Siết chặt an toàn thông tin toàn ngành ngân hàng

Đầu tháng 10/2025, Ngân hàng Nhà nước (NHNN) ban hành Công văn số 7936 yêu cầu các tổ chức tín dụng, trung gian thanh toán, ngân hàng nước ngoài và các đơn vị liên quan tăng cường công tác bảo đảm an toàn thông tin. Theo đánh giá của NHNN, tội phạm mạng đang có xu hướng tấn công có chủ đích, khai thác lỗ hổng trong hạ tầng, ứng dụng và hệ thống quản trị để đánh cắp dữ liệu.

Công văn nhấn mạnh, các đơn vị phải đánh giá rủi ro an toàn thông tin thường xuyên, khắc phục lỗ hổng kịp thời, và triển khai xác thực đa yếu tố (MFA) cho mọi hệ thống trọng yếu. Dữ liệu nhạy cảm cần được mã hóa toàn bộ và giám sát bằng công nghệ AI để phát hiện hành vi bất thường.

Ngân hàng phải triển khai xác thực đa yếu tố.

Đặc biệt, người đứng đầu tổ chức tín dụng chịu trách nhiệm trước pháp luật và Thống đốc NHNN nếu để xảy ra rò rỉ dữ liệu hoặc vi phạm quy định về bảo vệ bí mật nhà nước. Cùng với đó, NHNN yêu cầu rà soát toàn bộ nhà cung cấp bên thứ ba, vốn là mắt xích dễ bị tấn công trong các cuộc tấn công chuỗi cung ứng.

Sự chỉ đạo quyết liệt này được xem là bước đi then chốt trong bối cảnh hệ sinh thái ngân hàng số ngày càng mở rộng, liên kết với các công ty fintech, ví điện tử và nền tảng thanh toán mới – nơi chỉ một điểm yếu có thể lan thành sự cố toàn hệ thống.

Ở tầm cao hơn, Quốc hội đã chính thức thông qua Luật Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 1/1/2026. Đây là bước ngoặt lớn trong chính sách an ninh mạng quốc gia, lần đầu tiên thiết lập khung pháp lý thống nhất về việc thu thập, xử lý, chia sẻ và lưu trữ dữ liệu cá nhân.

Đồng thời, nhằm hướng dẫn, cụ thể hóa một số nội dung trong Luật Bảo vệ dữ liệu cá nhân, Bộ Công an được giao chủ trì xây dựng dự thảo Nghị định quy định chi tiết một số điều Luật Bảo vệ dữ liệu cá nhân để lấy ý kiến đóng góp của cơ quan tổ chức, cá nhân.

Theo dự thảo, khi xin sự đồng ý của chủ thể dữ liệu, bên kiểm soát hoặc xử lý dữ liệu cá nhân phải nêu rõ mục đích sử dụng, bao gồm các hoạt động như chấm điểm tín dụng, xếp hạng tín nhiệm; liệt kê nguồn thu thập, các bên chia sẻ và thời gian lưu trữ dữ liệu; đồng thời cung cấp cơ chế để người dùng rút lại sự đồng ý hoặc yêu cầu xóa dữ liệu khi cần.

Đáng chú ý, các tổ chức tài chính, ngân hàng sẽ phải thông báo cho khách hàng trong vòng 72 giờ kể từ khi xảy ra sự cố rò rỉ dữ liệu. Quy định này nhằm tăng tính minh bạch và bảo vệ quyền lợi của người dùng – đối tượng chịu ảnh hưởng trực tiếp trong các vụ tấn công mạng.

Việc kết nối giữa các cơ quan quản lý giúp hình thành cơ chế phối hợp liên ngành, đảm bảo cảnh báo sớm và ứng phó nhanh khi sự cố xảy ra, tránh tình trạng “mạnh ai nấy làm” trong bảo vệ hệ thống tài chính số.

Theo ông Vũ Ngọc Sơn - Trưởng ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia, trong nhiều năm qua, thế giới chứng kiến không ít vụ tấn công mạng nghiêm trọng liên quan trực tiếp đến hoạt động tài chính, ngân hàng. 

Một trong những nguyên nhân dẫn tới tình trạng trên là sự khác biệt về khung pháp lý và quy định quốc tế. Một số quốc gia có quy định lỏng lẻo, trở thành “điểm trung gian” bị tin tặc lợi dụng để tấn công xuyên biên giới.

Ông Vũ Ngọc Sơn - Trưởng ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế, Hiệp hội An ninh mạng quốc gia.

Tại Việt Nam, việc ban hành Luật Bảo vệ dữ liệu cá nhân và nhiều quy định cụ thể là bước tiến đáng kể nhưng không phải quốc gia nào cũng áp dụng chặt chẽ. Để giảm thiểu rủi ro, ông Sơn cho rằng việc hoàn thiện khung pháp lý, hợp tác quốc tế và cơ chế ứng cứu khẩn cấp xuyên biên giới là yêu cầu cấp bách.

Ở góc nhìn thực tiễn, chuyên gia an ninh mạng Hiếu PC nhận định, giải pháp căn cơ và bền vững nhất để hạn chế lừa đảo ngân hàng phải đến từ ba trụ cột chính gồm chính sách, công nghệ và nhận thức.

Cụ thể, cần có khung pháp lý rõ và chia sẻ dữ liệu chống lừa đảo giữa các ngân hàng và cơ quan chức năng; triển khai xác thực mạnh, phân tích hành vi bằng AI để phát hiện bất thường. Đồng thời cần đào tạo người dùng thường xuyên để hình thành “miễn dịch số” trước các thủ đoạn lừa đảo mới.

Sự đồng bộ giữa chính sách, công nghệ  và con người cùng với sự vào cuộc của các cơ quan quản lý đang tạo nền tảng quan trọng cho mục tiêu bảo vệ an toàn hệ thống tài chính quốc gia.

Trong thời đại ngân hàng số phát triển mạnh, chỉ khi khung pháp lý, công nghệ và ý thức người dùng cùng tiến, lá chắn an ninh mạng của ngành ngân hàng mới thực sự bền vững.

Thu Hương