Bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành ngân hàng

(Banker.vn) Ngày 7/10, Hiệp hội Ngân hàng Việt Nam (VNBA) phối hợp với PwC Việt Nam tổ chức Hội thảo “Bảo vệ dữ liệu cá nhân trong xu hướng chuyển đổi số ngành ngân hàng”.

Trong thời đại chuyển đổi số hiện nay, dữ liệu cá nhân trên không gian mạng trở thành một kho lưu trữ khổng lồ mà nếu ngân hàng và các tổ chức không có biện pháp bảo vệ tương xứng, đúng cách thì sẽ tạo điều kiện thuận lợi để tội phạm lợi dụng thực hiện các hành vi vi phạm pháp luật, gây ra hậu quả khôn lường cho cá nhân và tổ chức.

Tại Hội thảo, ông Phó Đức Giang, Giám đốc Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam chia sẻ, kết quả khảo sát an toàn dữ liệu cá nhân tại Việt Nam được PwC thực hiện cho thấy, 66% doanh nghiệp tham gia khảo sát cho biết họ đang tìm kiếm lời khuyên hoặc vẫn chưa xác định một lộ trình để đảm bảo tuân thủ bảo vệ dữ liệu cá nhân; 12% không biết về các yêu cầu bảo vệ dữ liệu cá nhân và hiện không có bất kỳ biện pháp nào để quản lý quá trình này; 41% nhận thức được yêu cầu đang chờ xử lý để thông báo cho chủ thể dữ liệu về tất cả các hoạt động liên quan đến xử lý dữ liệu cá nhân của họ nhưng không biết cách chuẩn bị cho việc này; 52% không có quy trình ứng phó sự cố/vi phạm dữ liệu.

“Các tổ chức hiện đang hạn chế quyền truy cập vào dữ liệu cá nhân họ nắm giữ đối với chủ thể dữ liệu, đồng thời những hạn chế dự kiến đối với việc truyền dữ liệu cá nhân xuyên biên giới gây ra rủi ro đáng kể cho nhiều tổ chức ở Việt Nam. 52% các doanh nghiệp không có bất kỳ quy trình quản lý rủi ro nào đối với bên thứ ba để quản lý việc bảo vệ dữ liệu cá nhân khi chia sẻ/chuyển giao cho bên thứ ba”, ông Phó Đức Giang cho biết.

Đối với ngành Ngân hàng, có thể thấy, một vài năm gần đây, hầu hết các định chế tài chính đều tích cực kết nối với bên thứ ba cung cấp dịch vụ để hình thành hệ sinh thái số, đồng thời đáp ứng nhu cầu ngày càng cao của khách hàng. Có thể kể đến một số bên thứ ba cung cấp dịch vụ tiện ích gia tăng phổ biến như các ứng dụng gọi xe công nghệ, các sàn thương mại điện tử hoặc thanh toán phí điện, nước... Để kết nối với bên thứ ba và mở rộng hệ sinh thái, các ngân hàng sẽ cần chia sẻ dữ liệu cá nhân của khách hàng. Rủi ro đặt ra là bên thứ ba có thể bị tấn công và ngân hàng sẽ bị tấn công ngược lại.

Điển hình gần đây là vụ việc xảy ngân hàng Flagstar của Mỹ. Tháng 6/2022, Flagstar Bank thông báo vụ tấn công vào hệ thống của họ cuối năm ngoái đã làm lộ lọt thông tin cá nhân của trên 1,5 triệu khách hàng. Các thông tin bị đánh cắp là thông tin định danh cá nhân như tên, địa chỉ, số an sinh xã hội,... Ngân hàng đã phải cung cấp hai năm miễn phí dịch vụ cảnh báo đánh cắp danh tính cho những khách hàng bị ảnh hưởng. Đây không phải là lần đầu tiên Flagstar Bank bị tấn công, trước đó vào cuối năm 2020, ngân hàng cũng bị tấn công mã độc tống tiền (ransomware) gây lộ lọt dữ liệu cá nhân nhạy cảm và phải nộp phạt và bồi thường trên 5,9 triệu USD.

Thực tế là đã có những vụ việc như vậy xảy ra cả ở trên thế giới và tại Việt Nam, thường được gọi là tấn công chuỗi cung ứng (supply chain attack).

Tại Việt Nam, các quy định pháp luật về bảo vệ dữ liệu các nhân có thể kể đến bao gồm Luật An ninh mạng 2018, Luật An toàn thông tin mạng 2015, Nghị định 53/2022/NĐ-CP hướng dẫn Luật An ninh mạng (Ban hành ngày 15/8/2022, có hiệu lực ngày 1/10/2022), Nghị định Bảo vệ dữ liệu cá nhân (Bản dự thảo lần 2 ngày 09/02/2021).

