Trách nhiệm của doanh nghiệp trong bảo vệ thông tin khách hàng: Thách thức và biện pháp

Hình minh họa.

Hàng triệu khách hàng đã bị lộ thông tin. Bộ Công an đã chỉ ra một loạt các doanh nghiệp trong lĩnh vực công nghệ đã để lộ thông tin cá nhân của khách hàng hoặc các công ty môi giới dịch vụ taxi đã sử dụng thông tin hành khách để gửi tin nhắn SMS quảng cáo. Bộ Công an cũng lưu ý rằng tình trạng lộ thông tin và mua bán dữ liệu cá nhân ngày nay diễn ra phổ biến, công khai và ngày càng phức tạp. Nhiều thông tin đã được rao bán công khai trong thời gian dài trên không gian mạng, và việc mua bán không chỉ diễn ra giữa các cá nhân mà còn có sự tham gia của các công ty, tổ chức và doanh nghiệp.

Vào năm 2018, thông tin về việc Thegioididong.com bị rò rỉ và tin tặc có được thông tin quan trọng như địa chỉ email, lịch sử giao dịch và thậm chí là số thẻ đã được đưa ra, khiến hàng triệu khách hàng lo lắng. Thế Giới Di Động sau đó đã phát đi thông cáo báo chí khẳng định thông tin là giả mạo và hệ thống vẫn an toàn, hoạt động bình thường. Mặc dù vậy, vấn đề này sau đó đã im lặng.

Trong tháng 4 năm 2018, VNG ghi nhận có 160 triệu tài khoản Zing ID nguy cơ bị rò rỉ và ảnh hưởng tới một bộ phận khách hàng của công ty. Mặc dù công ty này đã thực hiện biện pháp xử lý và ngăn chặn xâm nhập, nhưng vẫn thừa nhận một số lượng người dùng bị lộ thông tin.

Theo ông Võ Đỗ Thắng, Trung tâm An ninh mạng Athena, để làm rõ các vụ việc như vậy, cần phải có cuộc điều tra để xác định liệu hệ thống của doanh nghiệp bị tấn công hay là thông tin bị lấy cắp bởi nhân viên công ty. Tuy nhiên, việc dữ liệu bị rò rỉ có nghĩa là hệ thống của doanh nghiệp có lỗ hổng, có thể là về mặt kỹ thuật hoặc con người. Vì vậy, việc bảo vệ an ninh mạng và dữ liệu cá nhân của khách hàng cần được giám sát và thực hiện liên tục, không ngừng nghỉ.

Việc phạt hành chính trong bảo vệ dữ liệu cá nhân: Sự chênh lệch giữa Việt Nam và Thế giới

Trong thời gian gần đây, hàng loạt vụ việc lộ thông tin khách hàng đã xảy ra, nhưng hầu như không có đơn vị nào bị xử phạt, chế tài. Trong khi đó, các quốc gia trên thế giới thường áp đặt những mức phạt rất nặng đối với hành vi này. Ví dụ, vào tháng 7 năm 2019, Ủy ban Thương mại Liên bang Mỹ đã quyết định phạt Facebook 5 tỉ USD sau khi dữ liệu cá nhân của 87 triệu người dùng mạng xã hội này bị Công ty Cambridge Analytica truy cập và sử dụng trái phép. Đây là khoản phạt lớn nhất thế giới từ trước tới nay đối với một vụ bê bối làm rò rỉ dữ liệu người dùng.

Tại Việt Nam, đã có nhiều quy định liên quan đến việc xử phạt về lộ thông tin. Hiện nay, Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (đang chờ ý kiến và chờ Chính phủ ban hành) đã đề xuất mức phạt tối đa lên đến 5% tổng doanh thu năm tài chính trước đó tại Việt Nam đối với các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân từ lần thứ hai trở đi. Đồng thời, có thể áp dụng phạt bổ sung là tước giấy phép kinh doanh ngành nghề cần thu thập dữ liệu cá nhân trong khoảng 1 đến 3 tháng.

Ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật Công ty Công nghệ an ninh mạng Việt Nam, cho rằng việc đề xuất mức phạt lên đến 5% tổng doanh thu là phù hợp với Việt Nam và sẽ đẩy các doanh nghiệp có trách nhiệm hơn trong việc bảo vệ dữ liệu của khách hàng. Tuy nhiên, ông Sơn cũng nhấn mạnh rằng mức phạt này vẫn không cao so với tiêu chuẩn thế giới, nơi mức phạt thường được đánh giá dựa trên quy mô tác động của từng vụ vi phạm.

Đồng tình với ông Sơn, ông Võ Đỗ Thắng, chuyên gia An ninh mạng, nhấn mạnh rằng việc có thêm quy định chi tiết về mức phạt sẽ buộc các doanh nghiệp phải xem xét lại hệ thống an ninh mạng của mình. Quy trình đánh giá và giám sát thường xuyên về cả kỹ thuật và nhân sự là cần thiết để đảm bảo bí mật thông tin của khách hàng. Ông cũng gợi ý rằng cơ quan quản lý cần tăng cường kiểm tra, giám sát và xử phạt nghiêm các doanh nghiệp vi phạm, với các biện pháp từ công khai trên phương tiện thông tin đại chúng cho đến áp dụng các mức phạt hành chính tương ứng và thậm chí tạm ngưng dịch vụ để đảm bảo an toàn thông tin của người dùng.

