TS. Nguyễn Tiến Đạt
ThS. Chử Ngọc Linh
Ngô Công Khanh
Ngân hàng TMCP Ngoại thương Việt Nam
(Quanlynhanuoc.vn) – Trong bối cảnh số hóa ngày càng sâu rộng trong ngành tài chính – ngân hàng, bảo đảm an toàn thông tin lưu trữ số tại các tổ chức tín dụng không chỉ là một yêu cầu về công nghệ mà còn là nghĩa vụ pháp lý quan trọng. Bài viết tập trung phân tích thực trạng pháp luật Việt Nam liên quan đến an toàn thông tin lưu trữ số trong lĩnh vực ngân hàng, nghiên cứu đánh giá thực tiễn triển khai tại Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank), nhận diện những thách thức nổi bật, như: nguy cơ tấn công mạng, khoảng trống pháp lý, hạn chế nguồn nhân lực và đề xuất, kiến nghị nâng cao hiệu quả quản trị dữ liệu số, hoàn thiện khung pháp lý, phát triển công nghệ lõi và xây dựng mô hình ngân hàng số an toàn, bền vững.
Từ khoá: An toàn thông tin, lưu trữ số, tổ chức tín dụng, Vietcombank.
Trong bối cảnh cuộc cách mạng công nghiệp lần thứ tư diễn ra mạnh mẽ, công nghệ số đã trở thành nền tảng không thể thiếu đối với hoạt động của các tổ chức tín dụng, đặc biệt trong lĩnh vực lưu trữ và quản lý thông tin. Việc chuyển đổi từ lưu trữ tài liệu truyền thống sang lưu trữ số không chỉ mang lại những lợi ích to lớn về tiết kiệm chi phí, nâng cao hiệu quả vận hành, mà còn đặt ra yêu cầu cấp thiết về bảo đảm an toàn thông tin. Đối với các tổ chức tín dụng như Vietcombank – một trong những ngân hàng thương mại hàng đầu Việt Nam, bảo mật thông tin lưu trữ số không chỉ là vấn đề kỹ thuật mà còn gắn chặt với việc tuân thủ các quy định pháp luật, bảo vệ quyền lợi khách hàng và duy trì uy tín thương hiệu.
Thực tiễn những năm gần đây cho thấy, ngành ngân hàng Việt Nam đang đối mặt với những nguy cơ ngày càng gia tăng từ các cuộc tấn công mạng, rò rỉ dữ liệu và gian lận công nghệ cao. Trong bối cảnh đó, việc bảo đảm an toàn thông tin lưu trữ số trở thành một trong những nhiệm vụ trọng tâm của các tổ chức tín dụng. Đặc biệt, đối với Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) – một trong những ngân hàng thương mại hàng đầu tại Việt Nam với quy mô khách hàng lớn, khối lượng dữ liệu đồ sộ và mức độ ứng dụng công nghệ cao – thì vấn đề bảo mật và lưu trữ an toàn thông tin lại càng trở nên cấp thiết. Vietcombank không chỉ cần tuân thủ pháp luật hiện hành mà còn phải chủ động đi đầu trong việc thiết lập các chuẩn mực cao về an toàn thông tin nhằm bảo vệ lợi ích khách hàng và giữ vững vị thế thị trường.
Xuất phát từ yêu cầu cấp bách nêu trên, bài viết này tập trung phân tích thực trạng pháp luật Việt Nam về bảo đảm an toàn thông tin lưu trữ số đối với tổ chức tín dụng; đánh giá thực tiễn triển khai tại Vietcombank; đồng thời chỉ ra những thách thức cụ thể mà ngân hàng này đang đối mặt và đề xuất các giải pháp nhằm hoàn thiện hành lang pháp lý, nâng cao năng lực bảo đảm an toàn thông tin, hướng tới xây dựng mô hình ngân hàng số an toàn, bền vững.
2. Cơ sở lý luận về an toàn thông tin lưu trữ số trong tổ chức tín dụng
Theo Điều 3 Luật An toàn thông tin mạng năm 2015, “an toàn thông tin mạng” là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, bảo mật và khả dụng của thông tin. Trong đó, hệ thống thông tin được hiểu là tập hợp phần cứng, phần mềm và cơ sở dữ liệu phục vụ cho việc thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng (khoản 3 Điều 3).
Thông tin lưu trữ số tại tổ chức tín dụng bao gồm các dữ liệu tài chính, giao dịch, thông tin cá nhân khách hàng và các loại dữ liệu nghiệp vụ khác được số hóa và lưu giữ trên hệ thống công nghệ thông tin của ngân hàng. An toàn thông tin lưu trữ số chính là việc bảo đảm ba yếu tố cốt lõi của dữ liệu số: tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability), hay còn được gọi là mô hình CIA – một tiêu chuẩn phổ biến trong quản trị an toàn thông tin.
