Tội phạm công nghệ cao đối với ngành Ngân hàng Việt Nam trong bối cảnh cách mạng công nghiệp 4.0: Thực trạng và một số khuyến nghị chính sách

<br /> <br /> VẤN ĐỀ - SỰ KIỆN <br /> <br /> Tội phạm công nghệ cao đối với ngành Ngân hàng<br /> Việt Nam trong bối cảnh cách mạng công nghiệp<br /> 4.0: thực trạng và một số khuyến nghị chính sách<br /> Lê Thanh Tâm<br /> Phạm Thị Thu Thảo<br /> Ngày nhận: 17/04/2018 <br /> <br /> Ngày nhận bản sửa: 26/04/2018 <br /> <br /> Ngày duyệt đăng: 23/05/2018<br /> <br /> Cuộc cách mạng công nghiệp 4.0 tác động sâu rộng toàn bộ mọi hoạt<br /> động, nhưng cũng tạo ra rất nhiều thách thức, rủi ro. Tội phạm sử<br /> dụng công nghệ cao nói chung, trong lĩnh vực ngân hàng nói riêng<br /> có xu hướng gia tăng nhanh chóng cả về số lượng lẫn mức độ tinh<br /> vi, diễn biến phức tạp và gây ra nhiều hậu quả nghiêm trọng. Tuy<br /> vậy, cách mạng công nghệ cũng đem lại cơ hội để ngân hàng tận<br /> dụng nhằm phòng chống và hạn chế rủi ro. Bài viết tập trung vào (i)<br /> tổng quan các rủi ro về tội phạm công nghệ cao đối với ngành Ngân<br /> hàng trong cuộc cách mạng công nghiệp 4.0; (ii) phân tích, đánh giá<br /> thực trạng tội phạm công nghệ cao đối với ngành Ngân hàng tại Việt<br /> Nam; và (iii) đề xuất một số giải pháp nhằm tăng cường hạn chế tội<br /> phạm công nghệ cao trong ngành Ngân hàng.<br /> Từ khóa: Cách mạng công nghiệp 4.0, công nghệ cao, internet, ngân<br /> hàng, rủi ro, tội phạm công nghệ cao.<br /> <br /> 1. Giới thiệu<br /> <br /> ngành công nghiệp ở mọi quốc gia. Điều này<br /> tác động sâu rộng tới sự chuyển đổi của toàn<br /> bộ hệ thống sản xuất, quản lý và quản trị của<br /> xã hội loài người (Jorge Posada và các cộng sự,<br /> 2015; Mario Hermann và cộng sự, 2016). Trong<br /> ngành Ngân hàng, cuộc cách mạng công nghệ<br /> mang lại nhiều lợi ích lớn như: Tăng khả năng<br /> cung cấp sản phẩm dịch vụ hiện đại cho khách<br /> hàng thông qua tài chính số (digital finance); dữ<br /> liệu lớn (big data) giúp tiếp cận thông tin, dữ<br /> liệu, kết nối, hợp tác; trí tuệ nhân tạo (artificial<br /> <br /> uộc cách mạng công nghiệp 4.0<br /> (industrie 4.0) trong thời đại<br /> internet kết nối vạn vật (internet<br /> of things) và trí tuệ nhân tạo<br /> (artificial intelligence- AI) có<br /> tốc độ phát triển đột phá về công nghệ chưa<br /> có tiền lệ trong lịch sử, phát triển theo hàm<br /> số mũ, phạm vi ảnh hưởng rộng lớn trên toàn<br /> cầu và đang phá vỡ cấu trúc của hầu hết các<br /> <br /> © Học viện Ngân hàng<br /> ISSN 1859 - 011X<br /> <br /> 1<br /> <br /> Tạp chí Khoa học & Đào tạo Ngân hàng<br /> Số 192- Tháng 5. 