Ứng dụng Zing nằm trong Top các nền tảng rò rỉ dữ liệu nhiều nhất thế giới

Vụ rò rỉ dữ liệu kỷ lục mới đây đã gây chấn động thế giới, được các chuyên gia an ninh mạng đặt tên là ‘Mẹ của mọi vụ vi phạm dữ liệu’ (MOAB), có liên quan tới 12 TB dữ liệu và 26 tỷ hồ sơ người dùng. Trong đó, dữ liệu người dùng Việt Nam thuộc ứng dụng Zing được liệt kê trong vụ rò rỉ dữ liệu kỷ lục mới được phát hiện, đặt ra bài toán về việc giải quyết các nguy cơ an ninh mạng.

Người dùng Việt Nam cần làm gì để bảo vệ mình trước tác động của vụ rò rỉ dữ liệu này?

Với quy mô của vụ rò rỉ, tất cả người dùng Việt Nam trên nền tảng trực tuyến, đặc biệt là Zing, cần nhanh chóng thay đổi mật khẩu đăng nhập tài khoản. Việc lựa chọn các mật khẩu mạnh là một trong những cách thức tối ưu để tự bảo vệ mình trước nguy cơ của các cuộc tấn công.

Đồng thời, người dùng nên lựa chọn kích hoạt phương thức bảo mật xác thực đa yếu tố cho tất cả các ứng dụng có sẵn, giám sát các nỗ lực lừa đảo và không chia sẻ quá mức thông tin cá nhân trực tuyến.

Người dùng cũng có thể chủ động kiểm tra xem tài khoản của mình có bị rò rỉ hay không bằng cách sử dụng các công cụ trực tuyến miễn phí.

Về lâu dài, người dùng Internet được khuyến cáo nên sử dụng trình quản lý mật khẩu bảo mật độc lập để có thể tạo ra mật khẩu dài và ngẫu nhiên cho các tài khoản trực tuyến. Ngoài ra, để chắc chắn hơn, thậm chí có thể cân nhắc sử dụng khóa bảo mật phần cứng.

Quy mô của vụ rò rỉ khiến nhận thức của cá nhân và các biện pháp bảo mật chủ động trở nên quan trọng hơn bao giờ hết trước tình trạng lộ dữ liệu chưa từng có này.

Vụ nghi rò rỉ dữ liệu khách hàng của Thế giới Di động năm 2018

Trước đó, từ ngày 1-11 -2028, trên diễn đàn RaidForums có chia sẻ các tập tin chứa dữ liệu gồm email, thẻ ngân hàng được cho là của Thế giới Di động.

Ông Trần Đăng Khoa, Cục An toàn thông tin cho biết: Các tập tin trên diễn đàn từ nguồn không xác thực nên có thể là thật nhưng cũng có thể là giả, nhất là đây là các dữ liệu cũ. Do đó, đơn vị chức năng đang phối hợp với các bên liên quan để xử lý vụ việc.

Trong khi đó, ngay lập tức đại diện của Thế giới Di động đã phủ nhận thông tin dữ liệu khách hàng bị hack. Các chuyên gia an ninh mạng cũng cho rằng hiện chưa có bằng chứng khẳng định thông tin của khách hàng Thế giới Di động bị tấn công.

Các tập tin được đăng tải trên gồm: Tập "Email_Filtered1.txt" có chứa danh sách email được cho là của khách hàng Thế giới Di động. Tệp tin này chứa 5,4 triệu địa chỉ email.

Tập tin thứ hai có tên "TGDD-Internal.txt" chứa danh sách email có đuôi @thegioididong.com được cho là của nhân viên Thế Giới Di Động. File này chứa hơn 61.000 email được cho là của nhân viên công ty này, với định dạng tên người dùng @thegioididong.com.

Tập tin cuối cùng đăng tải ngày 7-11 có tên "report_demo.xlsx" với thông tin thẻ ngân hàng, số tiền giao dịch và các giao dịch từ năm 2016. Tuy nhiên, 6 số trên thẻ đang bị che đi. Hiện chưa có bằng chứng khẳng định đây là thông tin khách hàng của Thế giới Di động.

Nhận định về vụ việc này, chuyên gia của Bkav cho biết: “Hiện tại, với những thông tin này vẫn chưa thể khẳng định được Thế giới Di động có chính xác bị lộ, lọt dữ liệu hay không”. Tuy nhiên chuyên gia Bkav khuyến cáo người dùng nên chủ động kiểm tra xem địa chỉ email và tài khoản của mình có nằm trong các tập tin đã đăng tải trên RaidForums.

Trong khi đó ông Tạ Quang Thái, chuyên gia công nghệ thông tin, CEO Rada cho rằng: Đến nay vẫn chưa xác định nguồn lấy tập tin. Đặt giả thiết trường hợp là có thật thì sẽ khá rủi ro với người dùng bởi địa chỉ email là có thật nên dễ xảy ra tình trạng thư rác hoặc lừa đảo. Do đó người dùng nên đổi mật khẩu hoặc liên hệ với ngân hàng đổi mã xác nhận.