Cùng với sự phổ cập của internet, số người dùng trên thế giới ngày càng tăng, giao dịch trên mạng ngày càng nhiều, đi kèm đó là những rủi ro phát sinh khi hoạt động trên môi trường số, nhất là dữ liệu người dùng. Tuy nhiên, vấn đề bảo mật thông tin khách hàng của các đơn vị sở hữu dữ liệu người dùng vẫn còn nhiều khoảng trống. Trong điều kiện hành lang pháp lý vẫn còn bất cập, cần hơn nữa các giải pháp và cả ý thức bảo vệ thông tin của người dùng.

Vấn nạn thất thoát thông tin người dùng

Cuối tháng 9/2021, 1,5 tỷ thông tin người dùng Facebook đã bị rao bán trên một diễn đàn tin tặc. Theo TTXVN, ngày 19/1/2023, Công ty Viễn thông T-Mobile (Mỹ) cho biết, dữ liệu của 37 triệu khách hàng của họ bị ảnh hưởng do tấn công mạng. Không chỉ các doanh nghiệp công nghệ bị đánh cắp dữ liệu, mà hầu hết các tổ chức và cá nhân đều có khả năng bị theo dõi và trở thành mục tiêu tiếp theo. Trong năm 2022, Cyble Research & Intelligence Labs phát hiện nhóm tin tặc Biden Cash đánh cắp và rao bán hơn 1,2 triệu hồ sơ về thẻ ngân hàng (ngày hết hạn, mã bảo mật, tên chủ thẻ cùng đầy đủ địa chỉ, ngày sinh, email và số điện thoại).

10 quốc gia bị ảnh hưởng nhiều nhất vụ rò rỉ 1,2 triệu thẻ ngân hàng (Nguồn: vnexpress.net)

Tại Việt Nam, tình hình mua, bán dữ liệu cá nhân người dùng internet cũng diễn ra khá phức tạp, dữ liệu bị lộ là khá lớn. Ngày 8/7/2022, 30 triệu hồ sơ người dùng được thu thập từ website giáo dục bị lộ trên mạng. Báo cáo tại Phiên họp thứ 14 của Ủy ban Thường vụ Quốc hội vào ngày 10/8, Bộ trưởng Bộ Công an Tô Lâm cho biết, dữ liệu cá nhân của khoảng hơn 2/3 dân số Việt Nam (hơn 68 triệu người sử dụng internet) đang được lưu trữ, đăng tải, chia sẻ và thu thập trên internet với nhiều hình thức và mức độ chi tiết khác nhau, điển hình như: Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy Xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán của khách hàng; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng,… Tin tặc cũng đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên internet 411.000 tài khoản khách hàng thành viên của Chương trình Bông Sen Vàng.

Dữ liệu người dùng bị rò rỉ thường do tấn công đánh cắp thông tin bất hợp pháp, thông qua các phần mềm độc hại (Malware attack), tấn công giả mạo (Phishing attack), tấn công trung gian (Man-in-the-middle attack), tấn công từ chối dịch vụ (DoS và DDoS), tấn công cơ sở dữ liệu (SQL injection), khai thác lỗ hổng Zero-day (Zero day attack),… Tuy nhiên, theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), tới 80% nguyên nhân lộ lọt thông tin cá nhân là xuất phát từ chính sự bất cẩn của người dùng. Đây là những cơ hội thuận lợi để đối tượng xấu thu thập thông tin, dữ liệu cá nhân nhằm mục đích trục lợi. Sau khi chiếm đoạt dữ liệu cá nhân từ các đơn vị sở hữu, tin tặc bán dữ liệu này cho nhiều người khác để thu lợi bất chính.

Người dùng bị đánh cắp dữ liệu có thể gặp nhiều hệ lụy. Đơn giản nhất là thường xuyên nhận được các cuộc gọi chào dịch vụ bất động sản, bảo hiểm, vay vốn, các cuộc gọi tin nhắn lừa đảo,… Nhiều người còn rơi vào các trường hợp trớ trêu hơn, như bị đòi nợ từ các khoản vay không chính chủ, hoặc bị làm phiền khi bị người lạ sử dụng thông tin cá nhân để vay vốn mà không thực hiện các nghĩa vụ tài chính sau đó,...

Chống lộ thông tin người dùng - Cuộc chiến chưa hồi kết

Hiện tại, ở Việt Nam, khung pháp lý liên quan đến hoạt động mua, bán thông tin cá nhân trái phép còn bất cập, chưa có khung hình phạt phù hợp, rõ ràng, cho dù đã có nhiều tổ chức, cá nhân bị xử lý, tùy theo mức độ nghiêm trọng của vụ việc. Các biện pháp răn đe hữu hiệu đối với việc đánh cắp dữ liệu, người mua dữ liệu bất hợp pháp, các đơn vị để lộ thông tin khách hàng còn đang bỏ ngỏ.