2018<br /> <br /> VẤN ĐỀ - SỰ KIỆN <br /> <br /> intelligence- AI) giúp giảm chi phí, tăng năng<br /> suất lao động. Tuy vậy, điều này cũng gây ra<br /> nhiều khó khăn khi tội phạm công nghệ cao<br /> ngày càng tinh vi. Tội phạm sử dụng công nghệ<br /> cao tấn công vào lĩnh vực ngân hàng trên thế<br /> giới nói chung và tại Việt Nam có xu hướng gia<br /> tăng nhanh chóng cả về số lượng lẫn mức độ<br /> tinh vi, diễn biến phức tạp và gây ra nhiều hậu<br /> quả nghiêm trọng. Trước những thách thức đó,<br /> việc phát hiện và phòng ngừa tội phạm sử dụng<br /> công nghệ cao trở thành vấn đề cấp thiết đối với<br /> từng ngân hàng và cả hệ thống.<br /> Bài viết tập trung vào (i) tổng quan các rủi ro<br /> về tội phạm công nghệ cao đối với ngành Ngân<br /> hàng trong cuộc cách mạng công nghiệp 4.0;<br /> (ii) phân tích, đánh giá thực trạng tội phạm<br /> công nghệ cao đối với ngành Ngân hàng tại<br /> Việt Nam; và (iii) đề xuất một số giải pháp<br /> nhằm tăng cường hạn chế tội phạm công nghệ<br /> cao trong ngành Ngân hàng.<br /> 2. Các rủi ro về tội phạm công nghệ cao đối<br /> với ngành ngân hàng trong cuộc cách mạng<br /> công nghiệp 4.0<br /> Tội phạm công nghệ cao trong cuộc cách<br /> mạng công nghiệp 4.0<br /> Theo Halder &Jaishanka (2011), tội phạm công<br /> nghệ cao (cybercrime) là “Các hành vi phạm tội<br /> được thực hiện đối với cá nhân, nhóm người có<br /> hành vi phạm tội nhằm cố ý làm hại danh tiếng<br /> của nạn nhân hoặc gây tổn hại về thể chất, tinh<br /> thần, hoặc mất mát cho nạn nhân trực tiếp hoặc<br /> gián tiếp bằng cách sử dụng mạng viễn thông<br /> hiện đại như Internet (mạng không giới hạn ở<br /> Phòng trò chuyện, email, bảng thông báo và<br /> nhóm) và điện thoại di động (Bluetooth/SMS/<br /> MMS)”.<br /> Tội phạm công nghệ cao còn có một số tên gọi<br /> khác: tội phạm máy tính, tội phạm sử dụng<br /> công nghệ cao, tội phạm ảo, tội phạm không<br /> gian ảo, tin tặc. Trên thế giới, cùng với sự phát<br /> triển của máy tính, mạng máy tính và Internet,<br /> tội phạm công nghệ cao đã trải qua nhiều hình<br /> thái, từ đơn giản đến phức tạp, từ những cá thể<br /> đơn lẻ phát triển thành các tổ chức lớn và hoạt<br /> động ngày càng trở nên tinh vi. Đặc biệt từ khi<br /> cách mạng công nghiệp 4.0 bùng nổ, tội phạm<br /> <br /> 2<br /> <br /> Số 192- Tháng 5. 2018<br /> <br /> công nghệ cao có nhiều biến thể đa dạng hơn.<br /> Tại Việt Nam, công nghệ cao được xác định<br /> trong Luật Công nghệ cao 2008 là “công nghệ<br /> có hàm lượng cao về nghiên cứu khoa học và<br /> phát triển công nghệ; được tích hợp từ thành<br /> tựu khoa học và công nghệ hiện đại; tạo ra sản<br /> phẩm có chất lượng, tính năng vượt trội, giá trị<br /> gia tăng cao, thân thiện với môi trường; có vai<br /> trò quan trọng đối với việc hình thành ngành<br /> sản xuất, dịch vụ mới hoặc hiện đại hóa ngành<br /> sản xuất, dịch vụ hiện có” (Quốc hội, 2008).