Ba nguyên tắc cốt lõi trong quản trị an toàn thông tin được công nhận rộng rãi, bao gồm: tính bảo mật (confidentiality): dữ liệu không bị tiết lộ cho bên thứ ba không có thẩm quyền; tính toàn vẹn (integrity): dữ liệu không bị thay đổi trái phép trong quá trình lưu trữ; tính khả dụng (availability): dữ liệu sẵn sàng được truy cập khi người có thẩm quyền cần đến.
Tổ chức tín dụng là tổ chức kinh tế có tư cách pháp nhân thực hiện một, một số hoặc tất cả hoạt động ngân hàng theo quy định của Luật này. Tổ chức tín dụng bao gồm ngân hàng, tổ chức tín dụng phi ngân hàng, tổ chức tài chính vi mô và quỹ tín dụng nhân dân. Đặc thù của các tổ chức tín dụng là hoạt động dựa trên niềm tin của khách hàng, liên quan trực tiếp đến tài sản, dữ liệu cá nhân và quyền riêng tư, do đó yêu cầu về bảo vệ thông tin đặc biệt cao.
Tại các tổ chức tín dụng như Vietcombank – nơi thường xuyên lưu trữ các dữ liệu quan trọng như thông tin tài khoản, hợp đồng tín dụng, hồ sơ khách hàng và các tài liệu nghiệp vụ tài chính – bảo đảm an toàn thông tin lưu trữ số là điều kiện tiên quyết để bảo vệ lợi ích hợp pháp của khách hàng, duy trì sự ổn định hoạt động của tổ chức và tuân thủ các yêu cầu pháp lý ngày càng khắt khe trong lĩnh vực tài chính – ngân hàng.
3. Thực trạng pháp luật về an toàn thông tin lưu trữ số tại tổ chức tín dụng và thực tiễn áp dụng tại Vietcombank
3.1. Hệ thống pháp luật hiện hành về an toàn thông tin trong lưu trữ số
Hệ thống pháp luật Việt Nam hiện nay đã bước đầu thiết lập hành lang pháp lý cho hoạt động bảo đảm an toàn thông tin trong môi trường số, bao gồm cả hoạt động lưu trữ dữ liệu. Tuy nhiên, các quy định vẫn còn mang tính khung, thiếu tính chuyên biệt cho lĩnh vực ngân hàng – tổ chức tín dụng.
Luật An toàn thông tin mạng năm 2015 quy định nguyên tắc chung về an toàn hệ thống thông tin, yêu cầu tổ chức, cá nhân phải thiết lập các biện pháp bảo vệ phù hợp để bảo đảm tính bí mật, toàn vẹn, sẵn sàng của thông tin, đồng thời có nghĩa vụ xây dựng phương án ứng phó sự cố an toàn thông tin mạng. Luật An ninh mạng năm 2018, với nhiều nội dung liên quan đến dữ liệu người dùng, đặc biệt là quy định về lưu trữ dữ liệu người dùng tại Việt Nam đối với các tổ chức cung cấp dịch vụ trên không gian mạng. Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi, bổ sung năm 2023) quy định rõ nghĩa vụ bảo vệ dữ liệu cá nhân và thông tin khách hàng, trong đó tổ chức tín dụng là một chủ thể chịu trách nhiệm chính. Luật Các tổ chức tín dụng năm 2024, thay thế cho luật cũ năm 2010 (sửa đổi 2017), yêu cầu tổ chức tín dụng phải giữ bí mật thông tin giữ bí mật thông tin liên quan đến tài khoản, khách hàng, giao dịch và dữ liệu, bao gồm cả dữ liệu dưới dạng điện tử.
Nghị định số 85/2016/NĐ-CP hướng dẫn chi tiết việc phân loại hệ thống thông tin theo cấp độ (từ cấp 1 đến cấp 5), làm căn cứ để áp dụng mức độ bảo mật phù hợp với tính chất dữ liệu được lưu trữ. Thông tư số 18/2018/TT-NHNN là văn bản chuyên ngành có tính chi tiết cao nhất, yêu cầu thiết lập hệ thống giám sát an toàn hệ thống công nghệ thông tin, ghi nhận truy cập, đánh giá định kỳ rủi ro bảo mật và có phương án ứng cứu sự cố. Thông tư số 09/2020/TT-NHNN của Ngân hàng Nhà nước là văn bản chuyên ngành quan trọng nhất, quy định chi tiết việc quản lý hệ thống công nghệ thông tin trong hoạt động ngân hàng, yêu cầu các tổ chức tín dụng: phân loại dữ liệu và hệ thống công nghệ thông tin theo mức độ quan trọng; xây dựng trung tâm dữ liệu chính và trung tâm dữ liệu dự phòng; thiết lập chính sách sao lưu, phục hồi dữ liệu; áp dụng tiêu chuẩn bảo mật (như ISO/IEC 27001) đối với các hệ thống lưu trữ dữ liệu trọng yếu.
