Hàng loạt thủ đoạn thu thập trái phép dữ liệu cá nhân (bài 2)
Theo đánh giá của Bộ Công an tại Dự thảo báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân, thời gian qua, công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập dữ liệu cá nhân vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ các dữ liệu cá nhân thu thập được, đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém.
Mặc dù cơ quan Công an đã điều tra, xử lý rất nhiều vụ thu thập, mua bán trái phép dữ liệu cá nhân nhưng tình trạng này vẫn diễn ra.
Điểm mặt các thủ đoạn
Theo các chuyên gia thì nguyên nhân lộ lọt thông tin cá nhân có thể xuất phát từ chính sự bất cẩn của người dùng và có thể bị hack thông tin cũng như bị thu thập từ nhiều nguồn khác nhau. Trong đó, cách dễ dàng nhất là thông qua các website. Với thủ đoạn này, các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm mã độc vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin.
Ví dụ như đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (facebook, email, bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ. Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ tưởng.
Một cách khác là thông qua phần mềm miễn phí. Với một số phần mềm được cung cấp miễn phí trên mạng internet, đặc biệt là đối với những phần mềm không rõ nguồn gốc, phần mềm bẻ khóa, các đối tượng sẽ lợi dụng để cài cắm các mã độc đính kèm, khi người dùng tải về máy và tiến hành cài đặt thì vô tình cài đặt mã độc lên chính thiết bị của mình. Và các mã độc này sẽ tiến hành âm thầm thu thập dữ liệu cá nhân người dùng. Chưa dừng lại, việc thu thập dữ liệu của người dân còn được các đối tượng áp dụng thông qua hòm thư điện tử. Các mẫu virus mới thường giả mạo địa chỉ email của cán bộ, đồng nghiệp trong cơ quan để gửi file cho cán bộ khác bằng tiếng Việt với nội dung như liên quan tiền lương, xin ý kiến, chương trình công tác… Kẻ xấu thường tìm hiểu kỹ tên tuổi, chức vụ của người trong cơ quan trước khi tiến hành phát tán mã độc qua email.
Bộ Công an cho biết, một trong những thủ đoạn mới mà các đối tượng "đánh cắp" dữ liệu cá nhân hay dùng gần đây là tấn công qua các thiết bị thông minh. Các đối tượng thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh… Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như: Sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… Từ đó, cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng.
Ngoài ra các đối tượng còn sử dụng nhiều thiết bị nghe lén thông minh để thu thập thông tin. Ngoài những thủ đoạn phổ biến kể trên, việc thực hiện tấn công dữ liệu cá nhân còn bắt nguồn gián tiếp bởi chính người dùng. Nhận thức của một bộ phận người dân về nguy cơ mất an ninh, an ninh mạng còn hạn chế, thói quen giao tiếp trên môi trường mạng thiếu cẩn trọng. Nhu cầu trao đổi thông tin qua USB, thư điện tử ngày càng nhiều nhưng chưa có các biện pháp cụ thể và toàn diện để đảm bảo an ninh, an ninh mạng. Các cơ quan, tổ chức chưa có đủ nhân lực, vật lực để thực hiện công tác đảm bảo an ninh, an ninh mạng; chưa kiểm soát hết khả năng mất an ninh, an ninh mạng do các phần mềm, thiết bị phần cứng nhập ngoại…
Yếu cả nhân lực vận hành và doanh nghiệp cung cấp giải pháp
Cho đến thời điểm này, chúng ta phải thẳng thắn nhìn nhận rằng, công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập dữ liệu cá nhân vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ các dữ liệu cá nhân thu thập được, đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém. Nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3.
Một điều đáng lo ngại nữa là các tổ chức, doanh nghiệp khi để xảy ra sự cố lộ lọt thông tin nhưng không thông báo cho các đơn vị chuyên trách nhằm khắc phục, giảm nhẹ hiệu quả có thể xảy ra và cũng không có biện pháp khắc phục kịp thời hay thông báo cho các cá nhân, tổ chức bị lộ lọt thông tin.
Bên cạnh đó, hiện nay, theo đánh giá của Bộ Công an, chúng ta đang thiếu và yếu cả nhân lực vận hành cũng như doanh nghiệp cung cấp giải pháp. Nhân lực đảm bảo an ninh mạng ở các doanh nghiệp vừa và nhỏ đa số là kiêm nhiệm, kiến thức và kỹ năng an ninh, an ninh không gian mạng không được cập nhật, trong khi thủ đoạn tấn công mạng lại càng tinh vi phức tạp. Hiện nay, số lượng doanh nghiệp hoạt động trong lĩnh vực an ninh, an ninh mạng: có 85 doanh nghiệp (4 tập đoàn nhà nước, 54 công ty cổ phần và 27 công ty TNHH). Trong đó, 72 doanh nghiệp được cấp phép nhập khẩu sản phẩm; 13 doanh nghiệp được cấp phép sản xuất sản phẩm và 56 doanh nghiệp được cấp phép cung cấp dịch vụ (29 doanh nghiệp được cấp phép dịch vụ kiểm tra, đánh giá an ninh mạng); 56 doanh nghiệp có trụ sở tại TP Hà Nội, 28 doanh nghiệp có trụ sở tại TP Hồ Chí Minh và 1 doanh nghiệp có trụ sở tại TP Hải Phòng. Số lượng như vậy còn ít so với yêu cầu, chưa nói đến năng lực đáp ứng của các tổ chức trên.
Như vậy, có thể nói nguy cơ mất an ninh dữ liệu cá nhân từ các tổ chức, doanh nghiệp có hoạt động thu thập dữ liệu cá nhân là rất lớn. Tuy nhiên, nhận thức, giải pháp, quy trình bảo vệ an ninh mạng đã tạo ra khoảng trống lớn. Quản lý nhà nước chưa có tổ chức chuyên trách để đưa ra các khuyến cáo, các yêu cầu và có cơ chế giám sát để đảm bảo an ninh mạng trong các hoạt động thu thập dữ liệu cá nhân.