Dữ liệu sinh trắc học nếu bị rò rỉ: Ai sẽ là người bảo vệ khách hàng?

Nếu thua là không còn "vũ khí" nào khác

Giáo sư Phan Dương Hiệu - Viện Bách khoa Paris - chia sẻ, trong kho sinh trắc sẽ có nhiều mức độ, mỗi lần phải sử dụng một mức độ cao hơn là một bước đi “không thể đảo ngược”. Nếu cứ leo thang mức độ dần dần, rồi đến lúc phải sử dụng cả dữ liệu gene, đó sẽ là bước tận cùng, để rồi nếu thua là không còn "vũ khí" nào khác.

Cuộc chiến chống lừa đảo, giả mạo sẽ ngày càng cam go trong tương lai. Mỗi khi kẻ tấn công vượt qua một mức bảo vệ, chúng ta lại buộc phải sử dụng một vũ khí mới để ngăn chặn. Và lần này chúng ta phải vào lấy thêm trong kho “sinh trắc học”.

Bản chất cuộc chiến chống lừa đảo, giả mạo là phải làm sao khi rút một "bảo kiếm" ra, kẻ tấn công phải không vô hiệu được. Hiệu quả tức thì chắc chắn sẽ có tác dụng, nhưng để duy trì được tác dụng lâu dài rất cần một chiến lược cẩn trọng.

Giáo sư Phan Dương Hiệu đề nghị, cần nhìn lại quá khứ. Theo Giáo sư, thực tế chúng ta chưa có giải pháp ứng phó hiệu quả trước kẻ tấn công lừa đảo, giả mạo. Vì sao? Vì chúng ta quá dễ dãi, không coi quyền riêng tư là quan trọng, chúng ta không có cơ chế quy trách nhiệm cho việc để lộ dữ liệu riêng tư. Hệ quả là kho dữ liệu của người dùng bị lộ, thông tin người dùng bị lộ, việc kiểm soát dữ liệu người dùng hời hợt.

Từ đó, kẻ tấn công dễ dàng truy cập thông tin, kiểm soát dữ liệu người dùng, dễ dàng giả mạo và lừa đảo trên quy mô lớn. Không có tầm nhìn về bảo vệ nên kẻ tấn công dễ dàng lập những tài khoản ảo, dễ dàng lừa đảo chuyển khoản lấy tiền người dùng để chuyển qua lại một rừng ảo để xóa dấu vết, dễ dàng rửa tiền trên quy mô cực lớn. Và rồi khi sự lừa đảo quá lớn vượt mọi khả năng kiểm soát, chúng ta hoảng loạn và buộc phải lao vào kho “sinh trắc”, lấy thêm một vũ khí ra để tự vệ.

Giờ đây, chúng ta phải sử dụng hình ảnh thực, tức thời để xác nhận giao dịch. Tất nhiên sẽ phải có kho dữ liệu cực lớn để lưu các hình ảnh, dữ liệu sinh trắc nhằm đối sánh, xác thực. Hình ảnh thực sẽ được truyền qua các kênh thông tin.

Giáo sư Phan Dương Hiệu cũng đặt câu hỏi: Điều gì sẽ xảy ra khi những kho dữ liệu này bị tấn công, đường truyền hay các thiết bị đầu cuối bị truy nhập? Kẻ xấu sẽ lại có toàn bộ dữ liệu người dùng. Và với những công cụ AI ngày càng mạnh, điều gì sẽ đảm bảo kẻ xấu không thể vượt qua bức tường xác thực mới?

Do đó, trong lúc còn chưa thể bảo vệ kho dữ liệu cũ, thì điều gì đảm bảo sẽ bảo vệ tốt những kho dữ liệu đồ sộ mới, đã, đang và sẽ được thu thập? Nguy hiểm hơn, nếu kẻ xấu truy nhập vào kho dữ liệu hình ảnh, sinh trắc, chúng có thể giả mạo ta không chỉ để xác thực ngân hàng mà còn cho nhiều mục đích khác không liên quan đến ngân hàng. Chúng có thể tạo ra một thế giới giả về con người ta mà bản thân không thể kiểm soát và không thể chứng minh là mình bị giả mạo.