<br /> Theo Khoản 1 Điều 3 Nghị định số 25/2014/<br /> NĐ-CP, “tội phạm có sử dụng công nghệ cao<br /> là hành vi nguy hiểm cho xã hội được quy định<br /> trong Bộ luật Hình sự có sử dụng công nghệ<br /> cao” (Chính phủ, 2014). Theo Bộ Luật Hình<br /> sự 2017, tội phạm công nghệ cao là “các hành<br /> vi nguy hiểm cho xã hội do người có năng lực<br /> trách nhiệm hình sự hoặc pháp nhân thương mại<br /> thực hiện một cách cố ý hoặc vô ý, xâm phạm<br /> độc lập, chủ quyền, thống nhất, toàn vẹn lãnh<br /> thổ Tổ quốc, xâm phạm chế độ chính trị, chế độ<br /> kinh tế, nền văn hóa, quốc phòng, an ninh, trật<br /> tự, an toàn xã hội, quyền, lợi ích hợp pháp của<br /> tổ chức, xâm phạm quyền con người, quyền, lợi<br /> ích hợp pháp của công dân, xâm phạm những<br /> lĩnh vực khác của trật tự pháp luật xã hội chủ<br /> nghĩa” (Quốc hội, 2017).<br /> Tổng kết lại, tội phạm sử dụng công nghệ cao<br /> là tội phạm sử dụng tri thức, kỹ năng, công cụ,<br /> phương tiện công nghệ ở trình độ cao tác động<br /> trái pháp luật đến thông tin, dữ liệu, tín hiệu<br /> được lưu trữ, xử lý, truyền tải trong hệ thống<br /> mạng máy tính, mạng viễn thông, thiết bị số,<br /> xâm phạm đến trật tự an toàn thông tin, có thể<br /> gây tổn hại tới quyền và các lợi ích hợp pháp<br /> của cá nhân, tổ chức, quốc gia.<br /> Ai có thể là tội phạm công nghệ cao?<br /> Xét về động cơ, về cơ bản có 3 nhóm trở thành<br /> tội phạm công nghệ cao như sau: (1) Học sinh,<br /> sinh viên hay những người muốn chứng minh<br /> năng lực của bản thân mà thực hiện các hoạt<br /> động tấn công mạng vào các trang tin trên<br /> Internet; (2) Các cá nhân, tổ chức chuyên lừa<br /> đảo để trục lợi về kinh tế; (3) Các cá nhân, tổ<br /> chức thực hiện hoạt động phá hoại hệ thống<br /> thông tin với mục đích chính trị. Trong đó,<br /> <br /> Tạp chí Khoa học & Đào tạo Ngân hàng<br /> <br />  <br /> <br /> nhóm thứ 3 có mức độ tác động lớn nhất, gây<br /> ảnh hưởng đến trật tự, an toàn xã hội và an ninh<br /> quốc gia. Đặc biệt, nhóm này chủ yếu có nguồn<br /> gốc nước ngoài, không loại trừ có trường hợp<br /> được hậu thuẫn từ chính phủ, do đó rất khó xử<br /> lý, đối phó. Đối với nhóm 1 và nhóm 2, lực<br /> lượng công an có thể thực hiện hoạt động phá<br /> án, truy bắt thủ phạm. Riêng đối với nhóm 3,<br /> việc cơ bản cần làm là thực hiện các hoạt động<br /> tự bảo vệ, phát hiện, hạn chế hành động phá<br /> hoại và hậu quả của các hành động này, rất khó<br /> có thể truy tìm thủ phạm để tiêu diệt tận gốc<br /> vấn đề.<br /> Quy mô của tội phạm công nghệ cao trên thế<br /> giới<br /> Theo McAffee (2014), tội phạm công nghệ cao<br /> khiến kinh tế toàn cầu mất đi 445 tỷ USD mỗi<br /> năm. Trong nghiên cứu của PwC (2018), có<br /> tới 49% các tổ chức trên thế giới bị tội phạm<br /> công nghệ tấn công xâm nhập và ăn cắp dữ liệu<br /> (tăng lên 13% so với tỷ lệ 36% năm 2016). Tội<br /> phạm công nghệ cao đã trở thành mối đe dọa<br /> nguy hiểm thứ ba trên thế giới, với tỷ lệ lỗi do<br /> người dùng hoặc công ty gặp phải là 32,2%<br /> năm 2016-2017, chỉ đứng sau tội phạm về<br /> <br /> VẤN ĐỀ - SỰ KIỆN<br /> <br /> chiếm đoạt tài sản (47%) và kinh doanh sai trái<br /> (34,4%).