Gửi bình luận
Bộ Công an cho biết tình trạng lộ dữ liệu cá nhân diễn ra rất nhức nhối. Một số vụ việc điển hình như Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng, Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email, thẻ Visa, thẻ tín dụng của khách hàng…
Báo động tình trạng lộ dữ liệu cá nhân
Bộ Công an vừa có báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân (DLCN) trong dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ DLCN.
Theo báo cáo, thời gian vừa qua, công tác bảo vệ DLCN của cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập DLCN vẫn còn buông lỏng, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém.
Nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3. Các tổ chức, doanh nghiệp thực hiện các hoạt động thu thập, lưu trữ, xử lý DLCN của người dùng chưa áp dụng giải pháp kỹ thuật đủ mức để chống lộ lọt thông tin.
Nguyên nhân của thực trạng trên là do nhận thức chưa đầy đủ về trách nhiệm bảo vệ DLCN nên từ đó chủ quan, không chú ý một cách đầy đủ các giải pháp bảo vệ DLCN; hệ thống bảo mật của các doanh nghiệp, đặc biệt là các doanh nghiệp vừa và nhỏ, hiện còn rất hạn chế, thậm chí có doanh nghiệp sơ sài, yếu kém; chưa có một quy trình bảo vệ DLCN chuẩn trong doanh nghiệp, do vậy khả năng dò rỉ DLCN xuất phát từ chính con người vận hành hệ thống.
Ngoài ra, từ góc độ quản lý nhà nước chưa có một cơ quan chuyên trách về bảo vệ dữ liệu để đưa ra các yêu cầu tối thiểu đảm bảo an ninh bảo mật cả về công nghệ cũng như quy trình và giám sát việc tuân thủ; mức xử phạt vẫn còn nhẹ, chưa đủ sức răn đe.
Về nhân lực an ninh mạng, Việt Nam thiếu và yếu cả nhân lực vận hành cũng như doanh nghiệp cung cấp giải pháp. Nhân lực đảm bảo an ninh mạng ở các doanh nghiệp vừa và nhỏ đa số là kiêm nhiệm, kiến thức và kỹ năng an ninh, an ninh không gian mạng không được cập nhật, trong khi thủ đoạn tấn công mạng ngày càng tinh vi phức tạp.
Loạt doanh nghiệp lớn để lộ thông tin khách hàng
Theo Bộ Công an, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Một số vụ việc điển hình như: Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng...
Hoặc trường hợp tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng...
Ngoài ra, theo Bộ Công an, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai; nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.
Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.
Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.
Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.
Ví dụ như thông tin về các cá nhân, tổ chức trên toàn quốc đã sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh tại các trường trên cả nước; thông tin khách hàng của các ngân hàng BIDV, Techcombank, VPBank, AgriBank...; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành spa, nha khoa, thời trang, thẩm mỹ viện.
Thậm chí, một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị…
Chỉ trong 2 năm từ năm 2019 đến 2020, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300GB, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
