Sự phát triển nhanh chóng và phổ biến rộng rãi của ứng dụng Mobile Banking tại châu Á
Việc sử dụng các ứng dụng di động đang tăng trưởng với tốc độ chóng mặt. Trong thời gian ngắn, các ứng dụng này đã cách mạng hóa cách chúng ta sống, làm việc và tương tác. Từ giải trí, giao tiếp đến giao thông và mua sắm, công nghệ di động đã len lỏi vào hầu hết mọi khía cạnh của cuộc sống hàng ngày – và mobile banking cũng không ngoại lệ. Từng là một dịch vụ chỉ dành cho một nhóm nhỏ người dùng, mobile banking nay đã trở thành một phần quan trọng trong bức tranh dịch vụ tài chính — đặc biệt là tại châu Á.
Lấy ví dụ Singapore: theo số liệu gần đây từ Statista, có tới 89% người tiêu dùng tại quốc gia này đang sử dụng mobile banking. Nhờ vào sự tiện lợi và khả năng tiếp cận cao, mobile banking được dự đoán sẽ tiếp tục tăng trưởng mạnh, đặc biệt tại các khu vực mà giải pháp di động là cách hiệu quả nhất để tiếp cận dân số đông và đa dạng. Theo ước tính từ KBV Research, thị trường mobile banking tại châu Á sẽ tăng trưởng với tốc độ kép hàng năm (CAGR) hơn 17% từ năm 2024 đến 2031.
Sự phát triển của dịch vụ số và rủi ro ngày càng gia tăng trong Digital Banking
Khi các dịch vụ digital banking tiếp tục phát triển, các nhà cung cấp mới và dịch vụ đổi mới liên tục xuất hiện. Một xu hướng đáng chú ý là sự nổi lên của các “siêu ứng dụng” – các nền tảng bắt đầu với một dịch vụ cốt lõi nhưng sau đó mở rộng ra nhiều dịch vụ kỹ thuật số khác. Một ví dụ điển hình là WeChat: ban đầu là ứng dụng nhắn tin, nay đã trở thành nền tảng cho mọi hoạt động từ thanh toán kỹ thuật số đến thương mại điện tử, phục vụ hơn 1,2 tỷ người dùng, chủ yếu tại Trung Quốc.
Xu hướng này không chỉ giới hạn ở Trung Quốc. Các siêu ứng dụng như Grab (Singapore), Line (Thái Lan), GoTo (Indonesia) và Zalo (Việt Nam) cũng đang thu hút người dùng tại khắp châu Á. Những ứng dụng này mang lại hệ sinh thái phong phú và trải nghiệm người dùng liền mạch.
Tuy nhiên, cùng với lợi ích là các rủi ro bảo mật ngày càng lớn. Với lượng dữ liệu khổng lồ được xử lý, các ứng dụng này trở thành mục tiêu hấp dẫn cho tội phạm mạng nhằm khai thác lỗ hổng, thực hiện đánh cắp danh tính, gian lận, gián điệp, và nhiều hành vi xấu khác.
Các sự cố gần đây cho thấy mức độ nghiêm trọng của rủi ro
Nhiều ví dụ gần đây nhấn mạnh những lỗ hổng mà các ứng dụng mobile banking có thể gây ra, mức độ tàn phá của các vi phạm bảo mật, cũng như sự cấp thiết trong việc bảo vệ cả ứng dụng mobile banking và thiết bị.
Ví dụ, một công ty kiểm toán tại Thái Lan đã sử dụng một ứng dụng mobile banking để thực hiện các giao dịch cốt lõi, bao gồm cả việc chi trả lương cho nhân viên, và đã gặp phải một vụ vi phạm. Chỉ trong vòng 30 giây kể từ khi cuộc tấn công diễn ra, công ty này đã thiệt hại 2 triệu Baht (khoảng 60.000 USD).
