Đề xuất giải pháp bảo mật dữ liệu riêng tư trong xếp hạng tín dụng của các ngân hàng thương mại ở Việt Nam

Thông tin tài liệu

Xếp hạng tín dụng khách hàng (hay còn được gọi là chấm điểm tín dụng) được đánh giá là một trong những khâu quan trọng nhất giúp các ngân hàng thương mại (NHTM)/ tổ chức tín dụng (TCTD) phòng ngừa và hạn chế rủi ro trong hoạt động tín dụng. Bài viết trình bày việc đề xuất một giải pháp cho phép các NHTM/TCTD xếp hạng tín dụng khách hàng trong khi hạn chế tối đa việc chia sẻ dữ liệu của khách hàng giữa các bên liên quan.

Đề xuất giải pháp bảo mật liệu riêng tư xếp hạng tín dụng ngân hàng thương mại Việt Nam Đinh Trọng Hiếu Nguyễn Thị Thu Trang Khoa Hệ thống thông tin quản lý, Học viện Ngân hàng Xếp hạng tín dụng khách hàng (hay cịn gọi chấm điểm tín dụng) đánh giá khâu quan trọng giúp các ngân hàng thương mại (NHTM)/ tổ chức tín dụng (TCTD) phịng ngừa và hạn chế rủi ro hoạt đợng tín dụng Tuy nhiên, việc tiếp cận tới các thơng tin khách hàng phục vụ cho việc chấm điểm tín dụng, đặc biệt những thơng tin mang tính chất riêng tư, nhạy cảm điều không đơn giản Thậm chí, kể khách hàng đồng ý cho các NHTM/TCTD sử dụng liệu việc lưu trữ, quản lý liệu theo quy định phức tạp Bài báo này, chúng đề xuất giải pháp cho phép các NHTM/TCTD xếp hạng tín dụng khách hàng hạn chế tối đa việc chia sẻ liệu khách hàng bên liên quan Giải pháp A solution to secure private data in credit scoring for commercial banks in Vietnam Abstract: Credit rating (also known as credit scoring) is considered as one of the most important steps to help commercial banks and credit institutions prevent and limit risks in credit activities However, access to customer information for credit scoring is not simple, especially confidential and sensitive information Even if the customer agrees to let the commercial banks or credit institutions use their data, the storage and management of such data in accordance with the regulations is also very complicated In this paper, we propose a solution that allows commercial banks/credit institutions to calculate customer credit score while minimizing the sharing of customer data among stakeholders Our solution helps protect the privacy and confidentiality of all parties Keywords: credit scoring, security, private data, banking Hieu Trong Dinh Email: hieudt@hvnh.edu.vn Trang Thi Thu Nguyen Email: trangntt83@gmail.com Organization of all: Faculty of Management Information Systems, Banking Academy of Vietnam Bài báo thực khuôn khổ Đề tài khoa học cấp Học viện Ngân hàng: “Nghiên cứu ứng dụng giải pháp khai phá liệu đảm bảo tính riêng tư phân tích liệu NHTM Việt Nam”, Thạc sỹ Vũ Duy Hiến làm chủ nhiệm nhóm thành viên thực hiện, Mã số: DTHV.02/2019 Ngày nhận: 28/04/2020 © Học viện Ngân hàng ISSN 1859 - 011X Ngày nhận sửa: 14/05/2020 Ngày duyệt đăng: 15/00/2019 Tạp chí Khoa học & Đào tạo Ngân hàng Số 218- Tháng 2020 Đề xuất giải pháp bảo mật liệu riêng tư xếp hạng tín dụng ngân hàngthương mại Việt Nam kỳ vọng giúp thơng tin riêng tư bí mật bên bảo vệ an toàn Từ khóa: bảo mật, liệu riêng tư, xếp hạng tín dụng Giới thiệu Trong lĩnh vực tài chính- ngân hàng (TCNH), hoạt