng, chống TPSDCNC; (ii) Một số luật thiếu số nội dung Luật tổ chức tín dụng chưa có nội dung Luật toán mới; Luật Giao dịch điện tử, Luật xử lý vi phạm hành chính, Pháp lệnh Thương mại điện tử chưa có chế định hành vi tội phạm, chứng cứ, biện pháp ngăn chặn; Bộ luật Tố tụng hình chưa có quy định có liên quan đến chứng điện tử, thủ tục tố tụng hình việc thu thập, bảo quản, phục hồi giám định chứng điện tử phù hợp với đặc điểm, tính chất TPSDCNC 4.2 Cơ hội (opportunity) Xét theo nguyên tắc 17, hệ thống CNTT dù đại cần tương tác với người việc cung cấp thông tin đầu vào Các sai sót q trình tương tác khơng với quy định, vượt ngồi tầm kiểm sốt, sàng lọc thơng tin đầu vào thiếu chặt chẽ dẫn đến an toàn cho hệ 12 thống/cho khách hàng Nếu ngân hàng chủ động kiểm sốt hoạt động từ ngân hàng, bên phía khách hàng lại phụ thuộc vào họ yếu tố bên ngồi khác Trước tình trạng cơng tác quản trị rủi ro cơng nghệ chưa chun mơn hóa, nhiều NHTM coi phần nhỏ rủi ro hoạt động, NHNN định hướng cho thay đổi Thông tư 18/2018/TTNHNN Điều 12 khoản 2, mục b (Thành lập định phận chuyên trách để quản lý vận hành trung tâm Điều hành an ninh mạng đáp ứng yêu cầu Thông tư 18/2018/TT-NHNN) Chính vậy, hệ thống NHTM Việt Nam nên thiết kế để cung cấp mức độ bảo mật độ tin cậy hoạt động cao phải có cơng suất phù hợp, mở rộng Quản lý liên tục việc kinh doanh nên nhằm mục đích khơi phục hoạt động với độ trễ ngắn có thể, theo ngun tắc vòng hai Với lan rộng bùng nổ Internet giao dịch tài điện tử, dịch vụ bảo mật trực tuyến trở thành yêu cầu thiết yếu thước đo quan trọng việc đánh giá lực cạnh tranh dịch vụ ngân hàng trực tuyến Theo đó, ngân hàng bắt buộc phải cung cấp môi trường ngân hàng trực tuyến an tồn dựa quy trình bảo mật nâng cao Ngân hàng an toàn tương lai với việc phòng ngừa chủ động, lớp phòng thủ độc đáo để bảo vệ tài sản khách hàng phải sử dụng nhiều cơng nghệ, đặc biệt cơng nghệ ứng dụng trí tuệ nhân tạo để chủ động ngăn chặn vi phạm tiềm ẩn liệu (Khrais, 2015; Bening, 2019) 4.3 Năng lực (capacity) Xét theo nguyên tắc 2, 17, NHTM quan tâm đầu tư, đổi cơng nghệ, bước hồn chỉnh hạ tầng CNTT nói chung hạ tầng an ninh, bảo mật nói riêng Cụ thể: Trung tâm liệu Trung tâm liệu dự phòng hệ thống quan trọng, 100% NHTM đầu tư, trang bị giải pháp an ninh bảo mật như: tường lửa; hệ thống phát xâm nhập (IPS/IDS); hệ 13 thống phòng chống virus; xác thực đa thành tố giao dịch điện tử; mã hóa liệu hệ thống quan trọng Phần lớn NHTM trang bị giải pháp tăng cường an toàn, an ninh mạng như: hệ thống quản lý kiện an ninh; hệ thống phòng chống thư rác; hệ thống lọc nội dung Web; hệ thống quản lý file nhật ký; hệ thống đánh giá điểm yếu ứng dụng mạng; công nghệ chữ ký số Tuy nhiên, có NHTM Việt Nam có số sẵn sàng phát triển ứng dụng công nghệ thông tin mức trung bình Số lượng NHTM đạt tiêu chuẩn quốc tế an ninh bảo mật tăng lên hàng năm, đến có 43,8% NHTM đạt chứng CNTT Trong số 34 NHTM triển khai tiêu chuẩn PCI/DSS, có NHTM nhận chứng nhận đạt chuẩn; 14 NHTM triển khai áp dụng tiêu chuẩn ISO 27001, có NHTM nhận chứng nhận đạt chuẩn Các NHTM Việt Nam chưa đạt độ trưởng thành cơng nghệ để thực thử nghiệm xâm nhập (Penetration Testing - Pentest) Các chuyên gia ICT điểm yếu mà NHTM cần khắc phục Các chuyên gia ICT nhấn mạnh yếu tố bên chưa đầu tư mức cho công nghệ bảo mật, trình độ nguồn nhân lực (nhân lực CNTT, đặc biệt