Mặc dù các quy định trên đã tạo ra cơ sở pháp lý bước đầu, tuy nhiên các khía cạnh chuyên sâu như quy định về chu kỳ lưu trữ điện tử, hủy dữ liệu số an toàn, lưu vết truy cập, quyền cá nhân đối với dữ liệu… vẫn chưa được quy định rõ ràng.
Cụ thể là có sự chồng chéo và thiếu thống nhất giữa các văn bản pháp luật, đặc biệt là giữa Luật An toàn thông tin mạng và Luật An ninh mạng. Một số quy định chưa rõ phạm vi áp dụng hoặc chưa có hướng dẫn cụ thể. Thiếu quy định chuyên sâu về kỹ thuật lưu trữ số, bảo mật cơ sở dữ liệu và quản trị rủi ro trong môi trường ngân hàng số. Các tiêu chuẩn kỹ thuật thường chỉ mang tính khuyến nghị chứ chưa bắt buộc. Cơ chế xử phạt và bồi thường chưa rõ ràng, gây khó khăn trong việc truy cứu trách nhiệm hoặc giải quyết khiếu nại của khách hàng khi xảy ra sự cố mất an toàn thông tin. Chưa bắt buộc áp dụng các chuẩn mực quốc tế, khiến năng lực quản trị thông tin tại nhiều ngân hàng còn chênh lệch, thiếu đồng bộ. Thiếu cơ chế kiểm tra, giám sát hiệu quả từ phía Ngân hàng Nhà nước và cơ quan chuyên trách an toàn thông tin. Điều này khiến các tổ chức tín dụng, trong đó có Vietcombank phải tự nội luật hóa và xây dựng quy trình nội bộ, tiềm ẩn rủi ro khi bị thanh tra hoặc xảy ra sự cố.
3.2. Thực tiễn triển khai bảo đảm an toàn lưu trữ số tại Vietcombank
Tại Vietcombank, Trung tâm An toàn thông tin của ngân hàng chịu trách nhiệm kiểm tra định kỳ hệ thống lưu trữ số, phối hợp với các đối tác như IBM và Fortinet để đánh giá rủi ro bảo mật và thực hiện kiểm tra thâm nhập (penetration testing). Cùng với đó, Vietcombank đã triển khai hệ thống quản lý tài liệu điện tử (DMS) tích hợp vào quy trình văn thư lưu trữ. Các văn bản điện tử được mã hóa, định danh, gán chỉ số phân loại và luân chuyển nội bộ qua chữ ký số, thay thế hoàn toàn phương thức lưu trữ giấy trong nhiều tác vụ.
Vietcombank đã thành lập Phòng Chính sách an ninh thông tin trực thuộc Khối CNTT và Chuyển đổi số để bảo đảm an toàn thông tin trong hoạt động ngân hàng. Phòng này có chức năng tham mưu, giúp việc cho Ban lãnh đạo trong công tác định hướng, xây dựng chiến lược an ninh thông tin, quản lý danh mục và giám sát tập trung các sáng kiến, dự án và chương trình an ninh thông tin của Vietcombank. Đặc biệt, Vietcombank đã xây dựng thành công một nền tảng chuyển đổi số toàn diện, giúp ngân hàng hiện đại hóa các dịch vụ, đồng thời nâng cao tính bảo mật và hiệu quả của việc lưu trữ thông tin. Các dịch vụ, như: VCB DigiBiz, VCB CashUp, VCB Digibank và VCB DigiBot đều được tích hợp vào nền tảng này, tạo thành một hệ sinh thái số mạnh mẽ. Điều này không chỉ giúp nâng cao trải nghiệm khách hàng mà còn giúp bảo đảm tính bảo mật của các giao dịch và thông tin lưu trữ qua các công nghệ tiên tiến như mã hóa, xác thực đa yếu tố và giám sát bảo mật theo thời gian thực.
Vietcombank đã ban hành quy chế bảo mật thông tin nội bộ, quy định rõ trách nhiệm của từng bộ phận trong việc bảo vệ dữ liệu khách hàng và tài liệu số. Các nghiệp vụ nhạy cảm như tín dụng, chuyển tiền và quản lý tài sản được giám sát chặt chẽ thông qua các lớp phê duyệt điện tử và ghi nhận log hệ thống.