động xếp hạng tín dụng khách hàng là đánh giá rủi ro tín dụng, chất lượng tín dụng, khả thiện chí chủ thể vay việc đáp ứng nghĩa vụ tài cách đầy đủ hạn (Reserve, 2007) Hoạt động đánh giá khâu quan trọng giúp NHTM TCTD phòng ngừa và hạn chế rủi ro hoạt đợng tín dụng Hiện nay, đối với các NHTM cổ phần (NHTMCP) ở Việt Nam Vietcombank, BIDV, Vietinbank, công cụ xếp hạng tín dụng phổ biến nhất sử dụng là chấm điểm tín dụng theo mô hình được tư vấn bởi chuyên gia (Dinh & Kleimeiera, 2007; Lê & Đặng, 2016; Nguyễn, 2019) Để phục vụ cho hoạt động xếp hạng tín dụng, mỗi khách hàng cần phải cung cấp nhiều thông tin, bao gồm cả thông tin mang tính riêng tư như: thu nhập cá nhân, tổng số dư nợ hiện tại, gói bảo hiểm nhân thọ tham gia, cước di động hàng tháng cho NHTM/TCTD Những liệu, thông tin thường chia sẻ từ phía bên sở hữu (ví dụ: CIC, cơng ty bảo hiểm nhân thọ, công ty viễn thông, quan thuế…) đồng ý khách hàng Mặc dù việc sử dụng, lưu trữ bảo vệ liệu thông tin riêng tư cá nhân quy định Điều 21 (Hiến pháp, 2013), Nghị định 117 (Chính phủ, 2018), Thơng tư số 18 (NHNN, 2018), Khoản Điều 46 Luật Giao dịch điện tử năm 2005 (Luật GDĐT, 2005), Điều 72 Luật Công nghệ thông tin năm 2006 (Luật CNTT, 2006), Mục bảo vệ thông tin cá nhân Luật An tồn thơng tin mạng năm 2015 (Luật ATTTM, 2015), nhiên vụ việc nghiêm trọng làm lộ thông tin cá nhân khách hàng xảy ra, đồng thời ngăn ngừa tổ chức, cá nhân sử dụng liệu khách hàng vào mục đích trái phép Bên cạnh đó, việc sử dụng “chéo” liệu khách hàng bên liên quan làm tăng nguy rị rỉ thơng tin nhạy cảm bí mật Vì vậy, nhiệm vụ bảo vệ tính riêng tư cho liệu khách hàng trình xếp hạng tín dụng cấp thiết phù hợp với tình hình thực tiễn Tính đến nay, với phát triển hướng nghiên cứu phân tích liệu ngân hàng đảm bảo tính riêng tư (Meints & Möller, 2004; Abbe, Khandani, & Lo, 2012), vài kết nghiên cứu bảo vệ tính riêng tư cho thơng tin khách hàng q trình xếp hạng tín dụng giới thiệu Elli Androulaki đề xuất (Androulaki, 2011) cơng cụ chấm điểm tín dụng khách hàng bảo vệ tính riêng tư với hợp tác ngân hàng tổ chức liên quan tới điểm tín dụng khách hàng Với kỹ thuật ẩn danh, giải pháp giúp cho ngân hàng cập nhật điểm tín dụng khách hàng dựa liệu khách hàng gửi trực tiếp từ tổ chức đối tác Trong nghiên cứu (Ralf Stecking and Klaus B Schebesch, 2015), tác giả giới thiệu mơ hình chấm điểm tín dụng khách Tạp chí Khoa học & Đào tạo Ngân hàng- Số 218- Tháng 2020 ĐINH TRỌNG HIẾU - NGUYỄN THỊ THU TRANG hàng dựa kết phân lớp liệu khách hàng sẵn có với ràng buộc đảm bảo tính riêng tư Phương pháp xác định điểm tín dụng sử dụng kỹ thuật khai phá liệu áp dụng phổ biến giới, nhiên lại chưa áp dụng Việt Nam- nơi mà điểm tín dụng xác định chủ yếu thơng qua ý kiến chuyên gia Gần đây, Wang cộng (Wang, Chen, & Feng, 2018) đề xuất công cụ chấm điểm tín dụng khách hàng mơi trường đám mây bảo vệ liệu riêng tư khách hàng Trong nghiên cứu này, bên sở hữu liệu khách hàng liên quan tới điểm tín dụng tải liệu khách hàng (đã mã hóa) lên máy chủ (đám mây) Việc chia sẻ dễ gây an toàn bên sở hữu khóa mật mã thơng đồng với địch thủ Trong báo này, đề xuất giải pháp cho phép các NHTM/TCTD xếp hạng