Đừng đùa với dữ liệu khách hàng
Đừng đùa với dữ liệu khách hàng
Dữ liệu là nguồn tài nguyên có giá trị kinh tế cực kỳ lớn, rất nhiều doanh nghiệp, lĩnh vực phụ thuộc vào đó. Trong lĩnh vực ngân hàng (NH), dữ liệu của khách hàng còn quan trọng hơn gấp nhiều lần, vì đó không chỉ là những thông tin cá nhân cơ bản, mà là tình trạng tài sản, dư nợ, dòng tiền của khách hàng. Bảo mật để dữ liệu khách hàng không bị lộ (breach) là một trong những mối bận tâm hàng đầu của các định chế tài chính này, bởi vậy các NH phải đầu tư nhiều công sức, tiền bạc.
* Lộ thông tin tài khoản, ngân hàng phải chịu trách nhiệm
* Để lộ sao kê, mua bán thông tin tài khoản, phạt 40 triệu đồng đến xử lý hình sự
Tiếng chuông cảnh tỉnh về quản trị NH
Mới đây, trên mạng xã hội ở Việt Nam lan truyền tấm hình chụp màn hình máy tính sao kê tài khoản NH của một nghệ sĩ nổi tiếng liên quan đến vụ việc đang thu hút nhiều dư luận.
Dù NH đã thừa nhận nhân viên của mình phát tán, nhưng đây là tiếng chuông cảnh tỉnh với những người đang làm trong lĩnh vực NH, cũng như lãnh đạo của các tổ chức này.
Trong thời đại công nghệ thông tin, bảo mật dữ liệu của khách hàng có thể nói là quan trọng nhất đối với các NH. Trước đây, uy tín của các NH nằm ở sự vững chãi của các két sắt, được đào sâu dưới hầm, qua nhiều lớp cửa thép dày cộp, chống được cháy nổ và cả động đất.
Ngày nay đó là hệ thống bảo mật của NH. Bởi vì phần lớn các tài sản, các khoản nợ được lưu giữ dưới dạng các con số, các dòng dữ liệu. Việc dữ liệu khách hàng bị tiết lộ thường được coi là tai nạn (incident) của hệ thống bảo mật, do lỗi không có chủ ý của con người, hay do bị tấn công từ bên ngoài.
Nhưng rủi ro bảo mật không chỉ đến từ hệ thống công nghệ thông tin. Có 3 nơi rủi ro bảo mật phát sinh, đó là từ góc độ quản trị NH (governance) liên quan đến quy trình, sự giám sát, hệ thống thông tin (information systems), và tác nghiệp hàng ngày (operations).
Vụ việc trên cho thấy lỗi trong tác nghiệp của nhân viên, có liên quan đến vấn đề quản trị của NH. Lẽ thường, khi ký hợp đồng làm việc, trong các điều khoản hợp đồng dĩ nhiên phải có các điều nhân viên không được làm, chưa kể các chuẩn mực nghề nghiệp (business ethics) của ngành.
Và như vậy đây không là lỗi hoàn toàn của nhân viên, NH cũng có trách nhiệm liên đới trong việc đào tạo thường xuyên, cũng như giám sát.
Hệ lụy của việc dữ liệu khách hàng bị tiết lộ là nghiêm trọng ở nhiều cấp độ khác nhau. Chẳng hạn, NH phải chịu trách nhiệm về các khoản thiệt hại phát sinh do tài khoản khách hàng bị tấn công riêng lẻ, hay cả hệ thống thông tin của NH là con mồi của hacker.
Thiệt hại quan trọng cũng không kém đó chính là uy tín của NH. Là khách hàng, không ai muốn gửi tiền hay làm ăn với NH mà “nhà cửa” lỏng lẻo. Các đối tác quan trọng càng không.