Với các dịch vụ e-KYC (xác thực khách hàng điện tử) và VCB DigiBot, Vietcombank đã xây dựng các chính sách và quy trình chặt chẽ để bảo vệ dữ liệu khách hàng trong quá trình số hóa. Điều này cho thấy, ngân hàng không chỉ chú trọng đến việc phát triển dịch vụ số mà còn cam kết bảo đảm tính bảo mật và tuân thủ các quy định pháp lý trong bảo vệ dữ liệu cá nhân của khách hàng.
Vietcombank đã phát triển một hệ sinh thái kỹ thuật số mạnh mẽ gồm hơn 50 nhà cung cấp dịch vụ thanh toán và các công ty fintech. Điều này giúp mở rộng khả năng thanh toán điện tử và giao dịch trực tuyến, đồng thời nâng cao tính bảo mật và an toàn trong quá trình giao dịch. Các dịch vụ, như: VCB DigiBank, VCB DigiBiz và VCB CashUp giúp người dùng thực hiện giao dịch ngân hàng dễ dàng và bảo mật. Dữ liệu được mã hóa đầu cuối, đồng thời có các hệ thống phát hiện và ngăn chặn tấn công (IDS/IPS) và giám sát an ninh mạng 24/7.
Năm 2024, Vietcombank đã hoàn tất triển khai hệ thống máy chủ và lưu trữ mới phục vụ ngân hàng lõi (Core Banking) giai đoạn 2024 – 2028. Hệ thống này giúp tăng hiệu năng xử lý giao dịch, bảo đảm hoạt động liên tục 24/7 và nâng cao khả năng mở rộng, đáp ứng nhu cầu phát triển sản phẩm dịch vụ mới.
Ngoài ra, ngân hàng đã áp dụng các công nghệ bảo mật tiên tiến như mã hóa dữ liệu AES-256, xác thực đa yếu tố (MFA) và hệ thống giám sát truy cập theo thời gian thực (audit trail). Việc sao lưu dữ liệu định kỳ và lưu trữ phân tán cũng được thực hiện để bảo đảm khả năng phục hồi nhanh chóng trong trường hợp xảy ra sự cố. Ngân hàng cũng tiên phong trong việc ứng dụng công nghệ sinh trắc học và kết nối với hệ thống định danh điện tử quốc gia (VNeID), giúp xác thực khách hàng một cách an toàn và thuận tiện. Vietcombank cũng triển khai các API giúp tích hợp dịch vụ thanh toán giữa các hệ thống của ngân hàng và các đối tác bên ngoài, tạo ra một hệ thống thanh toán xuyên suốt và an toàn. Hệ thống này hỗ trợ thanh toán quốc tế, thanh toán xuyên biên giới, và các dịch vụ thanh toán trực tuyến khác, mang đến những tiện ích bảo mật cho khách hàng trong và ngoài nước.
Nhận thức được tầm quan trọng của yếu tố con người trong bảo mật thông tin, Vietcombank đã tổ chức các chương trình đào tạo định kỳ về an toàn thông tin cho toàn bộ nhân viên. Ngân hàng cũng xây dựng văn hóa bảo mật nội bộ, khuyến khích nhân viên phát hiện và báo cáo các lỗ hổng bảo mật, đồng thời áp dụng kỷ luật nghiêm khắc đối với các hành vi vi phạm. Với mục tiêu trở thành ngân hàng dẫn đầu về chuyển đổi số vào năm 2025, Vietcombank đã xác định yếu tố con người là yếu tố quyết định để đạt được mục tiêu này. Để hỗ trợ quá trình chuyển đổi số, ngân hàng tập trung vào việc phát triển nhân lực chất lượng cao thông qua các chương trình đào tạo, bồi dưỡng; đổi mới mạnh mẽ công tác đào tạo, coi trọng việc phát triển năng lực và phẩm chất của đội ngũ cán bộ nhân viên, đặc biệt là khả năng thích ứng với chuyển đổi số. Vietcombank đã triển khai các chương trình đào tạo dành cho lãnh đạo cấp cao và các giám đốc chi nhánh để nâng cao nhận thức về chuyển đổi số. Cụ thể: hội thảo chuyển đổi số được tổ chức thành công vào năm 2021 dành cho các thành viên của Ban lãnh đạo và lãnh đạo một số đơn vị và chi nhánh. Chương trình được thực hiện trực tuyến và có sự tham gia của các chuyên gia hàng đầu về chuyển đổi số từ Thụy Sĩ, Singapore và Úc. Khóa đào tạo Digital Transformation trên nền tảng E-learning Coursera đã được áp dụng cho tất cả các thành viên Ban điều hành. Đây là lần đầu tiên Vietcombank tham gia khóa học trực tuyến do đối tác quốc tế cung cấp.
