Cơ quan Giám sát Tài chính Hàn Quốc (FSS) cho biết sẽ chuyển trọng tâm giám sát từ xử lý sau sự cố sang phòng ngừa, đồng thời siết kiểm soát nội bộ tại các tổ chức tài chính, trong bối cảnh các vụ tấn công mạng và sự cố hệ thống liên tiếp xảy ra.

Ngày 7/4, FSS cho biết đã tổ chức một tọa đàm với Quốc hội, các hiệp hội tài chính, Viện An ninh Tài chính, giới học thuật và doanh nghiệp an ninh mạng trong và ngoài nước để bàn về việc chuyển đổi mô hình bảo mật tài chính. Theo FSS, với mức độ nhận thức về bảo mật, năng lực quản trị rủi ro và cách thức giám sát hiện nay, rất khó ngăn chặn triệt để các sự cố CNTT và an ninh thông tin.

Tham dự cuộc họp có nghị sĩ Lee Jeong-mun, thành viên Ủy ban Các vấn đề chính trị của Quốc hội, cùng lãnh đạo các hiệp hội ngân hàng, đầu tư tài chính, bảo hiểm nhân thọ, bảo hiểm phi nhân thọ, tài chính chuyên biệt, đại diện Viện An ninh Tài chính, giới học thuật và ngành an ninh mạng. Các bên đã trao đổi về biện pháp kiểm soát rủi ro CNTT, an ninh thông tin và các thông lệ trong, ngoài nước, xoay quanh phương án giám sát rủi ro số theo hướng phòng ngừa do FSS đề xuất.

Các đại biểu thống nhất rằng trong bối cảnh các mối đe dọa an ninh ngày càng tinh vi, việc phòng ngừa sự cố không thể chỉ dừng ở giải pháp kỹ thuật mà cần biến an ninh tài chính thành một phần của văn hóa tổ chức. Theo đó, cần tăng trách nhiệm của ban lãnh đạo, cải thiện văn hóa nội bộ và mở rộng đầu tư vào nhân lực cũng như hạ tầng liên quan.

Ông Lee Chan-jin, lãnh đạo FSS, nhấn mạnh các vụ xâm nhập và gián đoạn hệ thống gần đây trong lĩnh vực tài chính phần lớn bắt nguồn từ việc không thực hiện đầy đủ các nghĩa vụ cơ bản hoặc từ lỗ hổng trong kiểm soát nội bộ. Theo ông, đây là lý do cần thay đổi căn bản mô hình bảo mật tài chính hiện nay.

FSS cho biết sẽ chuyển phương thức giám sát từ tập trung vào xử phạt sau sự cố sang giám sát phòng ngừa, qua đó thiết lập cơ chế quản trị rủi ro chủ động tại các tổ chức tài chính.

Cơ quan này cũng có kế hoạch sàng lọc các công ty có rủi ro cao để quản lý tập trung và hoàn thiện cơ chế ứng phó, nhằm giảm thiểu thiệt hại cho người tiêu dùng khi xảy ra sự cố an ninh. FSS đồng thời nhấn mạnh sẽ áp dụng nguyên tắc không khoan nhượng, xử lý nghiêm trách nhiệm nếu sự cố phát sinh trong bối cảnh đơn vị không thực hiện nghĩa vụ cơ bản hoặc duy trì kiểm soát nội bộ không đầy đủ.

Ngoài ra, FSS đề nghị Quốc hội sớm xem xét dự thảo sửa đổi Luật Giao dịch Tài chính Điện tử nhằm tăng cường an toàn giao dịch, đồng thời kêu gọi các hiệp hội tài chính thúc đẩy văn hóa ưu tiên an ninh tài chính trên toàn ngành và mở rộng đầu tư cho CNTT cũng như an ninh thông tin.

Nghị sĩ Lee Jeong-mun nhận định các sự cố CNTT, trong đó có các vụ tấn công mạng, đang xảy ra thường xuyên trong lĩnh vực tài chính. Ông cho rằng bảo đảm an toàn cho giao dịch tài chính điện tử là yếu tố then chốt để củng cố niềm tin của người tiêu dùng, đồng thời đánh giá việc FSS chuyển sang mô hình giám sát phòng ngừa là bước đi kịp thời. Theo ông, rủi ro CNTT cần được quản trị chặt chẽ để người dân có thể yên tâm sử dụng dịch vụ tài chính số.

Một trong những nội dung trọng tâm được nêu tại tọa đàm là sự cần thiết phải hỗ trợ các tổ chức tài chính nhỏ và vừa xây dựng hệ thống kiểm soát nội bộ, nhất là những đơn vị có năng lực bảo mật còn yếu.

Phương án giám sát do FSS đề xuất gồm 5 trụ cột: thay đổi nhận thức về an ninh tài chính; thiết lập cơ chế quản trị rủi ro chủ động; chuyển sang giám sát phòng ngừa; xây dựng hệ thống ứng phó sự cố; và hoàn thiện khung thể chế.

Để nâng cao nhận thức bảo mật của cán bộ, nhân viên trong các tổ chức tài chính, FSS cho biết sẽ mở rộng các chương trình trao đổi theo nhu cầu như tọa đàm với lãnh đạo và workshop dành cho lực lượng thực thi. Cơ quan này cũng sẽ tăng cường nhận diện và quản lý tài sản CNTT, phân tích và đánh giá lỗ hổng để khuyến khích các tổ chức tài chính tự phát hiện sớm yếu tố rủi ro và chủ động ứng phó.

FSS cũng sẽ tăng cường kiểm tra lỗ hổng, quản lý tập trung các công ty có rủi ro cao, đồng thời sử dụng hệ thống giám sát tích hợp an ninh tài chính FIRST để đẩy nhanh chia sẻ thông tin về mối đe dọa và nâng cấp cơ chế tự kiểm tra, khắc phục.

Bên cạnh đó, cơ quan này dự kiến nâng khả năng phục hồi số thông qua các chương trình diễn tập ứng phó như diễn tập chuyển đổi sang hệ thống khôi phục thảm họa ở quy mô liên ngành, mô phỏng tấn công mạng và chương trình bug bounty. Mục tiêu là hoàn thiện hệ thống ứng phó để dịch vụ có thể được khôi phục nhanh khi sự cố xảy ra.

Các hiệp hội tài chính, Viện An ninh Tài chính và giới học thuật cũng bày tỏ đồng thuận với định hướng giám sát phòng ngừa và khẳng định sẵn sàng phối hợp. Các hiệp hội cho biết sẽ hỗ trợ triển khai theo từng lĩnh vực, trong khi Viện An ninh Tài chính cam kết nâng năng lực bảo mật cho các tổ chức tài chính thông qua chia sẻ thông tin về mối đe dọa và nâng cấp các chương trình diễn tập ứng phó.

Giáo sư Kang Byung-hoon của KAIST cho rằng để ngăn chặn các sự cố xâm nhập quy mô lớn, cần ưu tiên nhận diện và quản lý chặt tài sản CNTT. Ông đặc biệt nhấn mạnh sự cần thiết phải hỗ trợ các tổ chức tài chính nhỏ và vừa xây dựng hệ thống kiểm soát nội bộ.

FSS cho biết sẽ đẩy nhanh các nhiệm vụ liên quan để mô hình giám sát phòng ngừa sớm đi vào vận hành hiệu quả, bắt đầu từ các nội dung được thống nhất tại tọa đàm lần này. Cơ quan này cũng sẽ duy trì trao đổi thường xuyên nhằm nâng cao nhận thức về bảo mật và đưa quản trị rủi ro chủ động trở thành chuẩn chung của toàn ngành tài chính.