nhân lực ATTT vấn đề khó khăn NHTM), đồng thời đặc biệt quan tâm đến yếu tố liên quan nhận thức khách hàng, tính đồng triển khai bảo mật quy chuẩn chung 4.4 Giao tiếp (communication) Xét theo nguyên tắc 20, NHTM chưa có tiêu chuẩn đánh giá chất lượng công nghệ chung phép ứng dụng lĩnh vực ngân hàng, chưa triển khai đồng tảng cơng nghệ tài chuẩn, dẫn đến xuất lỗ hổng ATTT thị trường liên ngân hàng Điều làm cho hệ thống ngân hàng hoạt động chưa thống gây khó khăn công tác bảo mật bảo đảm ATTT Các NHTM chưa có kênh thơng tin riêng chia sẻ thơng tin có liên 14 quan đến phối hợp liên kết để hỗ trợ loại trừ tình tiêu cực, nhằm chủ động giám sát ngăn chặn nhóm TPSDCNC chưa có hệ thống liên kết phòng ngừa TPSDCNC, tội phạm rửa tiền q trình cung ứng dịch vụ tài công nghệ 4.5 Quan tâm (interest) Xét theo nguyên tắc 3, năm gần đây, phòng chống TPSDCNC lên thành mối quan tâm hàng đầu, đặc biệt ngành ngân hàng Theo số liệu WEF (2017), rủi ro tội phạm mạng công xếp hàng thứ năm sau rủi ro thảm họa người tạo ra, khủng hoảng tài chính, xung đột nước, thất nghiệp thiếu việc làm Lực lượng tham gia phòng chống TPSDCNC Việt Nam có Bộ Cơng an, Bộ Quốc phòng, Bộ Thơng tin Truyền thông Bộ chủ quản hệ thống thơng tin Nhiều chủ quản có chun trách ATTT cho ngành: Cục Công nghệ Tin học thuộc NHNN, Cục Cảnh sát phòng chống TPSDCNC (C50) thuộc Bộ Công an… NHNN nghiên cứu, liên tục thay nhiều văn quy phạm hướng dẫn NHTM việc triển khai dịch vụ ngân hàng điện tử bảo đảm an toàn bảo mật nhằm đáp ứng thay đổi nhanh chóng CNTT 4.6 Quá trình (process) Tội phạm mạng liên tục, khơng suy giảm khơng thể dừng lại dễ thực hiện, đem lại nhiều lợi lộc, hội bị bắt trừng phạt thấp nhiều khách hàng không thực biện pháp bảo vệ nhất, nhiều sản phẩm cơng nghệ thiếu phòng thủ đầy đủ, tội phạm mạng ngày tinh vi cơng nghệ nhanh chóng chuyển sang sử dụng đám mây điện tốn, trí tuệ nhân tạo, phần mềm dạng dịch vụ mã hóa (Gercke, 2012; Lewis, 2018) Xét theo nguyên tắc trên, pháp luật Việt Nam thiếu có chế tài nghiêm khắc chưa hình hóa hành vi mua bán, cho thuê trái pháp luật 15 phương tiện toán, đặc biệt hành vi số người dân mua bán, tiết lộ trái phép thông tin thẻ ngân hàng Điều thấy qua thực tiễn cơng tác đấu tranh phòng, chống tội phạm lĩnh vực ngân hàng tội phạm liên quan đến tiền giả lực lượng Công an Cụ thể, đấu tranh với tội phạm liên quan tiền giả, lực lượng Công an nhận thấy, việc nhiều người dân mua bán chí cho th thơng tin thẻ ngân hàng (ATM) cho “đường dây” làm, tiêu thụ tiền giả gây nhiều khó khăn cơng tác phát hiện, ngăn chặn hành vi phạm tội Ngồi ra, thực tiễn cơng tác đấu tranh tội phạm lĩnh vực ngân hàng thời gian qua cho thấy, việc cung ứng dịch vụ toán, hành vi mở ATM phát sinh nhiều vấn đề phức tạp Qua đấu tranh với TPSDCNC, đối tượng lợi dụng mạng máy tính, mạng viễn thơng, mạng internet thực hành vi chiếm đoạt tài sản thông qua thủ đoạn lừa đảo để nạn nhân chuyển tiền vào tài khoản ATM mà đối tượng mua từ người khác Cơ quan Công an số địa phương phát nhiều trường hợp người dân đăng ký mở ATM, sau bán thơng tin cho đối tượng xấu, tạo điều kiện cho đối tượng lừa đảo qua mạng, tội phạm rửa tiền, Về hành vi này, ngân hàng tổ chức tín dụng chưa có chế tài nghiêm khắc, pháp luật hình chưa quy định cụ thể Thời gian gần đây, Thông tư hướng dẫn việc mở sử dụng tài khỏa toán tổ chức cung cứng dịch vụ toán