Thông tin cá nhân của nhiều người bị rao bán trên mạng (Nguồn: dangcongsan.vn)

Điều 288 Bộ Luật Hình sự năm 2015 đã quy định về “Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” và Điều 159 Bộ luật Hình sự năm 2015 cũng quy định rõ về “Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư khác của người khác”. Tuy nhiên, theo TS. Chu Thị Hoa (Phó Viện trưởng Viện Khoa học Pháp lý), “từ thực tế diễn biến vi phạm pháp luật trong thời gian gần đây cho thấy cả hai tội danh này chưa có quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân đang diễn ra. Các quy định về chế tài nhằm bảo vệ dữ liệu cá nhân còn “khá nhẹ”, chưa đảm bảo tính răn đe”.

Để tăng cường năng lực đối phó với các thách thức trên không gian mạng, đảm bảo an toàn thông tin người dùng, gần đây, ngày 10/8/2022, Thủ tướng Chính phủ đã ban hành Quyết định số 964/QĐ-TTg về phê duyệt Chiến lược an toàn, an ninh mạng quốc gia, chủ động ứng phó với các thách thức từ không gian mạng đến năm 2025, tầm nhìn 2030.

Tại TP.HCM, Sở Thông tin – Truyền thông đang phối hợp với Hiệp hội An toàn thông tin Việt Nam (VNISA), Chi hội phía Nam để xây dựng Chiến lược An toàn thông tin cho Thành phố, giúp người dân an tâm khi tham gia các hoạt động liên quan đến chuyển đổi số. An toàn thông tin là một trong những vấn đề then chốt để đảm bảo cho nỗ lực chuyển đổi số quốc gia thành công.

Theo số liệu của VNISA phía Nam, tỷ lệ doanh nghiệp đầu tư cho an toàn thông tin năm 2022 đã tăng 16% so với năm 2021 (từ 49% lên 65%), cho thấy sự quan tâm ngày càng cao hơn tới việc bảo vệ nguồn dữ liệu doanh nghiệp, tránh các thiệt hại về tài chính, uy tín khi bị đánh cắp dữ liệu người dùng.

Để hỗ trợ cho các công tác bảo mật và an toàn thông tin, các nhà khoa học tại Thành phố đã có nhiều đóng góp thiết thực. Năm 2020, nhóm của PGS.TS. Hoàng Trang (Trường Đại học Bách Khoa TP.HCM) đã hoàn thành nhiệm vụ cấp Quốc gia “Nghiên cứu thiết kế, chế tạo thử nghiệm thiết bị định tuyến tích hợp đa dịch vụ, có tính năng bảo đảm an toàn, bảo mật thông tin” để triển khai trong các hạ tầng mạng phục vụ phát triển Chính phủ điện tử. Trong năm 2021, nhiều nghiên cứu về an ninh mạng đã được thực hiện, đặc biệt nhằm phòng, chống tấn công mạng và đảm bảo an toàn thông tin tại các ngân hàng. Trong đó, có nghiên cứu “Ứng dụng học máy để phát hiện bất thường trong an ninh mạng” của nhóm tác giả Trịnh Thị Bảo Bảo (Trường Đại học Công nghiệp TP.HCM) thực hiện. Các nhà nghiên cứu đã sử dụng học máy, cho phép hệ thống tự động phân tích và xử lý các cuộc tấn công mạng. Hệ thống phát hiện xâm nhập (intrusion detection system) tìm kiếm sự xâm nhập bất hợp pháp thông tin hoặc thông tin bí mật trao đổi giữa người dùng và máy chủ thông qua các yêu cầu dịch vụ (service request) bất thường và dựa vào việc xác định các “điểm” dữ liệu (points), sự kiện (events), các quan sát khác với hành vi bình thường của tập dữ liệu.

Để thực hiện tốt quá trình chuyển đổi số trong ngân hàng, vấn đề đảm bảo an toàn thông tin rất được quan tâm. Trong “Nghiên cứu về rủi ro an ninh mạng trong hoạt động ngân hàng số: trường hợp Việt Nam” do nhóm TS. Phan Chung Thủy, TS. Phan Thu Hiền và ThS. Huỳnh Ngọc Quang Anh (Đại học Kinh tế TP.HCM) thực hiện, bức tranh toàn cảnh về rủi ro an ninh mạng và xu hướng phát triển ngân hàng số ở Việt Nam đã được cung cấp. Các tác giả cũng phân tích ảnh hưởng của rủi ro an ninh mạng đến hoạt động ngân hàng số, cũng như những tồn tại trong quản trị rủi ro an ninh mạng. Nghiên cứu “Rủi ro và thách thức an ninh mạng trong lĩnh vực ngân hàng tại Việt Nam” của các tác giả Nguyễn Văn Phương, Trần Văn Diễn (Trường Đại học Quốc tế TP.HCM) năm 2021 cũng cho biết, Ngân hàng Trung ương và các ngân hàng thương mại đã chủ động đầu tư mạng lưới bảo mật và quản lý rủi ro để ngăn chặn hiểm họa tin tặc trực tuyến, cũng như các tội phạm công nghệ cao.

Để đảm bảo an toàn khi thao tác trên môi trường mạng, bên cạnh các giải pháp công nghệ đã được các nhà mạng, các đơn vị hữu quan triển khai, về phía người dùng, theo các chuyên gia công nghệ, cần phải quản lý xác thực và mật khẩu tốt; luôn cập nhật phiên bản mới cho các phần mềm; đọc và hiểu về chính sách bảo vệ dữ liệu và quyền riêng tư; sử dụng VPN và thường xuyên kiểm tra cài đặt quyền riêng tư,… Việc tuân thủ tốt các yêu cầu bảo mật sẽ giúp bảo vệ tốt dữ liệu cá nhân, tránh bị khai thác, sử dụng bất hợp pháp.

Theo các chuyên gia, dù có các biện pháp ngăn chặn lộ lọt dữ liệu tốt đến mấy cũng chỉ giúp hạn chế chứ không thể tuyệt đối an toàn 100% (Ảnh minh họa: Internet)

Có thể nói, hầu hết các tổ chức và cá nhân đều đang nằm trong tầm ngắm của tin tặc. Theo Phó Tổng giám đốc VNG Nguyễn Lê Thành, chuyên gia giàu kinh nghiệm trong lĩnh vực an toàn thông tin, chia sẻ: “Chống lộ lọt dữ liệu là việc rất khó bởi việc này đến từ các thiết bị cá nhân của người dùng, kể cả khi tổ chức có đưa ra các quy định chặt chẽ như truy cập dữ liệu và truyền dữ liệu ra bên ngoài từ một số máy tính nhất định. Mặt khác, doanh nghiệp có rất nhiều dữ liệu khác nhau và không thể có một giải pháp nào hoàn hảo. Nhiều trường hợp lộ lọt dữ liệu hoàn toàn không liên quan đến yếu tố kỹ thuật mà là do con người”. Có thể nói, trong bối cảnh cả nước đang tham gia vào các hoạt động chuyển đổi số quốc gia, vấn đề đảm bảo an toàn dữ liệu trên không gian mạng là yêu cầu vô cùng cấp thiết. Với các kỹ thuật ngày càng tinh vi hơn, việc bảo mật thông tin là cuộc chiến chắc chắn còn kéo dài. Vì thế, bên cạnh việc cần nhanh chóng hoàn thiện các khiếm khuyết trong hành lang pháp lý, nâng cao ý thức tự bảo vệ của cộng đồng, việc nhanh chóng phát triển nguồn nhân lực về an toàn, an ninh mạng để chủ động nhận diện, xử lý nhanh chóng các vấn đề còn tồn tại, hạn chế gây ra các rủi ro an ninh mạng, đáp ứng nhu cầu của thực tiễn là rất cần thiết.

Minh Thư

--------------------------------------------------------------------------------

Tài liệu tham khảo chính

[1] Thế Lâm. 80% nguyên nhân gây lộ lọt thông tin, dữ liệu cá nhân do người dùng bất cẩn. https://laodong.vn/kinh-doanh/80-nguyen-nhan-gay-lo-lot-thong-tin-du-lieu-ca-nhan-do-nguoi-dung-bat-can-972892.ldo
[2] Hồng Vinh. Cần tư duy mới trong chiến lược đảm bảo an toàn, an ninh mạng. https://vneconomy.vn/can-tu-duy-moi-trong-chien-luoc-dam-bao-an-toan-an-ninh-mang.htm
[3] Lê Hiệp. Bộ trưởng Công an: 1.300 GB dữ liệu cá nhân người Việt bị mua bán trên mạng. https://thanhnien.vn/bo-truong-cong-an-1-300-gb-du-lieu-ca-nhan-nguoi-viet-bi-mua-ban-tren-mang-1851486332.htm
[4] Thương Huyền. Xử lý nghiêm hành vi làm lọt, lộ thông tin cá nhân. https://dangcongsan.vn/cung-ban-luan/xu-ly-nghiem-hanh-vi-lam-lot-lo-thong-tin-ca-nhan-615327.html#:~:text=%C4%90i%E1%BB%81u%20288%20B%E1%BB%99%20Lu%E1%BA%ADt%20H%C3%ACnh,t%E1%BB%91i%20%C4%91a%201%20t%E1%BB%B7%20%C4%91%E1%BB%93ng.