<br /> Hình 1 cũng thể hiện sự khác biệt về các loại<br /> tội phạm khác nhau trong các ngành. Trong đó,<br /> ngành Ngân hàng tài chính có tỷ lệ tội phạm<br /> công nghệ cao lớn nhất (41%) so với các ngành<br /> còn lại như tiêu dùng (30%), công nghệ (31%),<br /> sản xuất (29%).<br /> Tội phạm công nghệ cao đã và đang trở thành<br /> những mối lo ngại đối với tất cả công ty, tổ<br /> chức kinh tế, đặc biệt là trong ngành Ngân hàng<br /> tài chính. Các thủ đoạn của tội phạm công nghệ<br /> cao cũng ngày càng trở nên tinh vi, chuyên<br /> nghiệp hơn một phần do sự phát triển của công<br /> nghệ. Mặc dù các công ty có thể khó đo lường<br /> được chính xác được những thiệt hại tài chính<br /> mà các công ty phải gánh chịu khi bị tội phạm<br /> công nghệ cao tấn công, tuy nhiên 14% người<br /> trả lời cuộc khảo sát của PwC từ 7.200 công ty<br /> trên 123 quốc gia và vùng lãnh thổ chia sẻ rằng,<br /> tội phạm công nghệ cao là nỗi lo sợ lớn nhất<br /> đối với công ty của họ, công ty của họ đã mất<br /> khoảng 1 triệu USD, 1% số người khảo sát cho<br /> rằng thiệt hại tài chính của công ty họ là 100<br /> triệu USD khi bị tấn công (PwC, 2018).<br /> Năm 2016, Ngân hàng Trung ương (NHTW)<br /> <br /> Hình 1. Tỷ lệ lỗi do người tiêu dùng hoặc tội phạm kinh tế theo ngành kinh tế trong giai đoạn<br /> 2016-2017<br /> <br /> Đơn vị: %<br /> <br /> Nguồn: PwC (2018)<br /> <br /> Tạp chí Khoa học & Đào tạo Ngân hàng<br /> <br /> Số 192- Tháng 5. 2018<br /> <br /> 3<br /> <br /> VẤN ĐỀ - SỰ KIỆN <br /> <br /> Bangladesh mất 101 triệu USD do tội phạm<br /> công nghệ tấn công vào tài khoản của Ngân<br /> hàng này gửi tại Cục Dự trữ Bang New York<br /> được coi là vụ rủi ro do tội phạm công nghệ<br /> cao lớn nhất trong ngành ngân hàng tới nay.<br /> Điều đáng ngạc nhiên là không tường lửa hoặc<br /> hệ thống báo động nào hoạt động, sự việc chỉ<br /> bại lộ khi tội phạm ghi nhầm tên một trong các<br /> đối tượng thụ hưởng khoản tiền chuyển sang<br /> SriLanka 20 triệu USD (Jones, 2016).<br /> Các mục đích và thủ đoạn tấn công của tội<br /> phạm công nghệ cao trong ngành Ngân hàng<br /> Với nghiên cứu của PwC (2018), các mục đích<br /> tấn công của tội phạm công nghệ cao nói chung<br /> với nền kinh tế và cụ thể trong ngành Ngân<br /> hàng chủ yếu tập trung vào 8 nội dung như<br /> Hình 2.<br /> Có rất nhiều mục đích để tội phạm công nghệ<br /> cao tấn công nền kinh tế nói chung và đối với<br /> ngân hàng nói riêng. Tuy nhiên mục đích lớn<br /> nhất là làm gián đoạn hoạt động kinh doanh<br /> và chiếm đoạt tài sản của các cá nhân, doanh<br /> nghiệp, tổ chức. Theo báo cáo của Security<br /> Scorecard (2017), 75% các ngân hàng thương<br /> mại (NHTM) thuộc top 20 về doanh thu trên thế<br /> giới bị phát hiện có “sâu” trong hệ thống.<br /> Hình 2. Các mục đích tấn công của tội phạm<br /> công nghệ cao trong ngành ngân hàng<br /> <br /> Nguồn: PwC (2018)<br /> <br /> 4<br /> <br /> Số 192- Tháng 5. 