Hiện trạng mất an toàn giao dịch điện tử

Theo thống kê của Vụ Thanh toán - Ngân hàng Nhà nước, hiện nay, Việt Nam có khoảng 45 triệu tài khoản cá nhân, tương đương với một nửa dân số. Về thanh toán điện tử qua Internet, điện thoại di động, đến ngày 31/3/2019, giao dịch tài chính qua kênh Internet tăng 68,8% về số lượng và 13,4% về giá trị so với cùng kỳ năm 2018, giao dịch tài chính được thực hiện trên điện thoại di động tăng 97,7% về số lượng và 232,3% về giá trị so với cùng kỳ năm 2018.

Thanh toán điện tử, đặc biệt là thanh toán trên các nền tảng di động đang có những bước phát triển mạnh mẽ. Tuy nhiên, cùng với đó là sự gia tăng về số lượng những vụ việc liên quan đến an toàn thanh toán, gian lận tài khoản tín dụng, lừa đảo tài chính. Công nghệ 5G và các công nghệ 4.0 giúp tạo ra thế giới siêu kết nối nhưng cũng là nhân tố hình thành nên ngành công nghiệp “đánh cắp tiền” trị giá đến hàng tỷ USD.

Tại Việt Nam, trong những năm qua đã chứng kiến hàng loạt vụ mất cắp tài khoản tiết kiệm, tài khoản ngân hàng của người dùng do gian lận nội bộ, mất cắp thông tin khách hàng, bị tin tặc tấn công vào hệ thống bảo mật của ngân hàng.… Đặc biệt, có những vụ việc mà đối tượng lừa đảo đã giả mạo ngân hàng thực hiện 18 giao dịch, lấy cắp gần nửa tỷ đồng từ tài khoản của khách hàng chỉ trong 2 phút.

Nhân viên ngân hàng lợi dụng những lỗ hổng trong hệ thống quản lý, cấu kết rút ruột tài khoản tiết kiệm với số tiền lên đến hàng trăm tỷ đồng hoặc bán thông tin khách hàng cho các đối tượng lừa đảo. Nhiều người dùng phản ánh về việc bị mất tiền trong thẻ tín dụng vô cớ dù không phát sinh giao dịch do sự cố trong hệ thống bảo mật của ngân hàng. Trong thời gian qua cũng liên tiếp xảy ra những vụ tin tặc tấn công vào hệ thống ngân hàng, đánh cắp và công khai dữ liệu của hàng triệu khách hàng ngân hàng trên Internet. Đáng chú ý, tất cả các trường thông tin bị rò rỉ đều ở dạng bản rõ và không được mã hóa. 

Những vụ việc trên không chỉ xảy ra ở những ngân hàng nhỏ mà cả trong các hệ thống ngân hàng lớn, đang sở hữu hàng ngàn khách hàng thường xuyên. Nguyên nhân chính trong lừa đảo tín dụng được xác định đến từ hệ thống bảo mật của ngân hàng. Các ngân hàng chưa thực sự sẵn sàng đầu tư đúng mức cho vấn đề bảo mật và nâng cấp phần mềm, hệ thống đảm bảo an toàn. Một số đơn vị vẫn sử dụng những phương thức tạo mã OTP đơn giản, thiếu yếu tố ngẫu nhiên và tính bảo mật khiến tin tặc dễ dàng bẻ khóa và tấn công vào hệ thống.

Giải pháp đảm bảo an toàn cho giao dịch điện tử

Theo đó, việc triển khai xây dựng hệ thống xác thực mạnh mẽ như xác thực điện tử, ký số bảo mật sẽ là nhân tố thay đổi cuộc chơi trong xu hướng chuyển đổi số ngành ngân hàng, giúp nâng cao uy tín và thu hút khách hàng.