Các chương trình này không chỉ giúp các lãnh đạo cập nhật kiến thức về chuyển đổi số mà còn giúp họ xây dựng chiến lược phù hợp để triển khai chuyển đổi số tại các phòng ban và chi nhánh. Cùng với đó, chương trình đào tạo dành cho Khối Công nghệ thông tin tại Vietcombank đã được làm mới để đáp ứng yêu cầu của chuyển đổi số. Nội dung đào tạo bao gồm các chủ đề quan trọng, như: thực hành triển khai dự án theo mô hình Agile/Scrum giúp các kỹ sư công nghệ thông tin làm quen với phương pháp phát triển phần mềm nhanh chóng và linh hoạt. Công nghệ học máy và trí tuệ nhân tạo trong phát hiện bất thường để giúp đội ngũ IT phát triển các hệ thống tự động phát hiện các hành vi bất thường trong hệ thống mạng và dữ liệu. Hệ thống ra quyết định với phân tích dự đoán dữ liệu và dữ liệu lớn nhằm giúp đội ngũ công nghệ nắm bắt xu hướng mới trong việc phân tích và xử lý dữ liệu. Các khóa học này không chỉ giúp nâng cao chuyên môn mà còn giúp các cán bộ trong khối công nghệ thông tin hiểu rõ hơn về chuyển đổi số và các xu hướng công nghệ mới.
Ngày 07/3/2025, Vietcombank đã công bố quyết định thành lập Trung tâm Đổi mới Sáng tạo (VCI). Trung tâm này có chức năng tham mưu, giúp việc cho Ban lãnh đạo trong công tác định hướng, xây dựng chiến lược chuyển đổi số; quản lý danh mục và giám sát tập trung các sáng kiến, dự án và chương trình chuyển đổi số của Vietcombank; công tác truyền thông và quản lý sự thay đổi; hỗ trợ, thúc đẩy hoạt động đổi mới sáng tạo tại ngân hàng. Cùng với đó,Vietcombank đã triển khai các chương trình đào tạo về điện toán đám mây (Cloud) trên nền tảng AWS, nhằm nâng cao năng lực của đội ngũ nhân sự trong việc triển khai và quản lý các dịch vụ điện toán đám mây, hỗ trợ quá trình chuyển đổi số của ngân hàng.
Đội ngũ nhân sự phụ trách an toàn thông tin tại Vietcombank được đào tạo bài bản, nhiều người có chứng chỉ quốc tế như CISM, CISSP, CEH. Ngân hàng tổ chức các đợt diễn tập giả lập tấn công mạng, đào tạo nâng cao nhận thức về bảo mật cho toàn bộ cán bộ nhân viên, giúp giảm thiểu rủi ro do thao tác sai hoặc chủ quan của người dùng nội bộ. Vietcombank đã ký kết hợp tác chiến lược với các doanh nghiệp bảo mật hàng đầu như VNPT, Bkav, CyRadar, IBM và Fortinet để triển khai giải pháp bảo vệ đa tầng (multi-layered security). Ngân hàng cũng mở rộng hợp tác với các trường đại học và viện nghiên cứu trong và ngoài nước về luật dữ liệu và công nghệ pháp lý (LegalTech) nhằm làm chủ công nghệ lõi và giảm phụ thuộc vào các giải pháp nước ngoài.
Vietcombank đã thiết lập một quy trình phản ứng sự cố bảo mật chặt chẽ nhằm bảo đảm an toàn cho hệ thống thông tin và dữ liệu của ngân hàng. Quy trình này bao gồm các bước sau:
(1) Phát hiện sự cố: ngân hàng sử dụng hệ thống giám sát an toàn mạng 24/7 và các công cụ phát hiện và ngăn chặn xâm nhập (IDS/IPS) để liên tục theo dõi và phát hiện các hoạt động bất thường trong hệ thống. Việc phát hiện sớm giúp giảm thiểu thiệt hại và ngăn chặn các mối đe dọa tiềm ẩn.
(2) Đánh giá và phân loại sự cố: sau khi phát hiện sự cố, đội ngũ chuyên gia an ninh thông tin của Vietcombank tiến hành đánh giá mức độ nghiêm trọng và phân loại sự cố theo các tiêu chí như ảnh hưởng đến dữ liệu, hệ thống và khách hàng. Việc phân loại giúp xác định mức độ ưu tiên và phương án xử lý phù hợp.