Khi điện thoại của bạn liên tục bị làm phiền bởi hàng loạt cuộc gọi hay tin rác mời gọi đầu tư, chào hàng dự án.., đó là chỉ dấu cho thấy kho dữ liệu về tài khoản hay sở hữu của bạn đã bị lộ và người ta ngang nhiên công khai sử dụng nó, quay lại mời chào chính bạn. Vậy nếu dữ liệu hình ảnh, sinh trắc của bạn bị lộ, thì nguy cơ giả mạo còn có độ chính xác cao hơn nhiều. Bạn sẽ không còn có khả năng chủ động kiểm soát cuộc sống của chính mình.

Điều tiên quyết là bạn cần có ý thức đòi hỏi sự bảo vệ cho chính mình. Người ta nói với bạn rằng họ phải thu thập dữ liệu sinh trắc của bạn để bảo vệ bạn tốt hơn. Bạn chí ít cần đòi hỏi: Vậy phải bảo vệ dữ liệu sinh trắc cá nhân như nào để không bị rơi vào tay kẻ xấu?

Người dân đang cài đặt xác thực sinh trắc học theo hướng dẫn trực tiếp của nhân viên ngân hàng Vietcombank (Ảnh: Trần Tuấn)

Khi người dân lên tiếng, ngân hàng buộc phải có sự giải thích với các bước đi rõ ràng, cẩn trọng. Khi ngân hàng, nhà nước đi một bước đi không thể đảo ngược, hãy cần có trách nhiệm và luật để bảo vệ người dân. Người dân đã để bị mất dữ liệu, bị lừa đảo quá nhiều do sự yếu kém của hệ thống bảo mật, mà hầu hết mọi sai lầm đều bị quy là do “thiếu cẩn trọng”, do kẻ xấu tinh vi… Bản chất là do các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân quá yếu kém, do các chính sách quy kết trách nhiệm để lộ dữ liệu quá hời hợt. Do đó mà kẻ xấu mới dễ dàng vượt qua các bước bảo vệ và từng bước vô hiệu hóa được sự kiểm soát của hệ thống.

Cần có hành lang pháp lý đồng bộ

Theo Giáo sư Phan Dương Hiệu, để bảo vệ thực sự tốt, trước khi thu thập dữ liệu của cá nhân, nhà nước và ngân hàng cần cam kết và làm rõ: Nếu như dữ liệu sinh trắc bị lộ, trách nhiệm của nhà nước, của ngân hàng thế nào? Ai, đơn vị cụ thể nào sẽ phải chịu trách nhiệm, chế tài xử phạt ra sao?

Hệ thống có phương thức an toàn ra sao để từng mắt xích không thể lấy dữ liệu bảo mật? Hệ thống kỹ thuật cần phải đảm bảo rằng dù nhân viên (kể cả lãnh đạo) ngân hàng có bị thao túng thì vẫn không thể lấy và bán được dữ liệu cá nhân.

Việc bảo mật dữ liệu là chuyện rất lớn và không dễ, những người làm công nghệ thông tin dù rất giỏi cũng không thể lường được mọi lỗ hổng. Với một hạn định áp dụng xác thực khuôn mặt khi chuyển khoản vào ngày 1/7, nếu các ngân hàng chưa chuẩn bị kịp dẫn tới buộc phải sử dụng các hệ thống yếu kém, chưa được kiểm nghiệm đầy đủ, và kẻ xấu có thể dễ dàng thâm nhập thì hậu quả sẽ rất khôn lường. Chúng ta cần hết sức cẩn trọng và thử nghiệm sử dụng từng bước hạn chế để chỉ khi đạt an toàn tối đa mới áp dụng rộng rãi các phương thức mới.

Chúng ta cũng cần học hỏi thế giới, về bảo mật dữ liệu có thể nhìn ngay kinh nghiệm của Trung Quốc. Sau một thời gian thu thập dữ liệu tràn lan, họ đã hiểu sự nghiêm trọng khi để lộ dữ liệu cá nhân và đã có những điều luật rõ ràng để xử lý cực kỳ nghiêm khắc tất cả những đơn vị nào để lộ dữ liệu. Dữ liệu càng quan trọng, trách nhiệm càng cao. Khi trách nhiệm được đẩy lên mức rất cao thì không thể còn ai có thể coi thường. Tất cả các đơn vị sở hữu dữ liệu cá nhân sẽ phải nghiêm túc triển khai các phương án kỹ thuật bảo vệ ở mức cao nhất. Từ nhu cầu đó, các công ty chuyên gia về thẩm định an toàn và triển khai các biện pháp bảo mật được phát triển rất mạnh, nhiều công ty “kỳ lân” được mở ra, thúc đẩy một nền kinh tế bảo mật số năng động, chất lượng ở mức rất cao theo những tiêu chuẩn bảo mật được nhà nước xem xét cẩn trọng.