tín dụng khách hàng hạn chế tối đa việc chia sẻ trực tiếp liệu khách hàng bên liên quan Cụ thể, giải pháp kỳ vọng đạt mục tiêu sau: - Dữ liệu khách hàng bên sở hữu giữ bí mật ngân hàng - Khách hàng đối tác sở hữu liệu khách hàng không khai thác cơng thức tính điểm tín dụng ngân hàng Nội dung báo tổ chức sau: phần nhằm cung cấp sở lý thuyết để xây dựng giải pháp đề xuất Ngoài trình bày chi tiết giải pháp này, phần chứng minh tính xác phân tích tính riêng tư giao thức đề xuất Cơ sở lý thuyết Trong phần này, nhắc lại yêu cầu tốn chấm điểm tín dụng đảm bảo tính riêng tư số kết lý thuyết mật mã như: Hệ mã hóa ElGamal, thuật tốn Shanks’s baby-step giant-step, giao thức tính tích vơ hướng bí mật giao thức tính tổng bí mật Đây sở lý thuyết sử dụng làm tảng để xây dựng giải pháp đề xuất 2.1 Phát biểu bài toán Ngoài liệu khách hàng không thuộc loại riêng tư nhạy cảm, giả sử NHTM sử dụng thêm thuộc tính “bí mật riêng tư” (A1, A2, , Ak) làm cứ xếp hạng tín dụng cho khách hàng Ví dụ: mức thu nhập, nhóm nghề nghiệp, số dư nợ tín dụng, bảo hiểm nhân mạng Mợt khách hàng C với các đặc trưng tương ứng (c1, c2, , ck) được xếp hạng sau: - Với mỗi đặc trưng ci thuộc tính Ai: C nhận được điểm Marki theo thang điểm hệ số mà B quy định - Tổng điểm tín dụng cho khách hàng C là Mark (C) = - Ngân hàng B cứ vào bảng quy đổi để biết hạng tín dụng của C và từ đó quyết định cho X vay hay không Chúng khái quát bài toán xếp hạng tín dụng khách hàng có đảm bảo tính riêng tư sau: - Ngân hàng xét thuộc tính Ai thành nhóm đặc trưng (Ai1, , Aim(i)) điểm tương ứng cho nhóm (marki1, , markim(i)) cho mỡi trường hợp Ví dụ: thuộc Số 218- Tháng 2020- Tạp chí Khoa học & Đào tạo Ngân hàng Đề xuất giải pháp bảo mật liệu riêng tư xếp hạng tín dụng ngân hàngthương mại Việt Nam tính Bảo hiểm nhân mạng Ngân hàng phân thành năm nhóm đặc trưng: > 100 triệu; 50-100 triệu; 50-100 triệu; < 30 triệu; Khơng có, với điểm tương ứng 100, 75, 50, 25, - B công bố thông tin chi tiết (Ai1, , Aim(i)) cho tất cả đối tác và giữ bí mật (marki1, , markim(i)) - Các đối tác không tiết lộ đặc trưng ci khách hàng mà họ nắm giữ Một đối tác nắm giữ nhiều đặc trưng Ngân hàng B cần tính được tổng số điểm C đạt được và xếp hạng tín dụng cho C Tương tự tốn phân tích liệu đảm bảo tính riêng tư khác, tốn giải hai phương pháp là: phương pháp biến đổi ngẫu nhiên (Randomization) phương pháp tính tốn bảo mật nhiều thành viên (Secure Multiparty Computation- SMC) Tuy nhiên, phương pháp SMC ưa chuộng tính xác kết đầu tính riêng tư liệu người dùng đảm bảo chắn Vì vậy, giải pháp chúng tơi xây dựng theo phương pháp thứ hai 2.2 Hệ mã hóa ElGamal Phần này trình bày về hệ mã hóa ElGamal (ElGamal, 1985) Đây là sở nền tảng để xây dựng giải pháp đề xuất Cho G nhóm cyclic cấp g với phần tử sinh , tốn logarit G khó giải Khóa bí mật x � [1, q - 1] khóa cơng khai tương ứng h = gx Ở bước mã hóa, người gửi sử dụng khóa cơng khai h để tính tốn mã C cho rõ M sau: anh chọn ngẫu nhiên giá trị k � [1, q - 1] tính mã C = (C1 = M.hk, C2 = gk) Để giải mã, người nhận sử dụng khóa bí mật x theo công thức M = C1 (C2x)-1 Theo giả thuyết Diffie-Hellman định (decisional Diffie–Hellman (DDH) assumption), hệ mã hóa ElGamal kể an tồn (Boneh, 1998) 2.3 Thuật tốn Shanks’s baby-step giant-step Trong lĩnh vực số học đại số, thuật toán Shanks’s baby-step giant-step (Shanks, 1971) sử dụng để giải hiệu toán logarit rời rạc so với giải thuật vét cạn Thuật tốn trình bày Hình Chú ý rằng, giá trị x cần tìm bị giới hạn giá trị n (x ≤ n 100 triệu; 50-100 triệu; 30-50 triệu; < 30 triệu; Khơng có) có điểm tương ứng (100, 75, 50, 25, 0) trọng số thuộc tính ; C mua gói bảo hiểm nhân mạng 80 triệu Tiếp theo, B hợp tác đối tác Pi thực thi giao thức tính tổng bí mật để tính giá trị ∑vi Cuối cùng, tính giá trị S = (∑ui - ∑vi) ÷ 100 điểm tín dụng khách hàng C Giải pháp bảo vệ thông tin riêng tư của khách hàng quá trình xếp hạng tín Hình Giao thức tính tổng bí mật Input: Mỗi đối tác Pi sở hữu giá trị bí mật vi (i = Output: Ngân hàng B tính giá trị tổng s = ) Pi không tiết lộ vi Bước 1: Mỗi Pi chọn khóa bí mật xi rời gửi khóa cơng khai gx(i) cho B Bước 2: B tính Xi = gửi lại cho Pi Bước 3: Mỗi Pi tính mi = gv(i) Xix(i) gửi lại cho B Bước 4: B tính K = ∏ni=1mi Thực thi thuật tốn Shank’s baby-step giant-step để tính s thỏa mãn gs = K Nguồn: (F Hao, P Y Ryan, P Zieli´nski, 2010) Tạp chí Khoa học & Đào tạo Ngân hàng- Số 218- Tháng 2020 ĐINH TRỌNG HIẾU - NGUYỄN THỊ THU TRANG Hình Giải pháp bảo vệ thông tin riêng tư của khách hàng quá trình xếp hạng tín dụng Bước 1: B hợp tác tính tích vơ hướng bí mật với đối tác Pi B đạt giá trị bí mật ui Pi có giá trị bí mật vi Bước 2: B hợp tác với đối tác Pi để tính tổng bí mật ∑vi Bước 3: B tính giá trị S = (∑ui - ∑vi) ÷ 100 quy đởi hạng tín dụng cho C dựa S Nguồn: ? dụng được đề xuất trình bày Hình liệu C nắm giữ Pi không cần tiết lộ 3.2 Phân tích giải pháp đề xuất Tiếp theo, xét trường hợp tất đối tác Pi thông đồng chống lại B: tất vector riêng tư ngân hàng B (trong cơng thức tính điểm tín dụng) mã hóa hệ mã hóa ElGamal sử dụng khóa cơng khai B tổng điểm tín dụng S của C biết B nên địch thủ khơng thể khai thác 3.2.1 Chứng minh tính đắn Để chứng minh giải pháp đề xuất mô tả Hình xếp hạng tín dụng chính xác cho khách hàng C, chúng ta sẽ chỉ rằng giá trị S là tổng điểm tín dụng mà C nhận được Hay nói cách khác, ta chứng minh kết điểm tín dụng tính theo giải pháp đề xuất (Hình 4) kết tính điểm tín dụng thơng thường (nhưng khơng đảm bảo tính riêng tư) Thật vậy, ta có: Như đề cập, tích vơ hướng điểm (trên 100) khách hàng C đạt xét thuộc tính Ai Vì thế, S chính là tởng điểm tín dụng của C 3.2.2 Phân tích tính riêng tư Trong phần này, liệu riêng tư bên tham gia vào giải pháp giữ bí mật Kết luận Trong nghiên cứu này, việc chấm điểm tín dụng sử dụng cơng thức tổng có trọng số với trọng số ngân hàng định Tuy nhiên, thay phải lưu trữ tính tốn thơng tin khách hàng (khơng đảm bảo tính riêng tư), giải pháp đề xuất đưa phương thức chấm điểm tín dụng mà khách hàng không cần công khai thông tin riêng tư dựa cơng cụ mã hóa Vì vậy, giải pháp đảm bảo phía lưu trữ liệu đặc trưng khách hàng không cần tiết lộ thông tin riêng tư, nhạy cảm, cịn phía ngân hàng khơng cần cơng bố chi tiết phương pháp xếp hạng tín dụng, đạt kết đầu xác ■ Ta thấy kết thúc bước tính tốn Hình 4, ngân hàng