(3) Ứng phó và khắc phục: dựa trên đánh giá, ngân hàng triển khai các biện pháp khắc phục kịp thời, bao gồm việc cách ly hệ thống bị ảnh hưởng, khôi phục dữ liệu từ các bản sao lưu và cập nhật các bản vá bảo mật. Quá trình này bảo đảm hệ thống nhanh chóng trở lại hoạt động bình thường với mức độ an toàn cao.
(4) Đánh giá hậu sự cố và cải tiến: sau khi khắc phục sự cố, Vietcombank tiến hành đánh giá nguyên nhân gốc rễ và tác động của sự cố. Dựa trên kết quả đánh giá, ngân hàng thực hiện các biện pháp cải tiến quy trình, nâng cấp hệ thống và đào tạo nhân viên để ngăn ngừa sự cố tái diễn.
Truyền thông hiệu quả đóng vai trò quan trọng trong việc bảo đảm an toàn thông tin và duy trì lòng tin của khách hàng. Vietcombank thực hiện truyền thông theo hai cấp độ. Truyền thông nội bộ: khi xảy ra sự cố bảo mật, ngân hàng thông báo kịp thời cho toàn thể nhân viên về tình hình và các biện pháp ứng phó. Việc này giúp nhân viên hiểu rõ tình huống và phối hợp chặt chẽ trong việc xử lý sự cố. Truyền thông công khai: Vietcombank cam kết minh bạch thông tin với khách hàng và công chúng. Ngân hàng sử dụng các kênh truyền thông như website chính thức, email và mạng xã hội để thông báo về sự cố và biện pháp khắc phục, đồng thời cung cấp hướng dẫn cho khách hàng về cách bảo vệ thông tin cá nhân.
Thách thức lớn nhất với Vietcombank hiện nay là đối mặt với rủi ro an ninh mạng ngày càng tinh vi trong khi lượng dữ liệu số hóa ngày càng lớn. Theo báo cáo của Bộ Công an, chỉ riêng trong 6 tháng đầu năm 2023, đã ghi nhận hơn 13.900 cuộc tấn công mạng vào hệ thống thông tin tại Việt Nam, tăng 9,5% so với cùng kỳ năm 20221. Điều này cho thấy các tổ chức tín dụng như Vietcombank – nơi lưu trữ khối lượng lớn dữ liệu tài chính và thông tin khách hàng – đang trở thành mục tiêu tấn công thường xuyên và nghiêm trọng.
Vấn đề hạ tầng công nghệ và nhân lực chuyên môn về bảo mật chưa đồng đều giữa các chi nhánh và bộ phận. Mặc dù Vietcombank là ngân hàng tiên phong trong chuyển đổi số, nhưng theo khảo sát từ Ngân hàng Nhà nước, hơn 60% các ngân hàng tại Việt Nam vẫn đang thiếu nhân sự có chuyên môn sâu về bảo mật và lưu trữ dữ liệu số2.
Áp lực tuân thủ quy định pháp luật trong bối cảnh thay đổi nhanh chóng cũng là một thách thức. Luật Giao dịch điện tử năm 2023 và các quy định mới về bảo vệ dữ liệu cá nhân yêu cầu các ngân hàng phải thiết lập hệ thống kiểm soát chặt chẽ hơn trong quá trình lưu trữ, xử lý và chia sẻ dữ liệu khách hàng. Điều này không chỉ đòi hỏi sự đầu tư lớn về tài chính mà còn cả sự thích nghi nhanh chóng về mặt quy trình vận hành nội bộ.
4. Đề xuất và kiến nghị
Việc bảo vệ thông tin lưu trữ số trong ngành ngân hàng không chỉ là một yêu cầu kỹ thuật mà còn là nghĩa vụ pháp lý được quy định trong nhiều văn bản pháp luật, như: Luật An toàn thông tin mạng năm 2015, Luật Giao dịch điện tử năm 2023, Bộ luật Dân sự năm 2015 và Luật Các tổ chức tín dụng năm 2024. Trên cơ sở các thách thức và cơ hội đã phân tích, có thể đề xuất một số kiến nghị cụ thể sau:
4.1. Hoàn thiện khung quản trị dữ liệu theo hướng kết hợp công nghệ – pháp lý – tổ chức
Vietcombank cần thiết lập khung quản trị dữ liệu (Data Governance Framework) với các trụ cột chính: chính sách nội bộ, phân quyền truy cập, kiểm soát thay đổi, lưu trữ và tiêu hủy tài liệu. Mô hình này phải đáp ứng đồng thời: các chuẩn mực quốc tế như ISO/IEC 27001:2022 về hệ thống quản lý an toàn thông tin và ISO 22301 về tính liên tục hoạt động. Các yêu cầu pháp lý cụ thể được quy định trong Luật Các tổ chức tín dụng năm 2024 về lưu trữ thông tin khách hàng và giao dịch tài chính; Luật An toàn thông tin mạng năm 2015 về bảo vệ dữ liệu cá nhân. Cần bổ sung yếu tố xác thực pháp lý trong toàn bộ vòng đời của tài liệu số như: ký số định danh điện tử theo quy chuẩn của Luật Giao dịch điện tử năm 2023. Đóng dấu thời gian (timestamp) cho mọi hồ sơ tín dụng, hợp đồng thế chấp, văn bản đối chiếu công nợ,… để làm căn cứ chứng minh trong tranh chấp pháp lý. Hệ thống lưu trữ phải cho phép truy vết toàn bộ hoạt động chỉnh sửa và bảo đảm dữ liệu không thể bị thay đổi đơn phương – đây là yêu cầu then chốt nếu tài liệu muốn được công nhận là chứng cứ điện tử trong tố tụng.
