Phòng tuyến bị lãng quên trong kỷ nguyên số hóa

Hàng loạt vụ mất tiền, rò rỉ thông tin cá nhân, đánh cắp danh tính số xảy ra trong thời gian gần đây đã cho thấy một thực tế đáng báo động: người dùng chính là mắt xích yếu nhất trong chuỗi an ninh số. Dù các nền tảng có tích hợp công nghệ bảo mật hiện đại, mọi “tường lửa” đều trở nên vô nghĩa nếu nhà đầu tư bất cẩn chia sẻ mã xác thực, hoặc tương tác với liên kết giả mạo.

Trong khi đó, khung pháp lý liên quan đến tài sản số và giao dịch số tại Việt Nam vẫn đang trong quá trình hoàn thiện. Điều này đồng nghĩa với việc phần lớn rủi ro hiện nay vẫn phụ thuộc vào chính nhận thức và hành vi của từng cá nhân.

Vậy làm thế nào để người dùng trở thành tuyến phòng thủ đầu tiên thay vì trở thành nạn nhân tiếp theo trong thế giới tài chính số? Để làm rõ vấn đề này, Tạp chí Đầu tư Tài chính - VietnamFinance đã có cuộc trao đổi với ông Phan Thanh Toàn, Giám đốc Trung tâm Nền tảng Định danh số FPT IS thuộc Tập đoàn FPT, nhằm chỉ ra những rủi ro điển hình, các nguyên tắc bảo mật bắt buộc và giải pháp dài hạn để nâng cao “sức đề kháng” an ninh mạng cho từng cá nhân – nền móng của một thị trường tài sản số, tài chính số an toàn và bền vững.

Theo ông, những rủi ro bảo mật cá nhân lớn nhất mà nhà đầu tư hiện nay thường gặp là gì trong bối cảnh giao dịch tài chính số phát triển mạnh? Các hình thức giả mạo, lừa đảo đang diễn ra tinh vi đến mức nào?

Ông Phan Thanh Toàn: Trong bối cảnh không gian mạng phát triển nhanh và ngày càng phức tạp, tình trạng giả mạo, lừa đảo trên môi trường số vẫn còn phổ biến và chưa được kiểm soát hiệu quả.

Theo khảo sát của Hiệp hội An ninh mạng quốc gia vào tháng 12/2024, cứ 220 người dùng điện thoại thông minh thì có 1 người là nạn nhân của lừa đảo. Thiệt hại do lừa đảo ước tính trong năm 2024 lên đến 18.900 tỷ đồng. Trong đó, những rủi ro lớn về bảo mật cá nhân mà nhà đầu tư tài chính hiện nay thường gặp phải bao gồm:

Thứ nhất là rủi ro về lộ lọt thông tin định danh. Người dùng cung cấp CMND/CCCD, sao kê ngân hàng, mã OTP qua các kênh không an toàn như mạng xã hội, trang web, ứng dụng (app) giả mạo...

Thứ hai là rủi ro bị chiếm đoạt tài khoản qua lừa đảo OTP, giả mạo app. Theo đó, kẻ xấu tạo ứng dụng giả giống hệt app ngân hàng/chứng khoán để đánh cắp mã xác thực OTP, mật khẩu đăng nhập.

Thứ ba là người dùng bị cài phần mềm gián điệp (spyware) qua file gửi qua mạng xã hội hoặc web giả mạo.

Thứ tư là người dùng bị lừa đảo tham gia đầu tư tài chính đa cấp, lãi suất cao, bị dụ dỗ đầu tư vào nền tảng ảo, lôi kéo nạp tiền, sau đó “sập sàn” và mất trắng tiền đã nạp.

Thứ năm là người dùng bị tấn công kỹ thuật bao gồm: Phishing (gửi email/SMS giả mạo ngân hàng, sàn chứng khoán…); Man-in-the-Middle (tấn công khi người dùng sử dụng wifi công cộng không bảo mật); Malware/Keylogger (cài phần mềm theo dõi gõ phím để lấy mật khẩu).

Thứ sáu là người dùng bị kẻ xấu sử dụng AI để giả mạo giọng nói, khuôn mặt (deepfake) của cán bộ cơ quan nhà nước hoặc người thân để lừa đảo.

Theo khảo sát năm 2024 của PwC, 67% người dùng Việt Nam không thường xuyên kiểm tra mức độ an toàn khi giao dịch trên nền tảng số và 45% chưa hiểu rõ khái niệm phishing (tấn công giả mạo). Nhìn chung người dùng vẫn còn chủ quan, sẵn sàng chia sẻ CCCD, thông tin tài khoản qua kênh không an toàn; tải ứng dụng từ nguồn không rõ ràng; tin vào “chuyên gia tư vấn tài chính” không có bằng cấp uy tín; dùng chung một mật khẩu cho nhiều tài khoản; chưa kích hoạt xác thực đa nhân tố trên các dịch vụ quan trọng như Gmail hay mạng xã hội.

Vậy đâu là những nguyên tắc bảo mật tối thiểu mà một cá nhân nên tuân thủ khi tham gia giao dịch tài chính trên môi trường số hoặc sử dụng các nền tảng tài chính số, thưa ông?

Ông Phan Thanh Toàn: Để bảo vệ an toàn thông tin và tài sản, mỗi người dùng cần tuân thủ một số nguyên tắc bảo mật cơ bản nhưng quan trọng:

Trước hết, cần đảm bảo bảo mật thiết bị cá nhân bằng cách luôn cập nhật phiên bản mới nhất của hệ điều hành, trình duyệt và phần mềm chống virus, đồng thời tuyệt đối không sử dụng điện thoại đã bị root (can thiệp hệ điều hành) hoặc jailbreak (bẻ khoá), vì hành động này sẽ làm mất đi lớp bảo vệ quan trọng của hệ điều hành.

Bên cạnh đó, người dùng nên sử dụng mật khẩu mạnh, đúng quy định và duy nhất cho từng tài khoản, đặc biệt là tài khoản tài chính, tuyệt đối không chia sẻ với bất kỳ ai. Song song, cần kích hoạt xác thực đa nhân tố (Multi FA) như ứng dụng OTP (Google Authenticator, Microsoft Authenticator), SMS OTP, xác thực bằng thẻ Chip vật lý (CCCD, thẻ bảo mật chuyên dụng) hoặc xác thực sinh trắc học (vân tay, Face ID) để tăng cường mức độ bảo vệ.

Người dùng cũng cần đặc biệt chú ý không chia sẻ thông tin cá nhân nhạy cảm, bao gồm: ảnh CCCD/CMND, ảnh chụp thẻ tín dụng, mã OTP, tên đăng nhập và mật khẩu tài khoản. Trước khi truy cập, cài đặt hoặc sử dụng bất kỳ dịch vụ nào, cần kiểm tra kỹ đường dẫn và nguồn ứng dụng: chỉ tải ứng dụng từ các kho ứng dụng chính thức như App Store hoặc CH Play, kiểm tra URL phải bắt đầu bằng HTTPS, và không tải app từ link được gửi qua tin nhắn hay nhóm chat. Đồng thời, tránh nhấp vào đường link lạ hoặc file đính kèm từ nguồn không xác định.

Một lưu ý quan trọng khác là luôn cảnh giác với lời mời chào “cơ hội đầu tư siêu lợi nhuận”. Người dùng không nên tin vào những cam kết lợi nhuận 5–10%/ngày vì rủi ro cực kỳ cao, và tuyệt đối không nạp tiền vào các nền tảng đầu tư không rõ căn cứ hoạt động theo quy định pháp luật. Ngoài ra, người dùng nên đặt cảnh báo giới hạn giao dịch phù hợp, như thiết lập hạn mức giao dịch an toàn theo ngày hoặc tuần và kích hoạt thông báo biến động số dư/tài khoản.

Cuối cùng, việc cập nhật kiến thức bảo mật thường xuyên là rất quan trọng. Hãy chủ động tìm hiểu các hình thức lừa đảo mới, cách phòng tránh phishing, giả mạo ứng dụng, deepfake… và theo dõi cảnh báo từ các tổ chức cung cấp dịch vụ tài chính cũng như cơ quan chức năng như Công an, Thuế để kịp thời phòng tránh rủi ro.

Theo ông, trách nhiệm của các định chế tài chính như ngân hàng, Fintech, sàn giao dịch hay cơ quan quản lý nhà nước là như thế nào trong việc hỗ trợ nhà đầu tư và thiết lập tiêu chuẩn bảo mật?

Ông Phan Thanh Toàn: Trong bối cảnh gia tăng các vụ lừa đảo và mất mát tài sản trên môi trường số, trách nhiệm của các định chế tài chính và cơ quan quản lý nhà nước ngày càng trở nên quan trọng và rõ ràng hơn.