Một ví dụ khác từ Thái Lan đến từ ứng dụng Fineasy. Đây là một ứng dụng cho vay tài chính công nghệ (fintech) được phát hiện đã được cài đặt vào điện thoại người dùng mà họ không hề hay biết. Người dùng báo cáo rằng họ không thể gỡ bỏ ứng dụng này, và nó cũng bị phát hiện là đã truy cập vào dữ liệu nhạy cảm, bao gồm danh bạ, và gửi thông báo không mong muốn. Những người dùng không may đã thực sự vay tiền thông qua dịch vụ này được cho là bị tính lãi suất lên đến 40%, điều này là bất hợp pháp tại Thái Lan.
Những sự việc này cho thấy mức độ tinh vi ngày càng tăng và rủi ro từ các ứng dụng di động độc hại đang nhắm vào cả người tiêu dùng lẫn doanh nghiệp.
3 yêu cầu then chốt đối với các nhà cung cấp ứng dụng mobile banking tại châu Á
#1. Bảo vệ trước các mối đe dọa tinh vi và đang phát triển nhanh chóng
Khi mức độ sử dụng và số lượng nền tảng digital banking tăng lên, các mối đe dọa nhắm vào chúng cũng gia tăng theo. Hiện nay, các ứng dụng này đang phải đối mặt với một loạt rủi ro nghiêm trọng:
- Rò rỉ dữ liệu (Data breaches). Dữ liệu tài chính nhạy cảm là mục tiêu hàng đầu của tội phạm mạng, và các vụ rò rỉ dữ liệu có thể gây tổn hại nghiêm trọng đến uy tín, dẫn đến hậu quả pháp lý và thiệt hại tài chính lớn.
- Tấn công lừa đảo (Phishing attacks). Tội phạm mạng thường sử dụng email hoặc trang web giả mạo để đánh lừa người dùng cung cấp thông tin đăng nhập, dữ liệu cá nhân và thông tin tài chính.
- Đánh cắp danh tính (Identity theft). Đây là hậu quả phổ biến từ các vụ tấn công lừa đảo hoặc rò rỉ dữ liệu, có thể gây thiệt hại nặng nề về tài chính và uy tín cho nạn nhân.
- Tấn công mã độc tống tiền (Ransomware). Trong hình thức tấn công này, kẻ xấu khóa hệ thống hoặc dữ liệu của tổ chức và đòi tiền chuộc để mở khóa. Những cuộc tấn công kiểu này đã gây thiệt hại nghiêm trọng cả về tài chính lẫn vận hành cho các tổ chức ở nhiều ngành và khu vực khác nhau.
- Lỗ hổng API (API vulnerabilities). Các điểm yếu trong API, chẳng hạn như xác thực không đầy đủ hoặc kiểm soát quyền truy cập lỏng lẻo, có thể khiến dữ liệu nhạy cảm bị lộ ra ngoài cho kẻ tấn công.
#2. Tuân thủ các Quy định, Tiêu chuẩn và Luật pháp Phức tạp và Không ngừng Thay đổi
Các tổ chức tài chính trên khắp châu Á đang đối mặt với một môi trường pháp lý ngày càng phức tạp, với các quy định đang phát triển nhằm bảo vệ dữ liệu người tiêu dùng và sự toàn vẹn của hệ thống tài chính. Dưới đây là một số quy định nổi bật nhất:
Tiêu chuẩn Ứng dụng An toàn của Singapore
Được phát triển bởi Cơ quan An ninh mạng của Singapore (Cyber Security Agency of Singapore), Tiêu chuẩn Ứng dụng An toàn (Safe App Standard) đưa ra các thực tiễn tốt thiết yếu để bảo vệ ứng dụng di động. Các hướng dẫn này nhằm giúp các nhà phát triển và nhà cung cấp ứng dụng chống lại phần mềm độc hại và các hành vi gian lận trên thiết bị di động ở Singapore. Tiêu chuẩn cung cấp hướng dẫn cho các tình huống rủi ro cao, bao gồm các thay đổi tài khoản như thêm người nhận thanh toán bên thứ ba, tăng giới hạn chuyển tiền; các giao dịch giá trị cao; hoặc thay đổi cấu hình bảo mật của ứng dụng.
