An toàn công nghệ thông tin không được đảm bảo
Tại Đan Mạch, hầu hết các giao dịch tài chính đều được thực hiện bằng các công nghệ và thiết bị kỹ thuật số. Do đó, vi phạm CNTT và các cuộc tấn công mạng trong lĩnh vực tài chính có thể gây ảnh hưởng sâu rộng đến người dân, doanh nghiệp.
NAOD bày tỏ lo ngại, quy mô của nhiều công ty tài chính ngày càng lớn, dịch vụ tài chính ngày càng trở nên quan trọng đối với nền kinh tế quốc gia, nên rủi ro vi phạm an ninh CNTT là rất cao, các hành vi vi phạm có thể đe dọa sự ổn định tài chính nói chung. Vì vậy, NAOD thực hiện cuộc kiểm toán nhằm đánh giá công tác giám sát an ninh CNTT của FSA đối với các công ty tài chính.
Tại Đan Mạch, pháp luật cho phép FSA tổ chức giám sát về CNTT; FSA có quyền thành lập các quy tắc bảo mật CNTT mà các tổ chức tài chính phải tuân thủ và sẽ được FSA giám sát. Ngoài ra, FSA độc lập với Bộ Công nghiệp, Kinh doanh và Tài chính trong việc thực hiện giám sát dù Bộ này chịu trách nhiệm đối với các quy định quản lý lĩnh vực tài chính.
Kể từ năm 2018, FSA đã xác định, bảo mật CNTT là một trong những lĩnh vực có thể mang lại nhiều rủi ro đáng kể nhất mà ngành tài chính phải đối mặt. Do đó, ngành tài chính Đan Mạch cần sớm vạch ra những chiến lược an ninh mạng hiệu quả, có thể kịp thời đối phó với rủi ro.
Qua kiểm toán, NAOD đánh giá việc giám sát an ninh CNTT tại các công ty tài chính của FSA chưa thỏa đáng dẫn đến nguy cơ an toàn CNTT không được đảm bảo, không ngăn chặn được tối đa các vi phạm an toàn CNTT, gây tổn hại cho khách hàng và xã hội. Báo cáo của NAOD cho biết, từ năm 2019, FSA đã đánh giá rủi ro CNTT mà các công ty tài chính phải đối mặt, tuy nhiên, việc lựa chọn các cơ quan để tổ chức kiểm tra vẫn ở mức độ hạn chế. Hơn nữa, FSA thường chưa đánh giá rủi ro bảo mật CNTT của các công ty quản lý đầu tư, công ty thanh toán tiền điện tử, các trung tâm dữ liệu…
Bên cạnh đó, FSA chưa tiến hành giám sát việc ứng dụng CNTT chặt chẽ. Để phù hợp với mục tiêu của pháp luật, FSA đã thanh tra các công ty lớn thường xuyên hơn. Tuy nhiên, FSA chưa kiểm tra tính bảo mật CNTT của 1/3 số công ty lớn trong 4 năm qua, chưa tuân thủ mọi yêu cầu của các quy định hiện hành.
Rủi ro tài chính cần được kiểm tra kỹ hơn
NAOD cho biết, kể từ năm 2021, FSA đã thu hẹp phạm vi các lĩnh vực kiểm tra của cơ quan để dành nhiều thời gian hơn cho việc tiến hành các cuộc kiểm tra thường xuyên đối với các công ty tài chính lớn. Do sự thay đổi trọng tâm này, một số lĩnh vực bảo mật CNTT nhất định, như quản lý truy cập, đã không được kiểm tra trong nhiều năm. NAOD khuyến nghị, FSA cần tăng cường kiểm tra các lĩnh vực có rủi ro cao ở các tổ chức tài chính.
Hiện nay, việc FSA kiểm tra các tổ chức tài chính, các tổ chức thanh toán và tiền điện tử vẫn còn khá hạn chế. Văn phòng Quốc hội Đan Mạch cho biết thêm, FSA chưa sử dụng quyền hạn của cơ quan để áp đặt các biện pháp trừng phạt đối với những công ty không tuân thủ quy định. Do đó, FSA được khuyến nghị cần tính toán chi tiết hơn về các rủi ro liên quan đến các công ty hoạt động trong lĩnh vực quan trọng này; cần đưa ra các đánh giá về rủi ro bảo mật CNTT của các công ty để làm cơ sở cho việc kiểm tra an ninh CNTT.
Bên cạnh đó, NAOD cũng cho rằng, FSA không hỗ trợ đầy đủ tính hiệu quả của việc giám sát CNTT. Sau các cuộc kiểm tra, FSA đã hướng dẫn phần lớn các công ty quan trọng trong hệ thống tài chính giảm thiểu các lỗ hổng bảo mật CNTT của họ. FSA cũng đặt ra thời hạn cho việc tuân thủ các pháp lệnh và đã theo dõi một cách có hệ thống việc tuân thủ các hướng dẫn. Tuy nhiên, trung bình các công ty tài chính vẫn bị chậm trễ tới 2 năm mới tuân thủ các quy định.
Năm 2023, FSA từng thực hiện một cuộc khảo sát trong lĩnh vực tài chính theo yêu cầu của Ủy ban Kế toán công Đan Mạch. Cuộc khảo sát cho thấy, rủi ro của các vi phạm an ninh CNTT là mối quan tâm lớn đối với các tổ chức tài chính và là mối lo ngại mà họ rất khó giải quyết. FSA cho biết, sẽ tiếp tục hỗ trợ các công ty tài chính giải quyết rủi ro an ninh mạng, đồng thời tăng cường sử dụng quyền hạn của Cơ quan để đẩy mạnh việc tuân thủ các hướng dẫn của các công ty tài chính./.
(Theo NAOD và tổng hợp)