NH cũng lúng túng
Trong chuyện dữ liệu của khách hàng, các NH cũng có một sự lúng túng không hề nhỏ giữa việc cần nhiều dữ liệu của khách hàng (KYC), việc bảo mật (security) và sự riêng tư của khách hàng (privacy). Bản thân các NH cũng cần nhiều KYC, không chỉ để quản lý rủi ro, còn để phát triển các dịch vụ cung cấp cho khách hàng, nhất là các dịch vụ bán chéo (cross-selling), các dịch vụ gia tăng.
|
Dữ liệu của khách hàng trong các NH là sự sống còn của các NH. Việc bảo mật chính là hình thức “két sắt” thế hệ mới, và uy tín nằm ở hệ thống, cũng như ý thức, kỹ năng của những người đang nắm giữ chìa khóa. |
Cơ quan quản lý nhà nước cũng yêu cầu các NH thực hiện KYC, chủ yếu cho mục đích chống rửa tiền, các hoạt động phi pháp.
Nhưng khi dữ liệu của khách hàng tăng, tích hợp từ nhiều nguồn, nhiều hệ thống với tiêu chuẩn hay định dạng không đồng nhất, là thách thức rất lớn cho hệ thống thông tin của NH. Bởi càng từ nhiều nguồn, nhiều “lối vào” càng có nhiều điểm hở sườn, nhiều chỗ có thể bị khoét lỗi bảo mật.
Việc thu thập các dữ liệu của khách hàng cũng gặp sự phản ứng nhất định từ họ bởi quyền riêng tư.
Ở nhiều nước phát triển, như châu Âu với Luật về bảo vệ dữ liệu chung năm 2016 (General Data Protection Regulation 2016/679 aka. GDPR), là sự thay đổi rất lớn từ các nhà cung cấp dịch vụ nói chung và lĩnh vực NH nói riêng. Có những dữ liệu, hiện nay NH muốn thu thập phải được sự đồng ý của khách hàng.
Tóm lại, dữ liệu của khách hàng trong các NH là sự sống còn của các NH. Việc bảo mật chính là một hình thức “két sắt” thế hệ mới, và uy tín là nằm ở hệ thống, cũng như ý thức, kỹ năng của những người đang nắm giữ chìa khóa.
NH trong nước cần lưu ý
Trong rủi ro bảo mật dữ liệu của khách hàng, các NH nội địa cạnh tranh với nhau về công nghệ và hầu như không có sự khác biệt lớn giữa các NH trong cùng một nhóm, chẳng hạn các NH lớn đều đủ nguồn lực để trang bị hệ thống tốt nhất.
Thậm chí, những NH đi sau còn có lợi thế hơn vì chi phí công nghệ giảm theo thời gian. Vấn đề đối với bảo mật dữ liệu, vì vậy chủ yếu nằm ở hệ thống quản trị của NH, cũng như trong quá trình tác nghiệp hàng ngày.
Trong quản trị, bên cạnh các quy trình, hệ thống giám sát, nhận thức của lãnh đạo về vấn đề bảo mật cực kỳ quan trọng. Không chỉ đầu tư xác đáng cho hệ thống công nghệ thông tin, người lãnh đạo phải luôn theo dõi sát sao vấn đề này, coi đây là nhiệm vụ quan trọng của mình. Vì vậy, cần có sự chỉ đạo nhất quán, phối hợp giữa các phòng ban của NH, xem đây là hoạt động cốt lõi của NH.
Trong quá trình tác nghiệp hàng ngày, đó là ý thức và kỹ năng của các nhân viên. Việc đào tạo huấn luyện định kỳ, liên tục hết sức cần thiết cho mọi nhân viên, đặc biệt các chức năng quyền hạn theo vị trí việc làm.
Nếu ý thức được mức độ nghiêm trọng của việc công bố tài khoản của khách hàng, không nhân viên nào lại dám bốc đồng như vậy, chưa kể bên cạnh xử lý nội bộ, còn có thể bị liên đới đến các quy định pháp luật.
TS. Võ Đình Trí, Trường ĐH Kinh tế TPHCM