Các diễn giả thảo luận tại hội thảo

Với thực trạng và khung pháp lý hiện tại tại Việt Nam, PwC đã đưa ra một số khuyến nghị dành cho các ngân hàng nhằm xây dựng kế hoạch bảo vệ dữ liệu cá nhân của khách hàng như sau:

Về đánh giá hiện trạng, cần xác định, phát hiện, phân loại dữ liệu, bao gồm xác định phạm vi dữ liệu cá nhân, xây dựng kho dữ liệu cá nhân, xây dựng bản đồ luồng dữ liệu cá nhân theo vòng đời dữ liệu. Sau đó là đánh giá rủi ro và đánh giá khoảng cách, cụ thể là đánh giá rủi ro liên quan tới dữ liệu cá nhân, đánh giá tác động từ rủi ro liên quan tới dữ liệu cá nhân, đánh giá khoảng cách các kiểm soát hiện hữu.

Về xây dựng chiến lược bảo vệ dữ liệu cá nhân, cần xây dựng chương trình bảo vệ dữ liệu cá nhân và mô hình hoạt động mục tiêu, xây dựng kế hoạch khắc phục và cải tiến, giảm thiểu rủi ro. Triển khai chương trình bảo vệ dữ liệu cá nhân, bao gồm chiến lược và quản trị, quyền chủ thể dữ liệu và xử lý dữ liệu, chính sách về dữ liệu cá nhân, quản lý rủi ro và tuân thủ, quản lý vòng đời dữ liệu, phát hiện và phản ứng sự cố, quản lý rủi ro bên thứ ba, bảo mật dữ liệu.

Về vận hành, cần đo lường, giám sát liên tục đối với chương trình bảo vệ dữ liệu cá nhân, ghi nhận và kiểm tra các điểm không tuân thủ, thông báo các thay đổi về chính sách, quy trình.

Chia sẻ những kinh nghiệm mà các tổ chức tín dụng Việt Nam có thể cân nhắc áp dụng, ông Clarence Chan, Phó Tổng giám đốc Dịch vụ An ninh mạng và Bảo mật thông tin, PwC Malaysia nhấn mạnh, để thực hiện hiệu quả chương trình bảo vệ tính riêng tư và dữ liệu cá nhân, cần tìm sự cân bằng giữa nguồn lực thực hiện, tuân thủ pháp luật và định hướng của cấp lãnh đạo. Tổ chức và cấp lãnh đạo cần hiểu rằng việc tuân thủ toàn bộ sẽ là một chặng đường dài, đòi hỏi thời gian, nguồn lực lớn. Các tổ chức, đặc biệt là các tổ chức tín dụng, nên bắt đầu từ sớm đối với các phạm vi dữ liệu và quy trình nghiệp vụ quan trọng có tính rủi ro cao hay liên quan tới việc chuyển dữ liệu ra khỏi biên giới.

Vai trò và trách nhiệm bảo vệ dữ liệu cá nhân không chỉ nằm ở phía bộ phận công nghệ thông tin (IT) mà còn nằm ở khối nghiệp vụ khi dữ liệu cá nhân được thu thập ngày càng nhiều thông qua các kênh số hóa. Mức độ ảnh hưởng của vấn đề này thường không được đánh giá đầy đủ và tổ chức cần nâng cao nhận thức, thống nhất chủ trương từ cấp lãnh đạo cao nhất.

GDPR và các luật định bảo vệ dữ liệu khác yêu cầu duy trì một kho dữ liệu và thực hiện việc ánh xạ. Khi mức độ chi tiết và phức tạp của dữ liệu cá nhân tăng, đồng nghĩa với nguồn lực, chi phí duy trì cũng tăng. Tổ chức cần lập kế hoạch đầy đủ ngay từ ban đầu để tránh tình huống kiểm soát chỉ thực hiện được trong lần đầu tiên và khó khăn trong việc thực hiện và duy trì trong tương lai.

Bên cạnh đó, các kiểm soát về tính riêng tư và bảo vệ dữ liệu cá nhân thường khó đạt được nếu thiếu các yếu tố IT. Vì vậy, DPO và IT cần thống nhất mục tiêu, các yêu cầu kiểm soát, đặc biệt các kiểm soát về an toàn bảo mật sẽ được triển khai để đáp ứng yêu cầu tuân thủ luật pháp (ví dụ các kỹ thuật ẩn danh dữ liệu)

“Nhiều dự án bảo vệ dữ liệu cá nhân quá tập trung vào tính tuân thủ và không đảm bảo chương trình có thể bền vững thông qua sự hỗ trợ từ các giải pháp công nghệ phù hợp. Các giải pháp công nghệ phổ biến bao gồm khai phá dữ liệu, dán nhãn, phân loại dữ liệu, quản lý sự chấp thuận, nên được tổ chức cân nhắc và xây dựng thành một lộ trình triển khai phù hợp. Tóm lại, cần đầu tư vào các giải pháp và công nghệ quản lý tính riêng tư và dữ liệu cá nhân”, ông Clarence Chan nói.

Quỳnh Dương

Theo: Tạp chí Thị trường Tài chính Tiền tệ
    Bài cùng chuyên mục