B đạt tởng điểm tín dụng của C Số 218- Tháng 2020- Tạp chí Khoa học & Đào tạo Ngân hàng Đề xuất giải pháp bảo mật liệu riêng tư xếp hạng tín dụng ngân hàngthương mại Việt Nam Tài liệu tham khảo Abbe, E A., Khandani, A E., & Lo, A W (2012) Privacy-preserving methods for sharing financial risk exposures American Economic Review Androulaki, E (2011) A Privacy Preserving ECommerce Oriented Identity Management Architecture COLUMBIA UNIVERSITY Boneh, D (1998) The Decision Diffie–Hellman Problem Proceedings of the Third Algorithmic Number Theory Symposium, (pp 48-63) Chính phủ (2018) Nghị định 117/2018/NĐ-CP ngày 11/9/2018 Chính phủ Dinh, T H., & Kleimeiera, S (2007) Credit scoring for Vietnam’s retail banking International Review of Financial Analysis ElGamal, T (1985) A public key cryptosystem and a signature scheme based on discrete logarithms IEEE transactions on information theory, 31(4), 469-472 F Hao, P Y Ryan, P Zieli´nski (2010) Anonymous voting by two-round public IET Information Security Goethals, Bart and Laur, Sven and Lipmaa, Helger and Mielikainen, Taneli (2004) On private scalar product computation for privacy-preserving data mining International Conference on Information Security and Cryptology (pp 104-120) Springer Hiến pháp (2013) Điều 21 Hiến pháp năm 2013 nước Cộng hòa xã hội chủ nghĩa Việt Nam 10 Lê, T T., & Đặng, T V (2016) Xếp hạng tín dụng khách hàng thể nhân Tạp chí tài 11 Luật ATTTM (2015) Mục Bảo vệ thông tin cá nhân Luật an tồn thơng tin mạng năm 2015 12 Luật CNTT (2006) Điều 72 Luật công nghệ thông tin năm 2006 13 Luật GDĐT (2005) Điều 46 Luật giao dịch điện tử năm 2005 14 Meints, M., & Möller, J (2004) Privacy Preserving Data Mining: A Process Centric View from a European Perspective 15 Nguyễn, H C (2019) Một số đề xuất nhằm nâng cao hiệu xếp hạng tín dụng Nâng cao chất lượng thu thập thông tin chấm điểm tín dụng cho khách hàng cá nhân tổ chức tín dụng 16 Ngân hàng Nhà nước (2018) Thông tư số 18/2018/TT-NHNN Ngân hàng Nhà nước 17 Ralf Stecking and Klaus B Schebesch (2015) Classification of credit scoring data with privacy constraints Intelligent Data Analysis 18 Reserve, B o (2007) Report to the Congress on credit scoring and its effects 19 Shanks, D (1971) Class Number, a Theory of Factorization, and Genera Proc of Symposia in Pure Mathematics (pp 415-440) AMS 20 Wang, J., Chen, Y., & Feng, X (2018) Privacy-Preserving Credit Scoring on Cloud International Conference on Cloud Computing and Security Tạp chí Khoa học & Đào tạo Ngân hàng- Số 218- Tháng 2020 .. .Đề xuất giải pháp bảo mật liệu riêng tư xếp hạng tín dụng ngân hàngthương mại Việt Nam kỳ vọng giúp thông tin riêng tư bí mật bên bảo vệ an tồn Từ khóa: bảo mật, liệu riêng tư, xếp hạng. .. 2020- Tạp chí Khoa học & Đào tạo Ngân hàng Đề xuất giải pháp bảo mật liệu riêng tư xếp hạng tín dụng ngân hàngthương mại Việt Nam tính Bảo hiểm nhân mạng Ngân hàng phân thành năm nhóm đặc... & Đào tạo Ngân hàng Đề xuất giải pháp bảo mật liệu riêng tư xếp hạng tín dụng ngân hàngthương mại Việt Nam 2.5 Giao thức tính tổng bí mật Phần mơ tả lại giao thức tính tổng bí mật (Hình

Ngày đăng: 19/09/2020, 20:07

Xem thêm: