Quản trị rủi ro mạo danh bảo hiểm xã hội

3 giờ trướcBài gốc

Thủ đoạn, kịch bản lừa đảo và hệ quả quản trị

Những vụ mạo danh cán bộ BHXH tận dụng niềm tin của người dân vào cơ quan nhà nước để yêu cầu cung cấp thông tin nhạy cảm hoặc thực hiện thao tác kỹ thuật như quét mã QR, nhập OTP, hoặc truy cập đường link lạ.

Về cơ bản, kịch bản tội phạm dựa trên ba trụ cột: (1) thông điệp thuyết phục - viện dẫn quyền lợi an sinh, “tích hợp dữ liệu” hoặc “cập nhật VssID - Ứng dụng di động của BHXH Việt Nam”; (2) tương tác trực tiếp - cuộc gọi, SMS hoặc ứng dụng nhắn tin; và (3) thao tác kỹ thuật đơn giản nhưng nguy hiểm - quét mã QR, nhập mã OTP, đăng nhập tài khoản.

Những yếu tố này tạo ra một môi trường dễ lợi dụng cho social engineering (kịch bản xã hội hóa).

Với doanh nghiệp, hậu quả không chỉ dừng ở tổn thất tài chính của cá nhân nhân viên.

Khi dữ liệu liên quan BHXH, lương bổng hoặc thông tin cá nhân bị kẻ xấu khai thác, tổ chức phải đối mặt rủi ro pháp lý (vi phạm bảo vệ dữ liệu cá nhân), rủi ro vận hành (gián đoạn xử lý lương, khiếu nại nhân viên), và rủi ro uy tín (niềm tin nội bộ, trách nhiệm trước nhà quản lý, cổ đông và đối tác).

Hơn nữa, các sự cố này làm lộ khoảng trống trong quản trị dữ liệu và quản lý truy cập nội bộ - từ đó đặt ra câu hỏi về năng lực kiểm soát nội bộ và trách nhiệm của bộ phận quản trị nhân sự, tài chính và công nghệ.

Do đó, từ góc độ kiểm soát nội bộ, ban lãnh đạo doanh nghiệp cần đảm bảo có cơ chế rà soát, giám sát và việc truy cập dữ liệu lương/BHXH, cũng như cơ chế báo cáo và xử lý sự cố rõ ràng để giảm thời gian phát hiện và ứng phó.

Hướng dẫn thực tiễn cho bộ phận nhân sự và lãnh đạo

Quản trị rủi ro hiệu quả bắt đầu từ việc đưa sự việc vào khung quản lý rủi ro doanh nghiệp: xác định rủi ro, đánh giá tác động, thiết kế kiểm soát, triển khai, giám sát và cải tiến.

Đầu tiên, mọi thông tin về vụ việc phải được xác minh với nguồn chính thức (BHXH địa phương, tổng đài BHXH, ngân hàng liên quan) trước khi phát thông báo nội bộ nhằm tránh hoang mang và lan truyền thông tin chưa kiểm chứng.

Tiếp theo, cần siết chặt chính sách lưu trữ (chỉ giữ dữ liệu cần thiết, mã hóa thông tin nhạy cảm, giới hạn quyền truy cập theo vai trò), chuẩn hóa quy trình yêu cầu thông tin (không nhận yêu cầu thay đổi thông tin cá nhân qua điện thoại), và ký hợp đồng bảo mật với nhà cung cấp dịch vụ nhân sự, kế toán, và nhà thầu công nghệ.

Về quản trị dữ liệu, doanh nghiệp phải rà soát việc lưu trữ thông tin nhân viên - hạn chế giữ các trường dữ liệu nhạy cảm như số tài khoản ngân hàng, mã BHXH, số CCCD trên file không an toàn; áp dụng mã hóa, phân quyền chặt chẽ và chính sách “lưu trữ tối thiểu” theo nhu cầu nghiệp vụ.

Về đào tạo, tổ chức các buổi nâng cao nhận thức theo kịch bản thực hành: nhân viên cần được tập huấn cách xử lý cuộc gọi lạ, bảo quản OTP, không quét mã QR do nguồn không xác định; nhân sự nên ưu tiên nhóm rủi ro cao cho các buổi tập huấn này.

Khi có sự cố, quy trình ứng phó phải rõ ràng và hỗ trợ tức thời: hướng dẫn nạn nhân khóa thẻ tại ngân hàng, lưu giữ bằng chứng (tin nhắn, số điện thoại, ảnh màn hình), phối hợp hỗ trợ làm đơn tố giác với công an và cung cấp hồ sơ cần thiết.

Đồng thời, phòng nhân sự phối hợp với tài chính rà soát bất kỳ sự liên quan của dữ liệu nội bộ và báo cáo lãnh đạo để đưa ra biện pháp khắc phục.

Cuối cùng, doanh nghiệp nên thiết lập kênh liên hệ khẩn cấp với ngân hàng đối tác và BHXH địa phương để rút ngắn thời gian phản ứng khi cần can thiệp.

Quản trị rủi ro mạo danh BHXH đòi hỏi doanh nghiệp chuyển từ phản ứng đơn thuần sang quản lý chủ động: xác minh thông tin trước khi truyền thông, siết chặt chính sách lưu trữ và phân quyền, đào tạo có kịch bản cho nhóm dễ tổn thương, và chuẩn bị kịch bản ứng phó liên phòng.

Khi có nhu cầu điều chỉnh thông tin cá nhân, người tham gia, thụ hưởng chính sách BHXH, bảo hiểm y tế trực tiếp liên hệ cơ quan BHXH; gọi tổng đài 1900.9068 để được hỗ trợ.

Hoặc thực hiện trên Cổng dịch vụ công quốc gia, Cổng dịch vụ công BHXH Việt Nam, ứng dụng VssID. Các giao dịch, tương tác của người dân với cơ quan BHXH qua các kênh chính thức nêu trên đều không mất phí.

BHXH Việt Nam cũng khuyến khích người dân thường xuyên cập nhật thông tin về chính sách BHXH, bảo hiểm y tế qua các kênh chính thống của cơ quan BHXH; cảnh báo của cơ quan chức năng về phương thức, thủ đoạn lừa đảo trên các phương tiện thông tin đại chúng hiện nay.

Khi phát hiện hành vi có dấu hiệu giả mạo, người dân cần thông báo ngay cho cơ quan công an hoặc cơ quan BHXH gần nhất để được xử lý kịp thời.

Vân Anh

Nguồn Nhà Quản Trị : https://theleader.vn/quan-tri-rui-ro-mao-danh-bao-hiem-xa-hoi-d42152.html