Ông Nguyễn Thanh Sơn, Giám đốc Trung tâm Đào tạo VNBA
Khóa đào tạo diễn ra tại Hà Nội trong bối cảnh các rủi ro về rò rỉ và lạm dụng dữ liệu cá nhân đang gia tăng với tốc độ đáng lo ngại.
Phát biểu khai mạc, ông Nguyễn Thanh Sơn, Giám đốc Trung tâm Đào tạo VNBA, nhấn mạnh, dữ liệu đang trở thành “dòng máu” của nền kinh tế số và đóng vai trò then chốt trong hoạt động của các tổ chức tài chính, song cũng kéo theo những rủi ro ngày càng lớn về lộ lọt và lạm dụng thông tin. Trong bối cảnh đó, năng lực bảo vệ dữ liệu không còn là vấn đề tuân thủ đơn thuần mà đã trở thành yêu cầu sống còn gắn với an toàn tài sản và niềm tin khách hàng.
Theo thống kê, chỉ trong 6 tháng đầu năm 2025, hơn 110 triệu bản ghi dữ liệu cá nhân đã bị rao bán trái phép; con số này vượt mốc 500 triệu bản ghi trong cả năm — một thực trạng đặt áp lực trực tiếp lên các tổ chức tài chính, nơi thông tin cá nhân gắn liền với tài khoản, giao dịch và lịch sử tín dụng của khách hàng.
Các sự cố rò rỉ dữ liệu không chỉ gây thiệt hại tài chính mà còn kéo theo hàng loạt hệ lụy như gian lận, giả mạo hồ sơ, xâm phạm quyền riêng tư và ảnh hưởng nghiêm trọng đến uy tín tổ chức. Trước bối cảnh đó, Việt Nam đã từng bước hoàn thiện hành lang pháp lý, với Luật Bảo vệ dữ liệu cá nhân và các văn bản hướng dẫn đóng vai trò nền tảng, quy định rõ quyền của chủ thể dữ liệu cũng như trách nhiệm của tổ chức trong toàn bộ vòng đời xử lý thông tin.
Ở cấp độ thực thi, các tổ chức tín dụng đã chủ động triển khai nhiều giải pháp như làm sạch dữ liệu, tăng cường cơ chế xác thực, ứng dụng trí tuệ nhân tạo (AI) và blockchain trong giám sát, phòng chống gian lận, đồng thời tuân thủ nghiêm các quy định về an toàn giao dịch điện tử của Ngân hàng Nhà nước.
Tiếp cận đa tầng trong tuân thủ pháp lý
Chuyên gia an ninh mạng Ngô Minh Hiếu, Giám đốc Dự án Chống Lừa đảo
Tại chương trình, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC), Giám đốc Dự án Chống Lừa đảo, đã cung cấp cái nhìn hệ thống về khung pháp lý bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng. Theo ông, việc tuân thủ đòi hỏi tiếp cận đa tầng — từ Luật Bảo vệ dữ liệu cá nhân, Nghị định số 13/2023/NĐ-CP, Luật Các tổ chức tín dụng 2024 đến các quy định chuyên ngành như Thông tư 50/2024 và Thông tư 77/2025, cùng quy trình nội bộ của từng tổ chức.
Chuyên gia Ngô Minh Hiếu nhấn mạnh, bảo vệ dữ liệu cá nhân không đơn thuần là vấn đề công nghệ mà còn là yêu cầu về quản trị và trách nhiệm pháp lý, đòi hỏi sự phối hợp liên phòng ban. Đặc biệt, nghĩa vụ báo cáo sự cố trong vòng 72 giờ kể từ khi phát hiện vi phạm được xác định là điểm các tổ chức cần ưu tiên kiện toàn trong quy trình nội bộ.
Bảy quyền cơ bản của chủ thể dữ liệu cũng được làm rõ tại chương trình, gồm: quyền được biết; quyền đồng ý hoặc từ chối; quyền truy cập, chỉnh sửa; quyền yêu cầu xóa dữ liệu; quyền phản đối xử lý; quyền khiếu nại và quyền yêu cầu cơ quan có thẩm quyền bảo vệ.