4.2. Nâng cao năng lực tổ chức và đào tạo về an toàn thông tin
Đa phần sự cố rò rỉ dữ liệu bắt nguồn từ yếu tố con người. Do đó: Vietcombank nên xây dựng một lộ trình đào tạo bắt buộc về bảo mật thông tin cho toàn bộ nhân sự, đặc biệt với cán bộ khối tín dụng, pháp chế, công nghệ thông tin – những bộ phận trực tiếp tạo lập, xử lý và truy cập tài liệu số. Áp dụng mô hình “Zero Trust” kết hợp “Least Privilege” trong phân quyền truy cập tài liệu, bảo đảm mỗi cá nhân chỉ có quyền cần thiết và mọi hoạt động đều được giám sát và ghi nhận. Xây dựng văn hóa nội bộ về bảo mật (Security Culture), khuyến khích nhân viên phát hiện lỗ hổng và báo cáo sự cố, đồng thời áp dụng kỷ luật nghiêm khắc với hành vi vi phạm.
4.3. Phát triển hạ tầng công nghệ và ứng dụng giải pháp mới
Để tăng cường tính bất biến, truy vết và xác thực của dữ liệu lưu trữ, Vietcombank nên đầu tư vào hệ thống lưu trữ phân tán (Distributed Ledger – DLT), đặc biệt ứng dụng công nghệ Blockchain trong xác thực hợp đồng, sao kê và hồ sơ tín dụng. Tích hợp trí tuệ nhân tạo (AI) vào khâu giám sát truy cập và phát hiện bất thường, cảnh báo sớm nguy cơ giả mạo, truy cập trái phép hay mất mát dữ liệu. Mở rộng sử dụng hệ thống Data Loss Prevention (DLP) kết hợp mã hóa đầu cuối để kiểm soát toàn bộ luồng thông tin lưu trữ, từ cấp cá nhân đến hệ thống.
4.4. Đề xuất chính sách thử nghiệm và tham gia xây dựng pháp luật
Vietcombank nên chủ động đóng vai trò tiên phong trong đề xuất chính sách: kiến nghị Ngân hàng Nhà nước triển khai regulatory sandbox trong lĩnh vực lưu trữ số và an toàn dữ liệu tài chính nhằm thử nghiệm mô hình lưu trữ trên Blockchain hoặc phân tán. Đề xuất xây dựng quy chuẩn pháp lý riêng về lưu trữ số trong ngành tài chính – ngân hàng làm căn cứ bảo vệ ngân hàng trước tranh chấp dân sự, hình sự phát sinh từ dữ liệu số. Chủ động tham gia các diễn đàn quốc tế như ISO, ITU, ADB, IMF, để tiếp thu tiêu chuẩn quốc tế và bảo đảm hệ thống lưu trữ số tại Vietcombank có thể tương thích khi triển khai dịch vụ xuyên biên giới.
4.5. Tăng cường hợp tác công nghệ và bảo mật
Ký kết hợp tác chiến lược với các doanh nghiệp bảo mật như VNPT, Bkav, CyRadar, IBM, Fortinet để triển khai giải pháp bảo vệ đa tầng (multi-layered security). Mở rộng hợp tác với các trường đại học và viện nghiên cứu trong và ngoài nước về luật dữ liệu, AI pháp lý (LegalTech) để làm chủ công nghệ lõi và giảm phụ thuộc nước ngoài.