2018<br /> <br /> Các thủ đoạn tội phạm công nghệ cao thường<br /> sử dụng trong lĩnh vực ngân hàng tập trung vào<br /> 10 hình thức như sau (Jones, 2016; Security<br /> Scorecard, 2017, PwC, 2018): (1) Skimming<br /> (dùng máy cà thẻ có gắn hộp quẹt thẻ có chức<br /> năng mã hoá để ghi trộm dãy số trên thẻ); (2)<br /> Trộm cắp thông tin cá nhân và thông tin thẻ<br /> trên hóa đơn cà thẻ; (3) Skimming lấy thông tin<br /> từ máy ATM; (4) Sử dụng phần mềm gián điệp;<br /> (5) Truy cập bất hợp pháp vào website, cơ sở<br /> dữ liệu để trộm cắp dữ liệu; (6) Dùng thủ đoạn<br /> phishing (dùng phần mềm e-mail giả để lừa lấy<br /> các thông tin cá nhân); (7) Phát tán thư rác; (8)<br /> Tạo trang web bán hàng giả; (9) Thành lập công<br /> ty ma, công ty ảo để trộm cắp dữ liệu; (10) Thu<br /> thập, mua bán thông tin thẻ tín dụng trên các<br /> diễn đàn về thẻ tín dụng của hacker. Trong lĩnh<br /> vực thẻ tín dụng, do sơ hở trong quản lý của<br /> một số ngân hàng nên đã phổ biến loại tội phạm<br /> sử dụng thẻ tín dụng đã hết hạn của nước ngoài<br /> vào một nước khác rút tiền. Ngoài ra, tội phạm<br /> sử dụng công nghệ cao còn trộm cắp thông tin<br /> cá nhân của các chủ tài khoản, sau đó in thẻ giả<br /> để rút trộm tiền của người nước ngoài và công<br /> dân trong nước.<br /> 3. Thực trạng tội phạm công nghệ cao đối<br /> với ngành Ngân hàng tại Việt Nam<br /> Việt Nam là quốc gia nằm trong top 10 những<br /> nước phát hiện các hành vi tội phạm mạng cao<br /> nhất trên thế giới. Tỷ lệ các vụ “hũ mật ong”<br /> (honeypot) được các nhà quản lý mạng khởi<br /> nguồn phát triển để lừa các kẻ tấn công internet<br /> kết nối vạn vật từ Việt Nam là 3,8%, chỉ sau<br /> Trung Quốc (26,5%), Mỹ (17,7%), Nga (5,8%)<br /> và Đức (4,9%) (Synmatec, 2017).<br /> Theo Hiệp hội An toàn thông tin số Việt Nam<br /> (VNISA), mặc dù chỉ số an toàn thông tin của<br /> Việt Nam qua các năm có sự cải thiện (39%<br /> năm 2014, 47,4% năm 2015, 59,9% năm 2016),<br /> nhưng Việt Nam vẫn là nước nằm trong danh<br /> sách các nước có tỷ lệ lây nhiễm phần mềm độc<br /> hại, mã độc ở mức cao, với dấu hiệu quan ngại<br /> khi chỉ số này thấp đi năm 2017 (54,2%) (Ban<br /> Thời sự, 2017). Việt Nam cũng bị tụt 24 bậc<br /> trong bảng chỉ số an toàn thông tin năm 2017 so<br /> với 2016 (Hoài Nhân, 2017).<br /> <br /> Tạp chí Khoa học & Đào tạo Ngân hàng<br /> <br />  <br /> <br /> VẤN ĐỀ - SỰ KIỆN<br /> <br /> Hình 3. Mười quốc gia có nguồn xuất phát tấn công mạng nhiều nhất thế giới<br /> <br /> Nguồn: Symantec (2017)<br /> <br /> Tình hình tội phạm công nghệ cao đối với<br /> ngành Ngân hàng Việt Nam<br /> Trong thời gian qua, tội phạm công nghệ cao<br /> liên tục tấn công hệ thống dữ liệu của các ngân<br /> hàng nhằm thực hiện những động cơ của mình.