Thủ đoạn tấn công ngày càng tinh vi
Quang cảnh khóa đào tạo
Từ góc độ rủi ro thực tiễn, dữ liệu cá nhân hiện được xem là “mỏ vàng” đối với tội phạm mạng. Các thông tin từ định danh, tài khoản, lịch sử giao dịch đến dữ liệu sinh trắc học đều có thể bị thu thập và mua bán trên các nền tảng ngầm. Đáng chú ý, chỉ từ một dữ liệu đơn lẻ như địa chỉ email hay tên đăng nhập, đối tượng xấu có thể lần theo “dấu chân số” để khai thác sâu hơn các thông tin liên quan.
Chuyên gia Ngô Minh Hiếu đánh giá, Quy trình tấn công phổ biến thường bắt đầu từ thu thập dữ liệu cá nhân, xây dựng kịch bản lừa đảo, cài mã độc và chiếm quyền kiểm soát thiết bị. Khi đã xâm nhập thành công, đối tượng có thể khai thác dữ liệu lưu trữ — bao gồm thông tin đăng nhập, hình ảnh, ghi chú — để thực hiện hành vi chiếm đoạt tài sản. Phương thức tấn công ngày càng đa dạng, từ khai thác lỗ hổng khi chia sẻ dữ liệu, lợi dụng nhà cung cấp bên thứ ba đến sử dụng trí tuệ nhân tạo (AI) để tự động hóa kịch bản lừa đảo. Hoạt động giao dịch dữ liệu trái phép qua các nền tảng như Telegram kết hợp tiền mã hóa cũng đang có xu hướng gia tăng.
Một nội dung đáng chú ý là yêu cầu kiểm soát phiên bản ứng dụng ngân hàng theo quy định mới: các thiết bị đã bị “root”, “jailbreak” hoặc bật chế độ nhà phát triển có thể bị từ chối truy cập nhằm giảm thiểu rủi ro bảo mật.
Giải pháp và khuyến nghị
Ở cấp độ tổ chức, các khuyến nghị được đưa ra bao gồm: tăng cường kiểm soát nội bộ; phân loại hệ thống theo mức độ rủi ro; đầu tư xây dựng Trung tâm Giám sát an toàn thông tin (SOC) hoạt động 24/7; đẩy mạnh đào tạo nhận thức an ninh mạng cho cả cán bộ và khách hàng; đồng thời xây dựng kịch bản ứng phó và bảo đảm hoạt động liên tục.
Các tổ chức tín dụng cũng được khuyến nghị triển khai đồng bộ các giải pháp kỹ thuật như làm sạch dữ liệu, tăng cường cơ chế xác thực, ứng dụng AI và blockchain trong giám sát, phòng chống gian lận, tuân thủ các quy định về an toàn giao dịch điện tử của Ngân hàng Nhà nước.
Về phía người dùng, việc nâng cao cảnh giác, hạn chế lưu trữ thông tin nhạy cảm trên thiết bị cá nhân và tuân thủ khuyến nghị bảo mật từ tổ chức cung cấp dịch vụ được xác định là yếu tố quan trọng để giảm thiểu rủi ro.
Khóa đào tạo được thiết kế gồm 6 chuyên đề, kết hợp lý thuyết và thực hành. Phần lý thuyết bao quát các văn bản pháp lý quan trọng và tiêu chuẩn xác thực sinh trắc học; phần thực hành tập trung vào kỹ thuật phát hiện dữ liệu lộ lọt (OSINT), giám sát trên Dark web, Telegram và mô phỏng ứng phó sự cố theo Khung an ninh mạng NIST (NIST Cybersecurity Framework — CSF) — bộ hướng dẫn chuẩn quốc tế do Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ phát triển.
Thông qua chương trình đào tạo chuyên sâu này, VNBA hướng tới củng cố năng lực quản trị rủi ro dữ liệu, thúc đẩy ứng dụng công nghệ và tăng cường khả năng phòng ngừa, ứng phó sự cố tại các tổ chức tín dụng — qua đó bảo vệ niềm tin khách hàng, nền tảng cho sự phát triển an toàn và bền vững của ngành Ngân hàng trong kỷ nguyên số./.
T.Đ