5. Kết luận
Qua việc phân tích hệ thống pháp luật hiện hành và thực tiễn triển khai tại Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank), có thể thấy mặc dù Việt Nam đã có nhiều nỗ lực trong việc xây dựng hành lang pháp lý về an toàn thông tin, song vẫn còn tồn tại khoảng trống về quy định chuyên ngành, thiếu tiêu chuẩn kỹ thuật đồng bộ và chưa cập nhật đầy đủ các xu hướng công nghệ mới. Đặc biệt, Vietcombank – với vai trò là một trong những tổ chức tín dụng chủ lực, đang đứng trước yêu cầu cấp thiết phải hoàn thiện khung quản trị dữ liệu, tăng cường năng lực bảo mật nội bộ, đầu tư vào công nghệ lõi và chủ động tham gia đề xuất chính sách thử nghiệm. Việc nâng cao hiệu quả bảo đảm an toàn thông tin lưu trữ số không chỉ giúp Vietcombank phòng ngừa rủi ro pháp lý và kỹ thuật, mà còn mở ra cơ hội dẫn đầu trong công cuộc xây dựng ngân hàng số minh bạch, an toàn và có năng lực cạnh tranh cao trong môi trường số hóa toàn cầu.
Bảo đảm an toàn thông tin lưu trữ số là vấn đề pháp lý – công nghệ mang tính sống còn trong chiến lược phát triển dài hạn của các tổ chức tín dụng nói chung và Vietcombank nói riêng. Việc sớm hoàn thiện khung pháp lý, cơ sở hạ tầng công nghệ và năng lực quản trị sẽ là nền tảng vững chắc cho sự phát triển bền vững của hệ thống ngân hàng trong kỷ nguyên số.
Chú thích:
1. Hội nghị sơ kết công tác bảo đảm an ninh mạng 6 tháng đầu năm 2023. https://bocongan.gov.vn/tin-tuc/chuyen-nganh/an-ninh-mang.
2. Báo cáo khảo sát về nhân lực công nghệ thông tin trong ngành ngân hàng năm 2023. https://tapchinganhang.gov.vn/khao-sat-nhan-luc-cong-nghe-thong-tin-trong-nganh-ngan-hang.htm.
Tài liệu tham khảo:
1. Quốc hội (2016). Luật An toàn thông tin mạng năm 2016.
2. Quốc hội (2024). Luật Giao dịch điện tử năm 2024.
3. Quốc hội (2024). Luật Các tổ chức tín dụng năm 2014.
4. Chính phủ (2016). Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ.
5. Ngân hàng Nhà nước Việt Nam (2018). Thông tư số 18/2018/TT-NHNN ngày 21/8/2018 quy định về an toàn hệ thống công nghệ thông tin trong hoạt động ngân hàng.
6. Ngân hàng Nhà nước Việt Nam (2020). Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 quy định về quản lý, vận hành và sử dụng hệ thống công nghệ thông tin trong hoạt động ngân hàng.
7. Ngân hàng Nhà nước Việt Nam (2021). Quyết định số 810/QĐ-NHNN ngày 11/5/2021 về việc phê duyệt Kế hoạch chuyển đổi số ngành Ngân hàng đến năm 2025, định hướng đến năm 2030.
8. Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) (2025). Báo cáo thường niên năm 2024, công bố ngày 18/4/2025.
9. Thủ tướng Chính phủ (2022). Quyết định số 206/QĐ-TTg ngày 11/02/2022 phê duyệt Đề án cơ chế thử nghiệm có kiểm soát hoạt động công nghệ tài chính (Fintech) trong lĩnh vực ngân hàng.
10. Vietcombank tích hợp định danh VNeID vào quy trình xác thực giao dịch. https://baodautu.vn/vietcombank-ket-noi-vneid-trong-giao-dich-ngan-hang-d204089.html.
11. Hội nghị sơ kết công tác bảo đảm an ninh mạng 6 tháng đầu năm 2023. https://bocongan.gov.vn/tin-tuc/chuyen-nganh/an-ninh-mang
12. Bàn về một số điểm mới của Luật Các tổ chức tín dụng năm 2024. https://sbv.gov.vn/webcenter/portal/vi/links/cm255?dDocName=SBV596408.
13. Vietcombank Newsroom (2024). Hợp tác bảo mật chiến lược với VNPT và các đối tác công nghệ quốc tế. https://www.vietcombank.com.vn/tintuc/hoptacbaomat2024.
14. Vietcombank đẩy mạnh đào tạo về Cloud trên nền tảng AWS nhằm thực hiện chiến lược chuyển đổi số. https://www.vietcombank.com.vn/Trang-thong-tin-dien-tu/Articles/2024/08/02/20240730_TDT_khoa-hoc-thuc-hanh-hieu-qua_Final?
15. Vietcombank tổ chức hội nghị quán triệt, triển khai các nghị quyết, kết luận của Trung ương Đảng hướng dẫn và công bố quyết định thành lập Trung tâm đổi mới sáng tạo. https://www.vietcombank.com.vn/vi-VN/Trang-thong-tin-dien tu/Articles/2025/03/07/20250307.