số 08/VBHNNHNN NHNN ngày 27/2/2018 quy định nghĩa vụ chủ tài khoản tốn “khơng cho th, cho mượn tài khoản tốn mình” (điểm h, khoản 2, Điều 5), bao gồm thẻ ngân hàng, nhiên chế tài việc vi phạm nghĩa vụ chưa quy định Thực tiễn cho thấy, cần thiết cần phải có chế tài nghiêm khắc hành vi mua bán, cho thuê trái pháp luật phương tiện tốn khách hàng, chí phải tội phạm hóa hành vi thơng qua việc sửa đổi, bổ sung cấu thành Tội vi phạm quy định hoạt động ngân hàng, hoạt động khác liên quan đến hoạt động ngân hàng 16 4.7 Tư tưởng (ideology) Xét theo nguyên tắc 17, có riêng Đề án tuyên truyền, phổ biến, nâng cao nhận thức trách nhiệm ATTT mạng (phê duyệt Quyết định 893 ngày 19/6/2015 Thủ tướng Chính phủ) người sử dụng chủ quan, thờ việc bảo mật thông tin tài khoản cá nhân sử dụng mạng xã hội không quan tâm đến loại thẻ có đặc điểm gì, tính khác hay khơng Vì vậy, khe hở tiếp tay cho kẻ xấu hành động trái pháp luật lấy cắp mật sau chế tạo thẻ giống hệt vậy, gắn thiết bị theo dõi nhỏ bên bên ATM theo dõi hành vi khách hàng Nhiều biểu cho thấy ý thức người sử dụng máy tính, thiết bị số, mạng thơng tin Việt Nam việc bảo đảm an toàn cho thiết bị hệ thống thơng tin thấp Tình trạng sử dụng phần mềm khơng có quyền, phần mềm bẻ khóa phổ biến Việt Nam, dẫn đến làm tăng nguy an toàn thiết bị hệ thống thơng tin người sử dụng Phần lớn máy tính, thiết bị khơng sử dụng phần mềm bảo vệ (phần mềm diệt virus) thiết lập tường lửa để bảo vệ Đây nguyên nhân dẫn đến việc lây lan phần mềm độc hại trở lên nhanh chóng, tiền đề để đối tượng phạm tội thực hành vi phạm tội mạng máy tính Khách hàng tham gia khảo sát có trình độ học vấn cao, 90% có trình độ đại học sau đai học, 90,3% sống trung tâm tài chính, văn hóa lớn nước TP.HCM Hà Nội Tuy nhiên, kết khảo sát cho thấy, khác hàng chưa thực quan tâm đến bảo mật ATTT thiếu am hiểu vấn đề Khách hàng nắm phương thức lừa đảo với số người biết lừa đảo ngân hàng trực tuyến; đánh cắp thông tin; phần mềm quảng cáo, gián điệp 82%; 86,8%; 56,8% Khách hàng nhận thức được: (i) mật phức tạp với hỗn hợp số, chữ, ký tự lạ khả bảo mật cao, khơng phải an tồn tuyệt đối (ii) Việc sử dụng kết hợp số, chữ hoa chữ 17 thường làm mật tăng tính bảo mật thơng tin khách hàng, hạn chế rủi ro việc ăn cắp liệu hack tài khoản với 66% tán thành, 28% cho khơng cần thiết q phức tạp, khó nhớ việc mà ngân hàng phải chịu trách nhiệm; (iii) thường xuyên thay đổi mật giảm rủi ro bị tội phạm mạng công Tuy nhiên, thực tế có 27% khách hàng sử dụng cách thức ghi mật hỗn hợp số, chữ, ký tự lạ 47% đồng ý thay đổi mật từ - tháng/1 lần vì:(i) mật thay đổi thường xuyên liên tục bất tiện, gây khó chịu cho người sử dụng ngân hàng trực tuyến; (ii) khó khăn phải đổi nhớ mật khẩu; (iii) dễ bị quên phải đến ngân hàng để cài lại mật lộ mật đổi mật nhiều lần Thực trạng cho thấy, quan, doanh nghiệp người dân chưa ý thức đầy đủ tầm quan trọng công tác bảo mật sở liệu, hệ thống thông tin, chủ quan với cảnh báo an ninh, an toàn mạng; nhiều tổ chức, doanh nghiệp chưa trọng đến đầu tư hệ thống bảo mật thông tin đơn vị mình; khách hàng, người sử dụng dịch vụ ngân hàng trực tuyến, mạng xã hội chủ quan, cảnh giác việc nâng cao nhận thức người sử dụng Bối cảnh đặt thách thức cho đơn vị cung cấp dịch vụ thông tin, NHTM thao tác hệ thống người sử dụng bắt buộc phải tuân thủ phương thức xác thực có mức độ bảo mật cao, thiết