Dịch vụ tài chính của các tập đoàn công nghệ lớn tại Hàn Quốc đang ngày càng trở thành một phần thiết yếu trong sinh hoạt hằng ngày, kéo theo yêu cầu giám sát chặt hơn đối với năng lực vận hành CNTT và hệ thống kiểm soát nội bộ. Giới chức tài chính nước này cảnh báo tốc độ mở rộng người dùng và dịch vụ của các nền tảng Big Tech đang gia tăng nhanh, nhưng nếu xảy ra sự cố hệ thống, thiệt hại có thể lập tức lan tới người tiêu dùng và làm suy giảm niềm tin của thị trường.

Ngày 24/6, Cơ quan Giám sát Tài chính Hàn Quốc (FSS) đã tổ chức cuộc họp với các giám đốc công nghệ thông tin (CIO) của nhóm doanh nghiệp tài chính điện tử thuộc Big Tech. Tham dự cuộc họp có CIO và đại diện kiểm toán của 6 công ty gồm Naver Financial, Kakao, KakaoPay, Kakao Mobility, Viva Republica và Toss Payments.

Theo FSS, loạt sự cố hệ thống xảy ra trong năm nay tại nhóm doanh nghiệp tài chính điện tử thuộc Big Tech cho thấy những rủi ro quản trị tích tụ trong quá trình mở rộng dịch vụ. Các sự cố này trải rộng từ gián đoạn dịch vụ cốt lõi như thanh toán, nạp tiền, chuyển tiền đến lỗi thanh toán trực tuyến và tại cửa hàng, cũng như tình trạng trừ tiền trùng trong thanh toán tự động.

Cơ quan này cho rằng các công ty fintech hiện phải xây dựng hệ thống kiểm soát nội bộ về CNTT và cơ chế ứng phó với người tiêu dùng ở mức tương xứng với các tổ chức tài chính truyền thống.

FSS nhấn mạnh vấn đề nằm ở chỗ dịch vụ tài chính của Big Tech đã không còn là tiện ích bổ sung, mà đã trở thành hạ tầng phục vụ đời sống tài chính hằng ngày. Khi các chức năng như thanh toán, chuyển tiền hoặc nạp tiền bị gián đoạn, tác động không chỉ dừng ở lỗi truy cập mà có thể gây đứt quãng giao dịch và thiệt hại thực tế cho người dùng.

Rủi ro càng lớn hơn khi một nền tảng đồng thời cung cấp thanh toán, nạp tiền, chuyển tiền cùng các dịch vụ tài chính của nhiều công ty trong cùng tập đoàn. Trong trường hợp đó, trục trặc ở một chức năng có thể lan rộng thành gián đoạn trên toàn bộ hệ thống dịch vụ.

Ngoài ra, mô hình một ứng dụng tích hợp và xu hướng mở rộng kết nối ra bên ngoài cũng khiến bài toán quản trị trở nên phức tạp hơn. FSS cho biết khi nhiều dịch vụ trong cùng tập đoàn được tích hợp vào một ứng dụng, đồng thời phụ thuộc ngày càng nhiều vào điện toán đám mây và các hệ thống bên ngoài, sự cố có thể vượt ra ngoài phạm vi một công ty riêng lẻ.

Vì vậy, cơ quan này yêu cầu các doanh nghiệp thiết lập cơ chế khoanh vùng và cô lập sự cố, bảo đảm trục trặc phát sinh trên một nền tảng không lan sang toàn bộ dịch vụ hoặc các công ty tài chính khác trong cùng tập đoàn.

FSS cũng lưu ý nhiều sự cố bắt nguồn từ những lỗ hổng cơ bản trong kiểm soát nội bộ về CNTT. Một số trường hợp ghi nhận lỗi trong quá trình cập nhật chương trình khiến lưu lượng mạng tăng đột biến, hoặc doanh nghiệp không dự báo đầy đủ lượng truy cập tăng mạnh trong các dịp sự kiện, dẫn tới quá tải máy chủ cơ sở dữ liệu.

Cơ quan này cũng đề cập các trường hợp việc xử lý đơn hàng và thanh toán bị chậm do khâu thẩm định với bên thứ ba chưa đầy đủ trong quá trình thay đổi chương trình, hoặc hoạt động kiểm thử trước khi triển khai chưa được thực hiện đầy đủ.

Trước áp lực siết giám sát, các doanh nghiệp trong ngành cho biết đang tăng cường hệ thống kiểm soát nội bộ nhằm ngăn ngừa sự cố hệ thống. Theo các công ty, mỗi đơn vị sẽ xây dựng cơ chế kiểm soát nội bộ về CNTT phù hợp với mức độ rủi ro công nghệ của mình và triển khai hoạt động tự kiểm tra định kỳ.

Các doanh nghiệp cũng cho biết khi bổ sung tính năng mới hoặc cập nhật hệ thống, họ sẽ thực hiện phân tích tác động trước và kiểm thử đầy đủ. Trước các sự kiện lớn hoặc khi ra mắt dịch vụ mới, doanh nghiệp sẽ đánh giá lưu lượng truy cập dự kiến để kiểm tra mức độ sẵn sàng của hệ thống.