Tiêu chuẩn này bao gồm các lĩnh vực như xác thực, lưu trữ, chống can thiệp, mã hóa và chất lượng mã cùng với giảm thiểu khai thác. Trong lĩnh vực chất lượng mã và giảm thiểu khai thác, tiêu chuẩn nêu rõ các nỗ lực chính như bắt buộc cập nhật bảo mật ứng dụng, đảm bảo tính toàn vẹn và khả năng sẵn sàng của ứng dụng và các quy trình của nó, cũng như thiết lập các phụ thuộc bảo mật – ví dụ như với phần mềm, nền tảng và bên thứ ba.
Tiêu chuẩn cũng đề cập đến các kỹ thuật như đảm bảo rằng kẻ tấn công không thể chặn hoặc thay đổi hành vi của ứng dụng khi đang chạy – một quy trình được gọi là “hooking”. Tiêu chuẩn cũng đưa ra hướng dẫn chi tiết về việc quản lý giao tiếp giữa các tiến trình (IPC), và nhấn mạnh tầm quan trọng của việc kiểm thử bảo mật ứng dụng để xác minh việc triển khai cơ chế IPC một cách an toàn.
Tiêu chuẩn Quản lý Rủi ro trong Công nghệ của Malaysia
Tiêu chuẩn Quản lý Rủi ro trong Công nghệ (Risk Management in Technology) tập trung vào nhu cầu tất cả các tổ chức tài chính phải triển khai các biện pháp kiểm soát rủi ro mạnh mẽ và thiết lập một khuôn khổ an toàn cho đổi mới công nghệ. Tiêu chuẩn này quy định các tiêu chí tối thiểu mà các tổ chức tài chính tại Malaysia phải đáp ứng để giảm thiểu rủi ro công nghệ. Tiêu chuẩn này nêu chi tiết một loạt biện pháp cần thiết để giữ cho hệ thống và thông tin khách hàng an toàn, bao gồm các đánh giá liên tục và các chương trình chuyên biệt để chống lại các cuộc tấn công mạng.
Tiêu chuẩn bao gồm các yêu cầu chi tiết về các biện pháp kiểm soát cần được thực hiện để bảo vệ ứng dụng và thiết bị di động. Ví dụ, tiêu chuẩn yêu cầu các tổ chức “thiết kế ứng dụng di động để hoạt động trong môi trường an toàn và chống can thiệp trên thiết bị di động”.
Các Yêu cầu của Cơ quan Tiền tệ Singapore (MAS)
Cơ quan Tiền tệ Singapore (MAS) là ngân hàng trung ương và cơ quan quản lý tài chính của đất nước. MAS đưa ra các quy định chi tiết về quản trị, quản lý rủi ro, chống rửa tiền và nhiều lĩnh vực khác. Các Hướng dẫn Quản lý Rủi ro Công nghệ (Technology Risk Management – TRM) của tổ chức này là bộ các thực tiễn tốt mà các tổ chức tài chính tại Singapore phải tuân theo. Các hướng dẫn này bao gồm các lĩnh vực như bảo vệ dữ liệu, xác thực người dùng, và bảo mật tổng thể của ứng dụng.
TRM bao gồm nhiều yêu cầu cụ thể đối với bảo mật ứng dụng di động, bao gồm việc bảo vệ các khóa mật mã riêng tư, triển khai các phương pháp chống can thiệp, sử dụng kiểm tra tính toàn vẹn của ứng dụng, và thiết lập các biện pháp bảo vệ chống lại các cuộc tấn công man-in-the-middle.
Ngoài ra, MAS cũng đã ban hành nhiều chỉ thị, bao gồm Thông tư #FSM-N06, “Notice on Cyber Hygiene”. Thông tư này chi tiết các tiêu chuẩn an ninh mạng mà các ngân hàng phải tuân thủ, bao gồm bảo mật các tài khoản quản trị, tăng cường xác thực người dùng, và triển khai các biện pháp chống phần mềm độc hại.
