Ngày 19-6, Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao, Công an TP Đà Nẵng cho biết vừa ra quyết định khởi tố vụ án hình sự liên quan đến vụ thu thập, tàng trữ, trao đổi, mua bán trái phép thông tin về tài khoản ngân hàng (NH). Bước đầu, Cơ quan Công an đã triệu tập làm việc đối với H.Đ.N (SN 1993, thường trú tỉnh Lào Cai, hiện ở quận Hải Châu, TP Đà Nẵng) cùng hàng chục nhân viên NH để điều tra về hành vi đồng phạm với N.
Cấu kết mua bán trái phép tài khoản ngân hàng
Qua đấu tranh, H.Đ.N khai nhận từ tháng 10-2022 có tham gia nhóm Facebook tên "Tài khoản NH A.T.M". Nhóm này có nhiều tài khoản Facebook chuyên đăng tải những bài viết có nội dung liên quan đến việc trao đổi, mua bán thông tin tài khoản NH của người khác để thu lợi. Nhận thấy công việc này dễ thực hiện và dễ thu lợi nên H.Đ.N đã sử dụng tài khoản Facebook, Zalo, Telegram của mình và bạn gái để đăng tải các bài viết có nội dung quảng cáo nhận làm dịch vụ tra soát thông tin tài khoản NH của người khác và có thu phí để thu lợi bất chính.
Khi có khách liên hệ mua thông tin tài khoản NH (bao gồm thông tin chủ tài khoản, số CCCD hoặc CMND, địa chỉ, số điện thoại, internet banking...) của người khác, H.Đ.N liên hệ các đầu mối trên mạng và với nhân viên các NH trên cả nước để tra soát, thu thập, mua thông tin rồi bán lại cho khách hàng liên hệ qua mạng xã hội với giá cao hơn để thu lợi hàng trăm triệu đồng.
Các ngân hàng thương mại đang siết chặt hoạt động kiểm tra, kiểm soát nội bộ để bảo vệ an toàn thông tin của khách hàng. Ảnh: TẤN THẠNH
Qua việc khởi tố vụ án hình sự, Công an TP Đà Nẵng cảnh báo các đối tượng sử dụng thủ đoạn tinh vi, lợi dụng mạng xã hội để công nhiên quảng cáo rầm rộ dịch vụ tra soát, mua bán thông tin tài khoản NH. Đặc biệt, còn có sự tham gia cấu kết, tiếp tay của nhân viên các NH trong việc cung cấp, trao đổi, mua bán thông tin tài khoản của người khác và tạo ra tài khoản NH (thậm chí là tài khoản NH mở bởi giấy tờ giả) để cung cấp, mua bán cho đối tượng sử dụng nguy cơ cao vào mục đích vi phạm pháp luật.
Qua quá trình đấu tranh chuyên án, Công an TP Đà Nẵng cũng đã làm rõ trong hoạt động của các NH TMCP hiện nay vẫn còn tình trạng chạy chỉ tiêu mở thẻ tài khoản NH dẫn đến sai phạm trong quy trình đăng ký mở tài khoản NH.
Ngoài ra, công an cũng xác định các đối tượng liên quan trong vụ việc còn thực hiện dịch vụ quảng cáo mua bán tài khoản NH số đẹp trên mạng với mức giá "khó đoán", thủ tục đăng ký tài khoản nhanh gọn, từ đó mang lại nhiều rủi ro cho khách hàng, song đối tượng môi giới sẽ nhận được tiền chênh lệch lên tới 50% giá bán tài khoản NH số đẹp đó.
Thực tế, tình trạng mua bán thông tin tài khoản NH của khách hàng cho các đối tượng thực hiện các hành vi bất chính đã diễn ra khá nhiều trong vài năm gần đây. Một số vụ đã được cơ quan công an phát hiện và xử lý nhưng đến nay vẫn chưa có giải pháp dứt điểm.
Đề cập vấn đề này, một lãnh đạo cấp cao NH Nhà nước cho biết nhân viên NH thường được giao nhiệm vụ tiếp xúc, chăm sóc một nhóm khách hàng. Từ đó, họ có được thông tin để bán lại cho người khác. Như thế, thông tin này bị rò rỉ không đến từ công nghệ bảo mật của các NH mà phát xuất từ những vụ việc mua - bán thông tin của cá nhân. "Việc nhân viên NH cung cấp thông tin khách hàng cho người khác là vi phạm pháp luật. Các cơ quan chức năng cần xử lý nghiêm khắc để răn đe cán bộ, nhân viên ngành NH. Đồng thời, NH Nhà nước tiếp tục có văn bản yêu cầu các NH thương mại gia tăng giám sát nhân viên, củng cố và xây dựng quy trình, quy chế, công nghệ bảo mật thông tin chặt chẽ hơn nữa nhằm bảo vệ thiệt hại cho khách hàng lẫn NH" - lãnh đạo NH Nhà nước đề xuất và nêu giải pháp.
Siết chặt quy định nội bộ
Trao đổi với phóng viên Báo Người Lao Động, giám đốc một chi nhánh của Vietcombank tại TP HCM cho biết mỗi NH đều có quy chế, quy trình bảo mật thông tin. Cụ thể, mỗi nhân viên phải cam kết không cung cấp thông tin khách hàng cho người khác. Đồng thời, thông qua nhiều công cụ quản lý, các bộ phận kiểm tra, giám sát từ hội sở đến các chi nhánh đều có thể theo dõi, nắm bắt mọi hành vi của nhân viên từ đầu cho đến cuối ngày làm việc. Thậm chí những tương tác, trao đổi thông tin của nhân viên qua mạng xã hội cũng được hệ thống của NH ghi nhận. Hằng tuần hoặc hằng tháng, NH còn tổ chức thảo luận các nguy cơ rủi ro có thể xảy ra, trong đó có nguy cơ rò rỉ thông tin khách hàng để đưa ra phương án ngăn chặn.
