Trong kỷ nguyên số, dữ liệu được xem như tài sản quan trọng. Tuy nhiên, việc khai thác, sử dụng dữ liệu một cách hiệu quả và bảo đảm an ninh, an toàn dữ liệu, cũng như quyền riêng tư đang là những thách thức nổi bật hiện nay. Vậy, các tổ chức và doanh nghiệp, những nơi lưu giữ khối lượng lớn dữ liệu khách hàng, phải làm gì để đối phó với vấn đề này?
Nhiều ngành nghề bị đánh cắp dữ liệu
Theo Hiệp hội An ninh mạng Quốc gia, việc mua bán dữ liệu diễn ra rất phổ biến. Phần lớn dữ liệu bị lộ bao gồm đầy đủ thông tin cá nhân cơ bản, thông tin gia đình và cả hoạt động tiêu dùng cá nhân. Từ đầu năm 2023 đến nay, các đơn vị thuộc Bộ Công an đã phát hiện nhiều cá nhân và tổ chức mua bán dữ liệu cá nhân. Nhiều đường dây chiếm đoạt, mua bán dữ liệu với quy mô lớn tại Việt Nam đã bị xử lý.
Đại diện Trung tâm An ninh mạng VNPT (VNPT-IT) cho biết, trong 6 tháng đầu năm 2024, Việt Nam nằm trong top 10 quốc gia bị tấn công mã hóa dữ liệu để tống tiền (ransomware) nhiều nhất trên thế giới. Những lĩnh vực thường bị tấn công và đánh cắp dữ liệu nhất là y tế, tài chính, tiêu dùng và giáo dục. Một số vụ điển hình như một doanh nghiệp ví điện tử lớn bị rao bán 58.000 thông tin; một hệ thống y tế bị rao bán 257.000 thông tin; hay một trường đại học bị lộ 15.000 thông tin sinh viên.
Đại diện Công ty An ninh mạng Viettel cũng cho hay, các đối tượng xấu có thể lợi dụng danh nghĩa eKYC (xác thực từ xa) để rao bán tài khoản mạo danh; dùng căn cước công dân thật từ các cửa hàng cầm đồ, rồi thuê người thực hiện các bước eKYC; hoặc làm giả toàn bộ căn cước, phôi và sử dụng danh tính tổng hợp từ thông tin thu lượm được và thông tin giả.
Thực tế cho thấy, việc bảo vệ dữ liệu cá nhân từ phía người dùng lẫn đơn vị sở hữu thông tin khách hàng vẫn còn nhiều lỗ hổng. Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao – A05 (Bộ Công an) đánh giá, cả nước có hơn 1,2 triệu doanh nghiệp phải tuân thủ quy định bảo vệ dữ liệu cá nhân. Tuy nhiên, chỉ có hơn 1.000 hồ sơ được báo cáo về Bộ Công an.
Qua xem xét các hồ sơ này, A05 phát hiện rằng doanh nghiệp gặp nhiều khó khăn trong việc thực thi quy định về bảo vệ dữ liệu cá nhân. Mặc dù Việt Nam đã đạt được nhiều tiến bộ trong việc bảo vệ dữ liệu cá nhân, tình trạng mua bán, chiếm đoạt và sử dụng trái phép dữ liệu vẫn rất phổ biến.
Cụ thể hóa giải pháp bảo vệ
Chia sẻ về các giải pháp quản lý dữ liệu khách hàng, Phó Tổng Giám đốc VietinBank Trần Công Quỳnh Lân nhấn mạnh rằng bảo vệ dữ liệu cá nhân là điều bắt buộc và cần thiết, không chỉ để bảo vệ khách hàng mà còn nhằm bảo đảm uy tín của ngân hàng. Khó khăn chính đối với các tổ chức, doanh nghiệp là chi phí đầu tư cho việc quản lý, giám sát, phân loại và đánh giá tác động của việc xử lý dữ liệu. Chẳng hạn, với nhiều hệ thống thông tin khác nhau, ngân hàng cần đầu tư lớn để điều chỉnh các hệ thống này; công tác quản lý và giám sát tuân thủ cũng yêu cầu hệ thống riêng biệt. Việc phân loại dữ liệu yêu cầu xác định được loại dữ liệu khách hàng hoàn toàn sở hữu và loại dữ liệu phải thu thập theo quy định pháp luật.
Nêu ý tưởng “dữ liệu là trung tâm của bảo vệ”, Giám đốc khu vực Đông Nam Á của IBM về an toàn bảo mật Nguyễn Tuấn Khang cho rằng, các doanh nghiệp cần xác định bảo vệ dữ liệu là để tăng giá trị kinh doanh và xây dựng niềm tin với khách hàng. Doanh nghiệp cần được hỗ trợ trong việc xác định vị trí lưu trữ dữ liệu và phương thức bảo vệ tốt nhất; tập trung vào giảm thiểu rủi ro và bảo vệ chủ động. Ông Khang chia sẻ, phương pháp tiếp cận của IBM đối với bảo vệ dữ liệu cá nhân bao gồm các bước: chủ động, tích hợp cung cấp khả năng hiển thị và kiểm soát tốt hơn đối với các năng lực cốt lõi; phát hiện bất thường về hành vi người dùng; và phản hồi để tự động xác định kẻ nội gián, đồng thời cải thiện các chính sách bảo vệ dựa trên thông tin chi tiết.
Để bảo vệ khách hàng, Viettel đã phát triển giải pháp phát hiện gian lận theo thời gian thực (VCS-F2DR), sử dụng từ tháng 1-2023. Đến nay, giải pháp này đã cảnh báo 257.340 lần về các hoạt động liên quan đến gian lận định danh và mở tài khoản. Ứng dụng Viettel Money đạt tỷ lệ thành công tới 99% khi xác thực hàng chục nghìn giao dịch nhờ công nghệ này.
Giám đốc Trung tâm An ninh mạng VNPT Nguyễn Thế Đạt khuyến nghị, giải pháp dành cho khối chính quyền và doanh nghiệp lớn là kiểm tra, đánh giá an toàn thông tin, phát hiện và ứng cứu sự cố điểm cuối. Đối với bảo vệ dữ liệu khỏi tấn công ransomware, ông Đạt đề xuất tạo 3 bản sao dữ liệu khác nhau, sử dụng 2 phương tiện sao lưu và lưu trữ 1 bản sao ở nơi khác, đảm bảo không thể chỉnh sửa bản lưu dự phòng và không gặp lỗi khi phục hồi.
Phó Cục trưởng Cục A05, Trưởng ban Kiểm tra – Hiệp hội An ninh mạng quốc gia, Trung tá Triệu Mạnh Tùng cho biết, các cơ quan quản lý nhà nước đang tiếp tục hoàn thiện các quy định và chính sách pháp luật về bảo vệ dữ liệu cá nhân theo hướng phù hợp và khả thi, đồng thời tạo điều kiện thuận lợi cho hoạt động kinh doanh và đầu tư của doanh nghiệp tại Việt Nam.