lập mật có định dạng an tồn cần thiết Khuyến nghị kết luận Một là, cần hoàn thiện khung pháp lý nhằm phát huy mạnh tính kết nối bên liên quan hệ thống NHTM để bảo đảm an toàn, bảo mật CNTT; Hai là, cần trọng phát triển hoạt động NHTM dựa khai thác cơng nghệ để phát triển theo hướng ứng dụng công nghệ quản trị rủi ro; Ba là, tạo điều kiện lan tỏa văn hóa bảo mật cho toàn bên liên quan hệ thống Chính vậy, NHNN NHTM cần dựa vào tiêu chuẩn BIS để xây dựng tiêu chuẩn đánh giá quản trị rủi ro công nghệ, đặc biệt nguyên tắc 18 khả phục hồi mạng FMIs Trên sở này, FMIs Việt Nam cần đánh giá theo nội dung hướng dẫn BIS-CPMI ISOCO với cách tiếp cận bảo mật thông tin hợp tác bên liên quan Ngoài ra, việc tuân thủ khuyến nghị BIS-CPMI IOSCO trách nhiệm trực tiếp NHNN Việt Nam, đặc biệt chương trình đánh giá ngành tài tương lai (Financial Sector Assessment Program - FSAP) Quỹ Tiền tệ Quốc tế (Interantional Monetary Fund - IMF) Tài liệu tham khảo Bank of England (2018) Building the UK financial sector’s operational resilience Bening, R (2019) Tackling cyber crime - A shared threat needs a shared response BIS (2012) Principles for financial market infrastructures Retrieved from https://www.bis.org/cpmi/publ/d101a.pdf BIS (2014) Cyber resilience in financial market infrastructures Retrieved from https://www.bis.org/cpmi/publ/d122.pdf BIS (2016) Guidance on cyber resilience for financial market infrastructures Retrieved from https://www.bis.org/cpmi/publ/d146.pdf BIS (2019) CPMI - overview Retrieved from https://www.bis.org/about/profile_en.pdf Basel (2011) Basel III: A global regulatory framework for more resilient banks and banking systems CNMV (2017) Cyber security in market infrastructures Retrieved from https://www.cnmv.es/DocPortal/Publicaciones/Ciberseguridad/Cibersegurida d_Infraestructuras_Mercados_en.pdf FCA (2016) Our approach to cyber security in financial services firms FSB (2019) Principles for Financial Market Infrastructures (PFMI) Retrieved from https://www.bis.org/cpmi/info_pfmi.htm Gercke, M (2012) Understanding cybercrime: Phenomena, challenges and legal 19 response HKMA (2018) Principles for Financial Market Infrastructures: Disclosure for HKD CHATS Hong Kong Monetary Authority Hoepers, C., Jessen, S., K & Faulhaber, H (2014).The Importance of a Multistakeholder Approach to Cybersecurity Effectiveness Khrais, L T (2015) Highlighting the Vulnerabilities of Online Banking System Lewis, J (2018) Economic Impact of Cybercrime— No Slowing Down MAS (2019) External Publications and Papers Mei, T T (2017) Joining hands to fight cybercrime Fitzgerald, P (2018) From cyber security to operational resilience WEF (2017) Guidance on Public Private Information Sharing against Cybercrime 20 ... cảnh này, mức độ phục hồi khơng gian mạng, đóng góp cho khả phục hồi hoạt động FMIs (BIS, 2014; BIS, 2016) 2.2 Các nguyên tắc quốc tế BIS-CPMI IOSCO khả phục hồi mạng sở hạ tầng tài Tài liệu hướng... xem xét khả phục hồi mạng FMIs Việt Nam theo nguyên tắc BIS-CPMI IOSCO Thực trạng bảo đảm an tồn thơng tin mạng Việt Nam theo mơ hình ROCCIPI 4.1 Quy tắc (rule) Xét theo nguyên tắc 3, Việt Nam ngày... hành vào năm 2012 sở hạ tầng thị trường tài (Principles for Financial market infrastructures - PFMI) Đó nguyên tắc vấn đề quản trị (nguyên tắc 2), khung quản lý rủi ro toàn diện (nguyên tắc 3),