Ông Hoàng Nguyên Vân, Tổng Giám đốc Công ty cổ phần công nghệ SAVIS, Chuyên gia về xác thực, ký số điện tử, nhấn mạnh đến tầm quan trọng của xác thực, ký số và định danh điện tử: “Ngành Ngân hàng luôn là ngành dẫn đầu về ứng dụng công nghệ thông tin trong các hoạt động kinh doanh, cũng như tính phức tạp của hoạt động tài chính, thì vấn đề bảo mật và an toàn thông tin mang tính sống còn. Nhiều sự cố về an toàn thông tin gần đây đã gây thiệt hại nặng nề về mặt tài chính và uy tín của các ngân hàng. Để thiết lập niềm tin trong các giao dịch điện tử giữa các cá nhân và tổ chức, Liên minh Châu Âu đã đưa ra những quy định, tiêu chuẩn kỹ thuật cũng như khung pháp lý khắt khe về quy định bảo vệ dữ liệu chung, dịch vụ thanh toán điện tử, định danh điện tử, ký số bảo mật, dịch vụ tin cậy như eIDAS, GDPR, PSD2, 3D Secure. Định danh số, ký giao dịch, xác thực sử dụng chữ ký số đáp ứng tiêu chuẩn bảo mật là yêu cầu tiên quyết nhằm đảm bảo an toàn thanh toán, giá trị pháp lý của giao dịch điện tử ngành Ngân hàng”.

Đặc biệt, trong xu thế toàn cầu về công nghệ và pháp lý cho ký số, xác thực điện tử, thì dịch vụ ký số từ xa, ký số trên nền tảng di động sẽ là tương lai ngành Ngân hàng. “Khi xây dựng Ngân hàng số cũng như công dân điện tử, dịch vụ công điện tử xuyên biên giới (cross-border), Liên minh châu Âu đều bắt buộc triển khai định danh số, ký số, xác thực mạnh 2 yếu tố và các dịch vụ tin cậy trên nền tảng di động tuân thủ quy định eIDAS/PSD2. Việc này giúp nâng cao tính bảo mật nhờ cải thiện sự bất tiện của các thiết bị lưu khóa thông thường trong ký số như thẻ thông minh (smart card), SIM hay USB token, cũng như rủi ro của hệ thống smart OTP với mức độ bảo mật chưa cao hiện nay.” – Ông Hoàng Nguyên Vân chia sẻ.

Về hành lang pháp lý tại Việt Nam hiện nay, Quyết định số 630/QĐ-NHNN ngày 31/03/2017 của Ngân hàng Nhà nước ban hành về áp dụng các giải pháp an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, nếu so sánh với chỉ thị về dịch vụ thanh toán điện tử PSD2 tuân thủ theo quy định về định danh điện tử và các dịch vụ tin cậy cho giao dịch điện tử - eIDAS của Liên minh Châu Âu, thì vẫn còn tồn tại nhiều bất cập về mặt pháp lý, kỹ thuật và tính an toàn, bảo mật. Cùng với đó, theo Quyết định này, việc triển khai ngân hàng số không giấy tờ sẽ không thể triệt để bởi vẫn yêu cầu phải in sao kê các chứng từ giao dịch cuối ngày, chưa áp dụng việc xác nhận ký các giao dịch của người dùng trên kênh thứ hai sử dụng thuê bao di động.

Hệ thống thanh toán, giao dịch điện tử là tài sản của người dùng và hệ thống ngân hàng, cần được bảo vệ khỏi tất cả các nguy cơ bị tấn công mạng. Các giải pháp liên quan đến xác thực, định danh điện tử, ký số bảo mật hứa hẹn sẽ là công cụ cấp quyền giao dịch và bảo mật thông tin hữu hiệu nhất. Nó thiết lập một dữ liệu giao dịch duy nhất và không thể giả mạo bất kỳ yếu tố nào. Vì vậy, để tăng cường tính bảo mật, an toàn trong giao dịch, thanh toán điện tử, việc hoàn thiện hành lang pháp lý về giao dịch điện tử nói chung và giải pháp định danh, xác thực điện tử nói riêng sẽ là ưu tiên hàng đầu của các cơ quan quản lý. Hệ thống ngân hàng cũng cần dành sự quan tâm và đầu tư đúng mực hơn nữa cho các giải pháp bảo mật trong thanh toán điện tử.