Bên cạnh đó, các công ty dự kiến tăng cường giám sát theo thời gian thực nhằm phát hiện sớm lỗi kỹ thuật, đồng thời xây dựng phương án khẩn cấp để nhanh chóng mở rộng tài nguyên CNTT khi cần thiết.

Trong bối cảnh này, các công ty fintech lớn đang rà soát lại cơ chế quản trị với trọng tâm là quản lý thay đổi hệ thống, ngăn rủi ro từ các kết nối bên ngoài và bảo đảm tính liên tục trong hoạt động. Trọng tâm kiểm soát được đặt vào việc tách biệt các dịch vụ cốt lõi và các điểm kết nối bên ngoài, do sự cố tại một chức năng có thể lan sang toàn bộ dịch vụ.

Naver Pay cho biết đã bố trí tổ chức và nhân sự chuyên trách để thẩm định, thảo luận và phê duyệt các thay đổi hệ thống. Công ty cũng tách biệt và cô lập các dịch vụ kết nối bên ngoài khỏi dịch vụ cốt lõi nhằm tránh sự cố lan vào hệ thống nội bộ.

Ngoài ra, Naver Pay đang tổ chức diễn tập ứng phó với các kịch bản thảm họa và sự cố để kiểm tra hiệu quả của quy trình khôi phục, đồng thời nhanh chóng xem xét phương án bồi thường khi phát sinh thiệt hại cho người dùng.

KakaoPay cho biết đang vận hành hệ thống quản trị rủi ro CNTT và cơ chế ngăn sự cố lan rộng. Theo doanh nghiệp, dựa trên hướng dẫn kiểm soát nội bộ về CNTT của FSS, một đơn vị kiểm toán chuyên trách sẽ lập và triển khai kế hoạch đánh giá rủi ro CNTT, trong khi bộ phận công nghệ cũng đảm nhiệm chức năng kiểm toán CNTT nội bộ.

Công ty này đồng thời vận hành các công cụ ngăn chặn sự cố như truy vết phân tán, phân tán hệ thống và circuit breaker, qua đó cô lập các lỗi cục bộ và ngăn chúng phát triển thành gián đoạn trên diện rộng.

Toss cho biết đang tập trung vào kiểm soát vận hành CNTT và bảo đảm tính liên tục kinh doanh. Doanh nghiệp cho biết thông qua chức năng kiểm toán chuyên môn về CNTT và bảo mật trong bộ phận kiểm toán nội bộ, công ty tiến hành rà soát độc lập các hạng mục kiểm soát trọng yếu như quản lý thay đổi hệ thống, quản lý sự cố và tai nạn, dịch vụ kết nối bên ngoài, kế hoạch liên tục kinh doanh (BCP) và khôi phục sau thảm họa (DR).

Công ty cũng đang vận hành thường trực hạ tầng dự phòng song song. Do nhiều dịch vụ trong cùng tập đoàn được kết nối trong môi trường một ứng dụng, Toss cho biết đã triển khai quy trình phối hợp ứng phó chung tại các điểm liên kết giữa các công ty trong hệ sinh thái.

Các doanh nghiệp này cũng cho biết đang nâng cấp cơ chế bảo vệ người tiêu dùng để việc xác định thiệt hại, thông báo cho khách hàng và triển khai các biện pháp xử lý sau sự cố có thể được thực hiện nhanh hơn.

FSS nhấn mạnh rằng với việc dịch vụ tài chính của Big Tech ngày càng gắn chặt với đời sống của người dân, các doanh nghiệp cần có nỗ lực ở cấp toàn công ty để ngăn ngừa sự cố hệ thống. Cơ quan này cho biết sẽ tiến hành thanh tra tại chỗ đối với các doanh nghiệp tài chính điện tử thường xuyên xảy ra trục trặc, đồng thời áp dụng biện pháp nghiêm khắc nếu xuất hiện sự cố lớn do thiếu sót trong kiểm soát nội bộ cơ bản.

Lee Jong-oh, Phó viện trưởng phụ trách mảng số và CNTT của FSS, nhấn mạnh: “Do các dịch vụ này gắn chặt với đời sống hằng ngày của người dân, cần ngăn ngừa triệt để để sự cố hệ thống không gây ra bất tiện trên diện rộng và thiệt hại kinh tế”, đồng thời cho rằng “mức độ ổn định CNTT cần được nâng lên cao hơn cả các tổ chức tài chính truyền thống”.

Từ phía doanh nghiệp, một số ý kiến đồng tình với định hướng tăng cường ổn định hệ thống, nhưng cho rằng các tiêu chí chi tiết cần được thiết kế có tính đến đặc thù riêng của lĩnh vực fintech.

Một đại diện trong ngành cho biết các doanh nghiệp tài chính điện tử thuộc Big Tech vẫn đang tiếp tục đầu tư mạnh cho an ninh và ổn định CNTT. Theo người này, khi cụ thể hóa các tiêu chuẩn kiểm soát nội bộ, cơ quan quản lý cũng cần xem xét đồng thời cấu trúc dịch vụ và môi trường công nghệ riêng của từng nền tảng.