Quy tắc Chuyển Giao Dữ liệu của APEC
Thỏa thuận Thực thi Quyền riêng tư Xuyên biên giới (APEC Cross-border Privacy Enforcement Arrangement – CPEA) của Diễn đàn Hợp tác Kinh tế châu Á – Thái Bình Dương (APEC) tạo ra một khuôn khổ hợp tác khu vực trong việc thực thi các luật về quyền riêng tư. Khuôn khổ tự nguyện này nhằm cho phép các tổ chức từ các quốc gia thành viên chuyển dữ liệu liền mạch hơn, trong khi vẫn đảm bảo bảo vệ dữ liệu. Khuôn khổ này yêu cầu các biện pháp thích hợp để bảo vệ thông tin người tiêu dùng, bao gồm ngăn ngừa mất mát và truy cập, xử lý, sử dụng và tiết lộ trái phép.
CPEA do Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) và Ủy ban Bảo vệ Thông tin Cá nhân của Nhật Bản điều hành. Cho đến nay, những người tham gia bao gồm hàng chục ủy ban và bộ ngành, trong đó có từ Úc, Canada, Đài Loan, Hàn Quốc, Mexico, Philippines và Singapore.
Quy định của OJK tại Indonesia
OJK là cơ quan quản lý dịch vụ tài chính tại Indonesia và chịu trách nhiệm xây dựng và thực thi các tiêu chuẩn áp dụng trên toàn ngành dịch vụ tài chính, bao gồm cả ứng dụng mobile banking và ngân hàng số. OJK yêu cầu các tổ chức tài chính phải thiết lập quản trị vững chắc, quản lý rủi ro và các biện pháp bảo mật.
Các tiêu chuẩn này quy định sự cần thiết trong việc bảo vệ dữ liệu khách hàng. Quy định yêu cầu các ngân hàng tiến hành đánh giá rủi ro và mức độ trưởng thành, công bố các phát hiện của họ, và báo cáo mọi sự cố an ninh mạng. Theo các tiêu chuẩn này, ngân hàng phải tiến hành kiểm thử an ninh mạng thường xuyên, bao gồm phân tích lỗ hổng và kiểm thử dựa trên kịch bản.
Luật Bảo vệ Dữ liệu Cá nhân (PDPA) tại Singapore và Thái Lan
Các Đạo luật PDPA đã được triển khai tại Singapore và Thái Lan. Nhìn chung, các đạo luật này quy định cách các tổ chức thu thập, sử dụng, cung cấp và xử lý dữ liệu cá nhân. Cả hai đạo luật đều yêu cầu các doanh nghiệp thông báo cho nạn nhân khi xảy ra vi phạm dữ liệu và áp dụng hình phạt cho các hành vi không tuân thủ.
Đạo luật tại Singapore chia yêu cầu thành ba danh mục chính liên quan đến dữ liệu cá nhân: thu thập, chăm sóc và quyền tự chủ cá nhân. Về mặt chăm sóc dữ liệu cá nhân, đạo luật yêu cầu các biện pháp bảo vệ dữ liệu khỏi truy cập, thu thập, sử dụng và tiết lộ trái phép.
PDPA của Thái Lan cũng trao quyền cho cá nhân đối với cách dữ liệu cá nhân của họ được thu thập và sử dụng. Đạo luật này áp dụng cho các doanh nghiệp xử lý hoặc truy cập dữ liệu cá nhân của công dân Thái Lan, bất kể doanh nghiệp đó có trụ sở trong hay ngoài nước. Cuối năm 2024, Thái Lan đã đưa ra án phạt đầu tiên theo đạo luật này. Một công ty tư nhân bị phạt 7 triệu Baht Thái (hơn 200.000 đô la Mỹ) vì một loạt vi phạm quy định.
#3. Chuẩn bị cho Kỷ nguyên Trách nhiệm Mới
Các chính phủ trên khắp châu Á đang bắt đầu buộc các doanh nghiệp phải chịu trách nhiệm không chỉ trong việc ngăn chặn các sự cố an ninh mạng mà còn trong việc xử lý hậu quả sau khi xảy ra các sự cố đó.
Tại Thái Lan, ví dụ, Bộ trưởng Bộ Kinh tế Số và Xã hội đã công bố kế hoạch ban hành một sắc lệnh hành pháp nhằm buộc các ngân hàng và nhà cung cấp dịch vụ di động phải bồi thường cho các nạn nhân của các vụ lừa đảo mạng.