Mặt khác, Vietcombank còn tổ chức các "chốt" giám sát qua việc kiểm tra không báo trước, thuê các tổ chức độc lập nhập vai khách để kiểm tra hoạt động của các chi nhánh, phòng giao dịch, trong đó có việc bảo vệ thông tin khách hàng. Trong quá trình công tác, khi một nhân viên có biểu hiện khác thường có nguy cơ dẫn đến thiệt hại cho NH lẫn khách hàng, lập tức toàn hệ thống sẽ vào cuộc và trước mắt sẽ điều chuyển vị trí công tác, sau đó tiếp tục theo dõi để ngăn chặn hành vi tiêu cực có thể xảy ra. "Nếu việc giám sát của cấp trên, các bộ phận quản lý lơi lỏng; lối sống, đạo đức nghề nghiệp nhân viên bị tha hóa thì hoạt động của NH có thể xảy ra tiêu cực. Vì thế, NH nào tập trung quá nhiều nguồn lực vào kinh doanh, lực lượng lao động liên tục biến động, xây dựng quy chế, hệ thống giám sát, "chốt chặn" kiểm soát... chưa chặt chẽ sẽ đối mặt nhiều rủi ro, trong đó có việc nhân viên cung cấp thông tin khách hàng cho kẻ xấu thực hiện hành vi vi phạm" - giám đốc chi nhánh Vietcombank nói.
Nhân viên một NH thương mại ở TP HCM cũng cho biết quy định nội bộ của NH rất chặt chẽ trong việc bảo mật thông tin của khách hàng. Ngay cả đồng nghiệp của nhau nếu không liên quan công việc cũng không được tiết lộ hoặc giữa các chi nhánh với nhau cũng không được chia sẻ thông tin, dữ liệu của khách hàng. Ngay cả kênh bán bảo hiểm qua NH cũng sẽ có 2 dạng là nhân viên của công ty bảo hiểm và nhân viên NH có thêm nhiệm vụ tư vấn bán bảo hiểm cho khách hàng. "Quy định đều có nhưng nếu nhân viên cố tình vi phạm thì cũng rất khó" - nhân viên NH này nói.
Đại diện một NH thương mại khác cho hay NH ông có tên trong danh sách liên quan đến nhân viên NH tiếp tay cho người mua bán tài khoản NH. Ngay sau vụ việc, ngày 19-6, NH này đã ban hành văn bản nội bộ quán triệt việc tuyệt đối bảo mật thông tin tài khoản, thông tin cá nhân của khách hàng.
Phó tổng giám đốc một NH thương mại cổ phần tại TP HCM nhận định dù đã có quy định nhưng vẫn có nhiều trường hợp cố tình hoặc vô tình vi phạm. NH xem đây là đạo đức nghề nghiệp cần phải tuân thủ và cũng áp dụng nhiều biện pháp giám sát bằng công nghệ để giám sát và quản lý chặt. "Nếu phát hiện trường hợp cố tình vi phạm, NH có thể tố cáo hoặc khởi kiện" - phó tổng giám đốc này nói.
Theo Cục An ninh mạng và phòng, chống tội phạm công nghệ cao, Bộ Công an, Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân vừa được Chính phủ ban hành đã quy định khung thông báo cho các tổ chức, cá nhân có liên quan về việc vi phạm quy định về bảo vệ dữ liệu cá nhân tùy theo mức độ có thể bị xử lý kỷ luật, xử phạt vi phạm hành chính và xử lý hình sự theo quy định. Đồng thời, để khắc phục thực trạng dữ liệu cá nhân đang bị mua bán, lộ, mất tràn lan, nhiều hành vi vi phạm pháp luật thiếu quy định xử lý và tạo hành lang pháp lý làm nền tảng cho công tác bảo vệ dữ liệu cá nhân về lâu dài, Nghị định 13 đã quy định các biện pháp bảo vệ dữ liệu cá nhân.
Theo chuyên gia công nghệ Trần Thanh Tuấn (Giải nhất giải thưởng I-Star 2021), bất kỳ công ty lĩnh vực nào cũng có quy trình bảo mật thông tin riêng và NH cũng không ngoại lệ. Thế nhưng, trong mọi quy trình, yếu tố con người luôn là lỗ hổng lớn nhất cho dù có ràng buộc các yếu tố kỹ thuật vô cùng kỹ lưỡng.
Để phòng tránh lỗi bảo mật này, theo chuyên gia Trần Thanh Tuấn, khó để có thể có một quy trình toàn diện phù hợp chung. Vì mỗi đơn vị có đặc thù riêng biệt về hệ thống và con người. Chỉ có thể chủ động giám sát nhật ký hệ thống thường xuyên, trang bị thêm các công nghệ tự động phát hiện các truy vấn, các hoạt động bất thường trong nhật ký để sớm ngăn chặn rủi ro phát sinh. Đặc biệt, thường xuyên giáo dục, tăng cao khả năng nhận thức của nhân sự về bảo mật thông tin. Ng.Ánh