Trước hết, các định chế tài chính như ngân hàng, công ty Fintech, sàn giao dịch… cần chịu trách nhiệm đền bù thiệt hại cho khách hàng theo điều khoản hợp đồng đã ký kết, nếu để xảy ra rủi ro do lộ lọt thông tin khách hàng hoặc do hệ thống vận hành lỏng lẻo dẫn đến việc khách hàng bị lừa đảo, chiếm đoạt tài sản.

Đồng thời, các đơn vị phải xây dựng và vận hành nền tảng giao dịch an toàn, áp dụng các biện pháp bảo mật hiện đại để bảo vệ dữ liệu cá nhân và tài sản của người dùng. Việc xác minh danh tính (eKYC) cũng cần tuân thủ các tiêu chuẩn bảo mật cao, kết hợp xác thực đa nhân tố và ứng dụng công nghệ AI để phát hiện và ngăn chặn hành vi gian lận. Bên cạnh đó, các tổ chức này có trách nhiệm chủ động cảnh báo rủi ro, phát hiện sớm và xử lý các giao dịch bất thường nhằm giảm thiểu thiệt hại cho nhà đầu tư.

Về phía cơ quan quản lý nhà nước như Ngân hàng Nhà nước, Bộ Khoa học và Công nghệ, Bộ Công an… vai trò quan trọng nhất là ban hành các tiêu chuẩn bảo mật bắt buộc đối với các tổ chức cung cấp dịch vụ tài chính số, bao gồm: tiêu chuẩn eKYC, tiêu chuẩn mã hóa và hạ tầng kỹ thuật.

Ngoài ra, cơ quan chức năng cũng thực hiện thanh tra, kiểm tra, xử lý nghiêm các đơn vị vi phạm quy định về bảo mật; thường xuyên phát hành cảnh báo về các phương thức lừa đảo mới, phối hợp cùng truyền thông để nâng cao nhận thức của người dân. Song song, cơ quan quản lý còn tiếp nhận và xử lý khiếu nại từ người dùng, điều tra các vụ việc liên quan đến tội phạm công nghệ cao, góp phần bảo vệ an toàn cho hệ sinh thái tài chính số và nhà đầu tư.

Ông có đề xuất gì về chính sách pháp lý để tăng cường bảo vệ dữ liệu và tài sản trên môi trường số tại Việt Nam?

Ông Phan Thanh Toàn: Hiện nay, Việt Nam đang trong quá trình xây dựng và hoàn thiện khung pháp lý để tăng cường bảo vệ dữ liệu và tài sản trên môi trường số, với các văn bản quan trọng như Luật An ninh mạng, Luật Công nghiệp Công nghệ số, các luật và nghị định về bảo vệ dữ liệu cá nhân, giao dịch điện tử, cùng các thông tư của Ngân hàng Nhà nước liên quan đến bảo mật và cung cấp dịch vụ trực tuyến…

Tuy nhiên, để hoàn thiện hơn nữa, tôi cho rằng cần ban hành thêm các văn bản pháp quy hướng dẫn chi tiết thi hành, đặc biệt là quy định rõ chế tài xử phạt và phương thức giám sát nếu xảy ra vi phạm.

Cụ thể, cần làm rõ trách nhiệm của từng bên khi xảy ra sự cố an ninh tài chính số: từ người dùng (nếu để lộ lọt thông tin), tổ chức cung cấp dịch vụ số (nếu hệ thống thiết kế kém an toàn, không cảnh báo kịp thời) cho đến đơn vị trung gian như nhà mạng hoặc dịch vụ đám mây (nếu có liên quan).

Bên cạnh đó, các cơ quan quản lý như Ngân hàng Nhà nước, Bộ Khoa học và Công nghệ, Bộ Công an nên phối hợp chặt chẽ, tăng cường kiểm tra định kỳ mức độ an toàn của các tổ chức tài chính. Việc này không nên chỉ dựa vào báo cáo do các tổ chức tự gửi lên, mà cần kiểm tra trực tiếp trên hệ thống giao dịch thực tế, chỉ những tổ chức đạt chuẩn mới được cấp chứng nhận an toàn bảo mật để cung cấp dịch vụ giao dịch số.

Ngoài ra, cần đẩy mạnh phổ cập kiến thức an toàn số, đưa nội dung này vào chương trình giảng dạy ở bậc phổ thông và đại học cho mọi ngành nghề, không chỉ riêng ngành công nghệ thông tin. Đồng thời yêu cầu các ngân hàng, công ty Fintech thực hiện định kỳ các chiến dịch truyền thông bắt buộc để nâng cao nhận thức của người dùng.