Ông Trần Công Quỳnh Lân phát biểu tại tọa đàm Luật An ninh mạng 2025

Ngành Ngân hàng bước vào nhóm hệ thống thông tin quan trọng của quốc gia

Ông Trần Công Quỳnh Lân cho biết Luật An ninh mạng 2025 được xây dựng với mục tiêu đơn giản hóa khung pháp lý, tăng trách nhiệm doanh nghiệp và củng cố an ninh dữ liệu trên phạm vi quốc gia. Trong đó, ngành tài chính – ngân hàng được xếp vào nhóm hệ thống thông tin quan trọng, đồng nghĩa với việc các ngân hàng sẽ phải tuân thủ yêu cầu cao hơn nhiều so với hiện nay trong giám sát, báo cáo, phân loại dữ liệu và đảm bảo an ninh hệ thống.

Theo ông, sự thay đổi lần này có tác động sâu rộng không chỉ ở khía cạnh tuân thủ mà còn ảnh hưởng trực tiếp đến mô hình vận hành, kiến trúc công nghệ và chiến lược chuyển đổi số của các ngân hàng.

Ông Lân phân tích 5 nhóm thay đổi lớn của Luật, bao gồm: nội địa hóa an ninh mạng; phân loại và quản trị dữ liệu bắt buộc; siết chặt quản lý bên thứ ba; mở rộng kiểm soát giao dịch số; và quy định báo cáo sự cố theo chuẩn mới.

Luật yêu cầu dữ liệu tài chính, dữ liệu định danh và giao dịch của khách hàng phải được phân loại theo chuẩn thống nhất. Việc mã hóa, quản trị truy cập, lưu trữ log và giám sát đều phải tuân các tiêu chí mới. Các dịch vụ điện toán đám mây và sản phẩm an ninh mạng có nguồn gốc ngoài lãnh thổ Việt Nam cũng phải được rà soát để đảm bảo yêu cầu nội địa hóa.

Đặc biệt, quy định báo cáo sự cố ngay khi phát hiện, theo Phó Tổng giám đốc VietinBank, sẽ tạo áp lực lớn cho các ngân hàng khi sự cố an ninh mạng thường phức tạp và mất nhiều thời gian phân tích. Trong khi đó, các hệ thống Mobile Banking, Internet Banking, Open API, eKYC… sẽ phải tăng cường giám sát định kỳ, nâng cấp cơ chế xác thực và tích hợp mô hình chống gian lận theo thời gian thực.

VietinBank sẽ chịu tác động ra sao?

Trong phần trình bày, ông Lân chỉ rõ những khu vực chịu ảnh hưởng trực tiếp tại VietinBank.

Trước hết, khối dữ liệu khổng lồ của ngân hàng gồm dữ liệu giao dịch, dữ liệu định danh và các kho dữ liệu phân tích, sẽ phải được phân loại theo chuẩn Luật An ninh mạng. Điều này kéo theo yêu cầu tái cấu trúc luồng dữ liệu nhạy cảm, chuẩn hóa log toàn hệ thống và bổ sung biện pháp mã hóa cho các nền tảng chia sẻ liên ngân hàng.

Ở mảng giám sát an toàn thông tin, dù VietinBank đã xây dựng SOC với năng lực mạnh, nhưng theo ông Lân, ngân hàng vẫn phải nâng cấp chuẩn log, tích hợp AI/UEBA để đáp ứng yêu cầu giám sát thời gian thực theo tiêu chuẩn của hệ thống quan trọng quốc gia.

Quy trình ứng cứu sự cố cũng cần thiết kế lại để đảm bảo cơ chế báo cáo 24/24, phân cấp xử lý nhanh hơn và tăng cường diễn tập theo kịch bản mới của luật.

Ngoài ra, VietinBank phải xem xét lại các dịch vụ đang sử dụng từ các nhà cung cấp quốc tế hoặc đặt máy chủ ngoài lãnh thổ, đặc biệt là các dịch vụ Cloud và nền tảng an ninh mạng, để đánh giá mức độ tuân thủ.

Thách thức từ khối lượng dữ liệu khổng lồ đến chi phí và nhân lực

Phó tổng giám đốc VietinBank thừa nhận ngân hàng của mình sẽ đối mặt với nhiều thách thức. Phân loại dữ liệu quy mô lớn là công việc nặng nề, đòi hỏi công cụ và chuẩn thống nhất. Yêu cầu siết quản lý chắc chắn làm tăng chi phí đầu tư hạ tầng, giám sát, nhân sự và đánh giá định kỳ.

Hiện ngân hàng có hơn 300 nhà cung cấp CNTT, khiến công tác đánh giá tuân thủ và tiêu chuẩn bảo mật trở nên phức tạp. Bên cạnh đó, việc xuất log và mã hóa theo chuẩn mới có thể gây khó khăn cho các hệ thống cũ (legacy), đòi hỏi nâng cấp hoặc thay thế.

Ông cũng chỉ ra việc định danh địa chỉ IP và yêu cầu cung cấp thông tin cho cơ quan an ninh nếu không được giải thích rõ ràng có thể khiến người dùng lo ngại về quyền riêng tư.

Ông Trần Công Quỳnh Lân

Mang lại cơ hội chiến lược cho VietinBank

Dù thách thức lớn, ông Lân nhìn nhận Luật An ninh mạng 2025 mở ra nhiều cơ hội. Việc tuân thủ sớm giúp VietinBank củng cố vị thế tiên phong về an toàn thông tin trong ngành ngân hàng và tăng niềm tin từ khách hàng cũng như cơ quan quản lý.

Các yêu cầu của luật cũng tạo động lực để ngân hàng chuẩn hóa, hiện đại hóa Trung tâm điều hành an ninh mạng (SOC), tái kiến trúc Mobile Banking, Core Banking, eKYC, API Gateway… qua đó nâng cao nền tảng công nghệ cho giai đoạn chuyển đổi số dài hạn.

Ông Lân cho rằng quy định phân loại dữ liệu sẽ là cơ sở quan trọng để VietinBank xây dựng khung quản trị dữ liệu chuẩn quốc tế, tạo nền tảng cho AI, phân tích dữ liệu và mô hình hóa rủi ro trong tương lai.

Ngoài ra, quy trình rà soát tuân thủ cũng là cơ hội tốt để VietinBank loại bỏ các hệ thống cũ, chuẩn hóa tài liệu và tối ưu vận hành.

Kết thúc phần trình bày, ông Lân đề xuất một số định hướng cần được ưu tiên, gồm: xây dựng khung phân loại dữ liệu theo luật mới; đầu tư nâng cấp năng lực giám sát, phát hiện sớm; tăng cường bảo vệ các nền tảng ngân hàng số; rút ngắn thời gian phát hiện, phản ứng sự cố; đảm bảo nguồn lực chuyên sâu về an ninh mạng; và rà soát năng lực của các nhà cung cấp theo tiêu chuẩn mới.

Ông khẳng định VietinBank đã sẵn sàng tiếp cận Luật An ninh mạng 2025 như “một cơ hội tái cấu trúc toàn diện an ninh dữ liệu và mô hình vận hành số”, nhằm tăng cường phòng thủ, nâng cao trải nghiệm khách hàng và xây dựng một môi trường tài chính an toàn, bền vững hơn trong kỷ nguyên số.

Xem thêm:

Đăng Khoa