mat

Bảo mật thông tin là vấn đề được các nhà đầu tư đặc biệt quan tâm.

Trao đổi với phóng viên TBTCVN, ông Hà Huy Phong – Giám đốc Công ty Luật TNHH Inteco, Đoàn Luật sư TP. Hà Nội cho rằng, vụ việc nghi vấn lộ thông tin của hàng triệu khách hàng của một ngân hàng (NH) đang gióng lên hồi chuông cảnh báo về lỗ hổng bảo mật NH, đe dọa an ninh, an toàn của thị trường tài chính – NH.

* PV: Thưa ông, mới đây rộ lên thông tin một tài khoản hacker đã đăng tải thông tin 2 triệu khách hàng của một NH Việt. Tài khoản này còn cho biết sẽ tiếp tục tải lên những dữ liệu mà người này có trong thời gian tới và cũng đang nắm trong tay thông tin khách hàng của nhiều NH khác. Trước nghi vấn lộ thông tin khách hàng như vậy, cảnh báo nguy cơ của các NH như thế nào, thưa ông?

- Ông Hà Huy Phong: Vụ việc nghi vấn lộ thông tin khách hàng của một NH được đánh giá là sự cố cực kì nghiêm trọng. Theo tôi, việc thông tin khách hàng của NH bị đăng tải công khai trên mạng internet như vậy, nếu là sự thật, có thể đặt vào một trong hai khả năng: thứ nhất do hệ thống bảo mật của NH kém an toàn nên đã bị bẻ khóa (hack) và thứ hai do cán bộ, nhân viên NH đó “tuồn” thông tin, cung cấp thông tin ra bên ngoài. Hai khả năng trên đều có thể xảy ra, bởi trên thực tế đã có trường hợp tương tự như vậy đã từng xảy ra tại Việt Nam.

phong
Ông Hà Huy Phong

Việc lộ thông tin khách hàng trước hết là vấn đề quyền lợi của người tiêu dùng đã bị ảnh hưởng. Quan trọng hơn, sự việc này tạo nên những lo ngại về sự an toàn và đáng tin cậy về hệ thống bảo mật của NH.

Thông tin chi tiết về khách hàng của NH đã bị lộ như vậy, thì những giao dịch khác có cơ sở tin tưởng được đảm bảo an toàn 100% hay không? Thông tin về lịch sử giao dịch, về dòng tiền luân chuyển qua tài khoản và thông tin bên chuyển, bên nhận của khách hàng có dễ dàng bị đánh cắp như vậy hay không… là những nghi vấn dấy lên trong nhận thức của người tiêu dùng và làm thay đổi nhận thức, hành động của mỗi người khi giao dịch với NH.

Theo đó, khách hàng khi tham gia giao dịch với NH có thể có với một tâm thế dè chừng và không thật sự tin tưởng, từ đó kéo theo hiệu quả của các giao dịch trong lĩnh vực NH có thể giảm sút.

Đảm bảo bí mật thông tin khách hàng là điều kiện mang tính “sống còn” trong kế hoạch phát triển kinh doanh của các tổ chức tín dụng (TCTD). Nghi vấn lộ thông tin khách hàng NH nói trên đang trong quá trình xác minh, điều tra làm rõ nguyên nhân, nhưng sự việc nghiêm trọng này dấy lên cảnh báo đối với các NH cần siết chặt hơn quá trình bảo mật thông tin. Bởi, hệ thống thanh toán điện tử, thanh toán thẻ cũng như ngành tài chính – NH luôn là một trong những mục tiêu hàng đầu của tội phạm mạng.

Trước yêu cầu thực tế đó, tôi cho rằng, các NH cần đặt việc xây dựng và triển khai các giải pháp quản trị rủi ro, phòng ngừa tiết lộ thông tin trái phép cả về mặt kĩ thuật cũng như con người và cần được đặt ở vị trí quan trọng hàng đầu, song song với những chiến lược về kinh doanh. Về mặt công nghệ, cần phải xây dựng nhiều cổng tiếp cận và cơ chế mã hóa thông tin, để chỉ những máy đầu cuối mới có thể giải mã. Việc để cả tệp thông tin khách hàng dễ dàng bị đánh cắp và phát tán trên mạng như vậy, chứng tỏ cơ chế bảo mật thông tin của NH không thực sự tốt và hiệu quả.

* PV: Trong trường hợp hàng triệu thông tin khách hàng mà hacker đăng tải là đúng, sẽ tạo nên hệ lụy như thế nào cho phía NH đó, thưa ông?

- Ông Hà Huy Phong: Việc để lộ thông tin của khách hàng là lỗi của NH, vi phạm các quy định về bảo mật thông tin khách hàng mà các TCTD phải tuân thủ và vi phạm cam kết với khách hàng. Việc để lộ thông tin khách hàng cũng sẽ tạo nên nhiều ảnh hưởng tiêu cực cho phía NH. Trước hết, uy tín, sự tín nhiệm của khách hàng đối với NH đó sẽ giảm sút, thậm chí nhiều khách hàng sẽ “quay lưng”, tẩy chay NH đó trong quá trình lựa chọn NH làm đối tác để thực hiện các giao dịch.