<br /> Điều này để lại những hậu quả vô cùng nghiêm<br /> trọng. Ngân hàng số sẽ là tương lai của ngành<br /> Ngân hàng, đây cũng được coi là mảnh đất màu<br /> mỡ để tội phạm công nghệ cao khai thác phi<br /> pháp một cách ngày càng tinh vi. Tại Việt Nam,<br /> mới chỉ có 40 NHTM cung cấp dịch vụ internet<br /> banking, 16 tổ chức cung cấp hơn 2,3 triệu tài<br /> khoản ví điện tử, hơn 200 doanh nghiệp được<br /> cấp phép trong lĩnh vực thương mại điện tử. Kế<br /> hoạch đến năm 2020, Việt Nam sẽ có 95% các<br /> ngân hàng triển khai dịch vụ ngân hàng trực<br /> tuyến internet banking, mobile banking và 30%<br /> ngân hàng sẽ triển khai ngân hàng số, 100%<br /> các siêu thị, trung tâm mua sắm và cơ sở phân<br /> phối hiện đại có thiết bị chấp nhận thẻ (POS)<br /> cho phép thanh toán không dùng tiền mặt; 50%<br /> hộ cá nhân và gia đình ở các thành phố lớn sử<br /> dụng thanh toán không dùng tiền mặt, toàn thị<br /> trường có trên 300.000 POS được lắp đặt…<br /> (Hà Loan, 2017). Có thể thấy, sự phát triển của<br /> công nghệ góp phần làm gia tăng tiện ích đối<br /> với người sử dụng các dịch vụ tài chính, tuy<br /> nhiên cũng tiềm ẩn rất nhiều nguy cơ mất an<br /> toàn đối với các ngân hàng. Trong 10 hình thức<br /> tội phạm công nghệ cao ngân hàng như trên,<br /> hình thức đánh cắp tài khoản người dùng dịch<br /> vụ ngân hàng trực tuyến bị xảy ra nhiều nhất,<br /> <br /> Tạp chí Khoa học & Đào tạo Ngân hàng<br /> <br /> do các ứng dụng thu thập thông tin cá nhân<br /> thông qua ứng dụng cách mạng công nghiệp 4.0<br /> (Nhật Minh, 2017).<br /> Kaspersky (2017) cho biết hiện nay mới có<br /> 19% ngân hàng quan tâm đến các cuộc tấn công<br /> vào máy ATM và các máy rút tiền, mặc dù tỷ<br /> lệ phần mềm độc hại nhằm vào cơ sở hạ tầng<br /> này của ngân hàng ngày càng cao, các mã độc<br /> ATM tăng lên 20% hàng năm. Hầu hết các ngân<br /> hàng được khảo sát đều thừa nhận (46%) khách<br /> hàng của họ thường xuyên bị tấn công bởi lừa<br /> đảo,70% ngân hàng cũng báo cáo các sự cố về<br /> gian lận tài chính dẫn đến mất tiền (NA, 2017).<br /> Thực tế cho thấy, thời gian qua hàng loạt chủ<br /> thẻ đã bị rút trộm tiền trên tài khoản mở tại các<br /> ngân hàng như: Vietcombank, VPBank… Gần<br /> 200 triệu đồng của khách hàng DongABank<br /> bất ngờ bị mất; 500 triệu đồng từ một tài khoản<br /> của Vietcombank bị rút trong một đêm; 31<br /> triệu đồng cũng bỗng dưng bị biến mất khỏi tài<br /> khoản của khách hàng mở tại ANZ vào buổi<br /> trưa; thẻ visa bị “tiêu” vài chục triệu đồng ở<br /> nước ngoài mà chủ thẻ vẫn ở trong nước; hay<br /> nạn mất tiền trong thẻ ATM cận tết 2018… Bức<br /> tranh toàn cảnh về an ninh mạng tại Việt Nam<br /> trong năm qua còn có các điểm nóng: Gia tăng<br /> tấn công trên thiết bị internet kết nối vạn vật<br /> (Internet of Things- IoT), các công nghệ sinh<br /> trắc học mới nhất liên tục bị qua mặt, bùng nổ<br /> tin tức giả mạo, mã độc đào tiền ảo. Có thể thấy<br /> rằng, quy mô của tội phạm công nghệ cao ngày<br /> càng mở rộng đối với nền kinh tế của Việt Nam<br /> <br /> Số 192- Tháng 5. 2018<br /> <br /> 5<br /> <br />