Từ 1/7, các ngân hàng đồng loạt triển khai xác thực sinh trắc học khách hàng khi thực hiện các giao dịch chuyển tiền online giá trị trên 10 triệu đồng/giao dịch hoặc trên 20 triệu đồng/ngày theo Quyết định 2345 của NHNN. Để thực hiện chuyển tiền, sau khi đặt lệnh giao dịch, người dùng phải quét gương mặt để xác thực.
Khi các dịch vụ sử dụng hình thức xác thực sinh trắc học cho xác minh danh tính điện tử (eKYC) ngày càng nở rộ, những dữ liệu sinh trắc của người dùng như đặc điểm khuôn mặt, mống mắt, vân tay... cũng ngày càng trở nên quan trọng, trở thành một bước bên cạnh mật khẩu, token để thực hiện các giao dịch.
Không giống như mật khẩu hay thiết bị token có thể đổi nếu bị mất, những đặc điểm cơ thể không thay đổi, do vậy nếu để mất sẽ rất nguy hiểm.
"Khuôn mặt chúng ta thì không thể đổi được. Bây giờ không thể nói 'tôi đưa khuôn mặt cho một người trên mạng có làm sao đâu'. Việc lộ khuôn mặt cá nhân đang diễn ra ở rất nhiều kênh", ông Trần Anh Dũng, Phó phòng Công nghệ Thông tin từ Tổng công ty Dịch vụ Số Viettel (VDS) nhận xét trong buổi chia sẻ về công nghệ eKYC.
Trong buổi chia sẻ, các chuyên gia về dịch vụ, bảo mật đến từ Viettel đều nhận định eKYC đang ngày càng phổ biến, và ngành, dịch vụ nào cần xác định chính danh, chính chủ thì sẽ cần đến eKYC. Tuy vậy, rủi ro về an toàn thông tin là luôn tồn tại.
Ông Lê Đăng Ngọc, Phó Giám đốc Khối Nền tảng Trí tuệ nhân tạo, Trung tâm Dịch vụ dữ liệu và Trí tuệ nhân tạo Viettel (Viettel AI) nhận định một trong các rủi ro là các tổ chức, cá nhân không liên tục cập nhật công nghệ mới, hoặc tìm đến đối tác không chuyên, không đủ khả năng và kinh nghiệm về bảo mật. Việc này khiến khách hàng bị ảnh hưởng trong quá trình xác thực bởi công nghệ cũ, hay xảy ra lỗi hoặc kẻ gian có thể dễ dàng tìm lỗ hổng vượt qua.
Ông Nguyễn Đăng Khoa, Trưởng phòng Sản phẩm ứng dụng trí tuệ nhân tạo của Công ty An ninh mạng Viettel nhận xét ngân hàng là lĩnh vực mà các doanh nghiệp đạt mức độ trưởng thành về công nghệ thông tin và an toàn thông tin cao nhất. Tuy nhiên, do số lượng lên tới hàng chục triệu khách hàng, chuyện ứng dụng bị lỗi, hệ thống gặp sự cố là điều hoàn toàn có thể xảy ra.
"Mức độ trưởng thành cao về công nghệ thông tin và an toàn thông tin không đồng nghĩa với các rủi ro về bảo mật và gian lận không xảy ra", ông Khoa nhận định.
Một ví dụ về rủi ro khi sử dụng eKYC diễn ra ở những ngày đầu triển khai Nghị định 2345. Khi đó, một số người dùng đã thử nghiệm và thấy ứng dụng ngân hàng vẫn nhận xác thực, dù người dùng giơ ảnh chụp ra phía trước camera của điện thoại.
Theo đại diện của Viettel AI, trường hợp này có thể xảy ra nếu công nghệ xác thực được thiết lập để nhận biết ảnh trên màn hình tĩnh hoặc tần số quét thấp, nhưng trong thực tế điện thoại có màn hình tần số quét 120 Hz là đủ để vượt qua bước kiểm tra.
Sau khi xây dựng hệ thống học sâu để nhận diện với hàng triệu dữ liệu khuôn mặt, Viettel AI thử nghiệm lại với nhiều hình thức lừa đảo như dùng ảnh tĩnh, ảnh quét 3D hay mặt nạ silicon. Ảnh: VN. |
Một rủi ro khác là tình trạng mua bán dữ liệu cá nhân đang diễn ra rất phổ biến. Theo Báo cáo tình hình nguy cơ mất ATTT tại Việt Nam 6 tháng đầu năm 2024 của Công ty An ninh mạng Viettel, có tới hơn 61 triệu tài khoản và thông tin cá nhân bị đánh cắp và lộ lọt, gấp 1,5 lần so với năm 2023.
Đại diện Viettel AI cho biết nền tảng eKYC của công ty này đã được thử nghiệm qua nhiều bài đánh giá uy tín, đạt thứ hạng cao ở bài đánh giá của Viện Tiêu chuẩn và Công nghệ Mỹ (NIST). Với nền tảng của mình, Viettel AI tự tin các hình thức giả mạo như dùng ảnh tĩnh, ảnh quét 3D, hay thậm chí cả mặt nạ silicon cũng không thể vượt qua nền tảng định danh.
Theo Phó Giám đốc Viettel AI, để tăng cường bảo mật trong xác thực, có ngân hàng có thể thuê đội ngũ chuyên gia tư vấn trong ngắn hạn. Nhưng về dài hạn, các ngân hàng nên sử dụng dịch vụ eKYC của các đơn vị uy tín, chuyên nghiệp.
Với người dùng, ông Ngọc cho rằng, bên cạnh xác thực sinh trắc học, vẫn cần sử dụng các biện pháp bảo mật đa yếu tố khi sử dụng dịch vụ ngân hàng.