Quan trọng hơn nữa, nguồn thông tin về khách hàng là “tài sản” của mỗi NH trong chiến lược phát triển kinh doanh. Khi “tài sản” này được phát tán trên mạng, NH có thể sẽ bị mất đi một lượng khách hàng lớn vào tay những NH khác, nếu NH đó có những kế hoạch, chiến lược thu hút khách hàng hấp dẫn, hiệu quả hơn. Khi một lượng khách hàng lớn bị mất đi sẽ ảnh hưởng rất lớn đến doanh thu, lợi nhuận và sự phát triển bền vững của NH.

Ngoài ra, đối với các nhà đầu tư nước ngoài, bảo mật thông tin là vấn đề được các nhà đầu tư đặc biệt quan tâm. Do đó, khi NH để lộ thông tin của khách hàng, thì bản thân NH đã tự làm mất điểm trong mắt của các tổ chức xếp hạng tín dụng quốc tế, các nhà đầu tư và khách hàng quốc tế…

* PV: Là luật sư nghiên cứu về quy định pháp luật, xin ông có thể chia sẻ, việc bảo mật thông tin khách hàng của TCTD được quy định như thế nào trong các văn bản pháp luật hiện hành của Việt Nam?

- Ông Hà Huy Phong: Pháp luật Việt Nam có một số quy định điều chỉnh riêng về vấn đề bảo mật thông tin, dưới góc độ bảo vệ người tiêu dùng, cũng như dưới góc độ trách nhiệm của TCTD. Cụ thể, Điều 14, Luật Các TCTD quy định: “TCTD, chi nhánh NH nước ngoài phải bảo đảm bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng tại TCTD, chi nhánh NH nước ngoài”.

Quy định này có thể hiểu là các TCTD phải trang bị và duy trì các biện pháp kỹ thuật, công nghệ và thiết bị cần thiết nhằm đảm bảo bí mật thông tin của khách hàng. Vi phạm nghĩa vụ này dẫn tới việc lộ thông tin khách hàng, thì TCTD bị coi là có lỗi và phải chịu trách nhiệm về các thiệt hại xảy ra đối với khách hàng.

Tại Nghị định 117/2018/NĐ-CP của Chính phủ cũng quy định, TCTD, chi nhánh NH nước ngoài căn cứ quy định của pháp luật để ban hành quy định nội bộ về giữ bí mật, lưu trữ và cung cấp thông tin khách hàng và tổ chức thực hiện thống nhất trong TCTD, chi nhánh NH nước ngoài.

Quy định nội bộ về giữ bí mật, lưu trữ và cung cấp thông tin khách hàng phải bao gồm tối thiểu các nội dung sau: quy trình, thủ tục tiếp nhận, xử lý và cung cấp thông tin khách hàng; quy trình, thủ tục lưu trữ, bảo vệ bí mật thông tin khách hàng; quy định về giám sát, kiểm tra và xử lý vi phạm quy định nội bộ về giữ bí mật, lưu trữ, cung cấp thông tin khách hàng; phân cấp thẩm quyền, quyền hạn, nghĩa vụ của các đơn vị, cá nhân trong việc giữ bí mật, lưu trữ và cung cấp thông tin khách hàng…

* PV: Thưa ông, giả sử trong trường hợp hàng triệu thông tin bị lộ, thì chế tài pháp luật mà NH phải chịu là gì?

- Ông Hà Huy Phong: Trong sự việc lộ thông tin khách hàng nói trên, nguyên nhân chính xác chưa được xác nhận nên cần phụ thuộc vào kết quả điều tra để có thể đề cập một cách chính xác lỗi của NH và chế tài pháp luật mà NH sẽ bị xử lý. Việc xác định hình phạt và mức độ bị xử phạt cần căn cứ cụ thể về hành vi vi phạm, mức độ thiệt hại….

Về trách nhiệm hành chính, theo quy định tại Điều 20, Nghị định 88/2019/NĐ-CP của Chính phủ thì hành vi không thực hiện quy định, quy trình bảo mật, an toàn công nghệ thông tin trong hoạt động cung ứng dịch vụ thông tin tín dụng sẽ bị phạt tiền từ 20 triệu đồng đến 40 triệu đồng.

Về trách nhiệm dân sự, trong trường hợp khách hàng chứng minh được các thiệt hại và tổn thất gánh chịu xuất phát từ việc lộ thông tin, thì có quyền khởi kiện ra tòa án nhân dân có thẩm quyền và NH sẽ phải chịu trách nhiệm bồi thường thiệt hại cho khách hàng theo phán quyết của hội đồng xét xử.

* PV: Xin cảm ơn ông!

Diệu Thiện (thực hiện)