Một hệ thống vận hành tốt là một hệ thống bảo vệ tối đa dữ liệu cá nhân cho người dân, đồng thời chỉ cần thu thập tối thiểu dữ liệu cá nhân của người dân. Ở đó, con người vừa được an toàn, vừa có tự do.

GS Phan Dương Hiệu -Viện Bách khoa Paris (Pháp)

GS Phan Dương Hiệu cho hay, hiện nay, ở châu Âu đã có những quy định, quy chuẩn về việc bảo mật cá nhân, và cùng với đó, có những cơ quan độc lập để kiểm soát. Tuy nhiên, ở Việt Nam hiện vẫn còn khá tự do trong việc khai thác thông tin cá nhân. Đặc biệt, hiện chưa có những cơ quan độc lập để kiểm soát việc này.

“Những thông tin về lỗ hổng bảo mật trong ngân hàng, hoặc những lỗ hổng bảo mật trong nhiều cơ quan hiện nay theo tôi là đáng ngại cho người dân. Những thông tin về cá nhân bị khai thác khá bừa bãi. Cần có những thảo luận rộng về vấn đề này, để nâng cao ý thức của từng cá nhân người dân về bảo vệ quyền riêng tư và vai trò của nhà nước, trong việc kiểm soát của các tổ chức độc lập” - Giáo sư Hiệu nói.

Theo GS Phan Dương Hiệu, cần có sự minh bạch. Chẳng hạn, Chính phủ cần phải nói rõ sẽ thu thập những thông tin gì và phương án giải quyết về mặt kỹ thuật cần được mở để cộng đồng đánh giá.

Đơn cử như ứng dụng Bluezone vừa qua phải đưa ra giải pháp kỹ thuật và phần mềm mở để cộng đồng đánh giá được lỗ hổng và các nguyên lý sử dụng trong đó. Vì nó không chỉ liên quan đến những thông tin tĩnh, mà cả thông tin động theo thời gian thực, rất nguy hiểm. Khi đưa ra cho cộng đồng đánh giá thì nhiều lỗ hổng bảo mật có thể được khắc phục và việc thu thập thông tin cá nhân cũng được gỡ bỏ.

Theo Giáo sư Hiệu, tất cả những phát triển trên diện rộng cần phải có sự cẩn trọng ở mức rất cao. Trong khi chúng ta chưa có những quy định cụ thể thì cần phải nâng cao nhận thức của người dân về việc bảo mật thông tin cá nhân và cả phía Chính phủ cũng không nên tự cho mình quyền quá nhiều trong việc thu thập thông tin cá nhân của người dân.

"Khi người dân nâng cao ý thức thì sẽ có sự đòi hỏi về việc được bảo vệ thông tin cá nhân và đồng thời Chính phủ cũng cần có sự tôn trọng điều đó. Bảo vệ quyền riêng tư của mỗi cá nhân cũng là để đảm bảo sự tự do theo nghĩa rộng”, GS Phan Dương Hiệu cho hay.

Giáo sư Phan Dương Hiệu hiện công tác tại Viện Bách khoa Paris (Institut Polytechnique de Paris) và là trưởng nhóm An ninh mạng - Mật mã tại Trường Viễn thông Paris (Télécom Paris).

Giáo sư Phan Dương Hiệu nhận bằng Tiến sĩ năm 2005 và Tiến sĩ khoa học năm 2014 về Mật mã tại trường Đại học hàng đầu nước Pháp Ecole Normale Supérieure (ENS). Năm 36 tuổi, ông là Giáo sư tại Viện nghiên cứu XLIM, ĐH Limoges, Pháp. Từ năm 2013, GS. Phan Dương Hiệu là thành viên của Ủy ban điều hành hội nghị mật mã Asiacrypt. Các nghiên cứu của GS. Phan Dương Hiệu tập trung vào mật mã, đặc biệt là mã hóa công khai, chữ kí số, mã hóa phát sóng, mã hóa chức năng và hệ thống mật mã phân cấp.

Thu Hường