Tương tự, Cơ quan Tiền tệ Singapore (MAS) và Cơ quan Phát triển Truyền thông và Thông tin (IMDA) đã giới thiệu Khung Trách nhiệm Chia sẻ (Shared Responsibility Framework), trong đó nêu rõ các nghĩa vụ an ninh mạng cụ thể mà các công ty viễn thông và các tổ chức tài chính – bao gồm ngân hàng và các nhà cung cấp dịch vụ thanh toán lớn – phải thực hiện để ngăn chặn hành vi lừa đảo và giả mạo. Hơn nữa, khung này buộc các tổ chức đó phải chịu trách nhiệm nếu họ không thực hiện các nghĩa vụ đã cam kết, yêu cầu các công ty bồi thường cho nạn nhân. Khung quy định rằng các tổ chức tài chính có trách nhiệm chính – là bên đầu tiên phải bồi thường cho nạn nhân nếu vi phạm nghĩa vụ của mình. Nếu xảy ra một giao dịch trái phép và tổ chức bị phát hiện là không tuân thủ, thì tổ chức đó sẽ phải chịu trách nhiệm về tổn thất đó.
Tiêu chuẩn bao gồm các vụ lừa đảo giả mạo sử dụng các liên kết kỹ thuật số để điều hướng mục tiêu đến các trang web giả mạo, ví dụ. Theo khung này, các tổ chức tài chính phải thực hiện các biện pháp như cảnh báo theo thời gian thực cho các hành động có rủi ro cao, giám sát gian lận và một khoảng thời gian chờ (cooling-off period) nhằm trì hoãn các hoạt động sau một thay đổi, chẳng hạn như khi một thiết bị mới đăng nhập.
Quokka có thể giúp như thế nào
Khi các ứng dụng di động trở thành phương tiện chính để mua sắm, ngân hàng và đầu tư trên khắp châu Á, nhu cầu về các biện pháp bảo mật mạnh mẽ chưa bao giờ cấp thiết hơn thế. Để bảo vệ dữ liệu của cả người tiêu dùng và doanh nghiệp, các tổ chức tài chính cần triển khai các giải pháp bảo mật tiên tiến. Đây là lúc công cụ của Quokka – Q-mast phát huy tác dụng.
Q-mast: Cách mạng hóa Kiểm thử Bảo mật Ứng dụng Di động
Q-mast là một giải pháp kiểm thử bảo mật ứng dụng di động (MAST) được thiết kế dành cho các nhà phát triển ứng dụng. Nó cho phép họ tích hợp MAST vào quy trình phát triển, đảm bảo rằng mỗi ứng dụng đều được xây dựng một cách an toàn ngay từ đầu. Bằng cách tự động hóa các kiểm thử bảo mật trong pipeline CI/CD, Q-mast cung cấp các báo cáo chi tiết về các mối đe dọa tiềm ẩn, đề xuất khắc phục và bằng chứng pass/fail. Nhờ công nghệ độc quyền, engine phân tích của Q-mast mang lại khả năng kiểm tra sâu hơn, kỹ hơn bất kỳ giải pháp MAST nào khác trên thị trường.
Kết luận
Sự phát triển nhanh chóng của mobile banking tại châu Á mang lại cơ hội to lớn, nhưng cũng đi kèm với nhiều rủi ro nghiêm trọng. Khi các dịch vụ số ngày càng gắn bó với đời sống hàng ngày, tội phạm mạng cũng đang sử dụng các phương pháp ngày càng tinh vi và dai dẳng hơn. Các tổ chức tài chính phải luôn đi trước các rủi ro đang phát triển bằng cách triển khai các biện pháp bảo mật mạnh mẽ, tuân thủ các quy định phức tạp và chấp nhận một kỷ nguyên mới của trách nhiệm.
Các công cụ như Q-mast cung cấp các năng lực bảo mật mà các tổ chức dịch vụ tài chính ngày nay cần đến. Với giải pháp này, các tổ chức có thể thiết lập các biện pháp bảo vệ mạnh mẽ xung quanh ứng dụng di động và dữ liệu nhạy cảm mà nó xử lý. Nhờ đó, các đội ngũ có thể tiếp tục cung cấp dịch vụ mobile banking tiện lợi mà không phải đánh đổi sự an toàn.