'Nóng' chuyện quản lý dữ liệu khách hàng

Kỹ sư VNPT vận hành hệ thống trung tâm dữ liệu tại Khu công nghệ cao Hòa Lạc.

Nhiều ngành nghề bị đánh cắp dữ liệu

Theo Hiệp hội An ninh mạng quốc gia, việc mua bán dữ liệu diễn ra tràn lan. Hầu hết dữ liệu bị lộ lọt có đầy đủ thông tin cơ bản của cá nhân, gia đình, thậm chí cả thông tin về hoạt động tiêu dùng của cá nhân. Từ đầu năm 2023 đến nay, các đơn vị của Bộ Công an đã phát hiện nhiều cá nhân, tổ chức bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị xử lý.

Đại diện Trung tâm An ninh mạng VNPT (Công ty Công nghệ thông tin VNPT-IT) cho biết, 6 tháng đầu năm 2024, Việt Nam thuộc nhóm 1 trong 10 nước bị tấn công mã hóa dữ liệu tống tiền (ransomware) nhiều nhất thế giới. Những lĩnh vực, ngành nghề bị tấn công đánh cắp dữ liệu nhiều nhất là y tế, tài chính, tiêu dùng, giáo dục. Một số vụ điển hình như một doanh nghiệp ví điện tử lớn trong nước bị rao bán 58.000 thông tin; một hệ thống y tế bị rao bán 257.000 thông tin; hay một trường đại học bị lộ lọt 15.000 thông tin của sinh viên…

Còn theo đại diện Công ty An ninh mạng Viettel, đối tượng xấu có thể mạo danh eKYC (xác thực từ xa) và rao bán tài khoản mạo danh; sử dụng căn cước công dân thật thu được từ các cửa hàng cầm đồ, sau đó thuê người thực hiện các bước eKYC; hoặc làm giả toàn bộ căn cước, giả phôi và sử dụng danh tính tổng hợp (kết hợp thông tin người thật thu thập được từ rò rỉ dữ liệu và thông tin giả)...

Thực tế cho thấy, việc bảo vệ dữ liệu cá nhân, từ cả người dùng lẫn đơn vị sở hữu thông tin khách hàng còn nhiều lỗ hổng. Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05 (Bộ Công an) đánh giá, cả nước có hơn 1,2 triệu doanh nghiệp phải thực hiện quy định bảo vệ dữ liệu cá nhân. Tuy nhiên, chỉ có hơn 1.000 hồ sơ báo cáo về cơ quan chuyên trách của Bộ Công an. Từ việc xem xét hơn 1.000 hồ sơ này, A05 nhận thấy, doanh nghiệp gặp nhiều khó khăn, vướng mắc trong thực thi các quy định về bảo vệ dữ liệu cá nhân. Việc bảo vệ dữ liệu cá nhân tại Việt Nam đã có nhiều tiến bộ. Tuy nhiên, tình trạng mua bán, chiếm đoạt, sử dụng trái phép dữ liệu cá nhân vẫn tràn lan.

Đại biểu trình bày tham luận “Biện pháp bảo vệ an ninh dữ liệu người dùng” tại hội thảo “An ninh dữ liệu trên không gian mạng”, tháng 7-2024.

Cụ thể hóa giải pháp bảo vệ

Chia sẻ về giải pháp quản lý dữ liệu khách hàng, Phó Tổng Giám đốc Ngân hàng thương mại cổ phần Công thương Việt Nam (VietinBank) Trần Công Quỳnh Lân nhấn mạnh, việc bảo vệ dữ liệu cá nhân là bắt buộc và cần thiết, vừa là để bảo vệ khách hàng, vừa là cách bảo đảm uy tín của ngân hàng.

Tuy nhiên, khó khăn lớn nhất với các tổ chức, doanh nghiệp là chi phí đầu tư, quản lý, giám sát, phân loại dữ liệu, đánh giá tác động việc xử lý dữ liệu. Chẳng hạn, do có nhiều hệ thống thông tin nên ngân hàng cần đầu tư chi phí khá lớn cho việc điều chỉnh các hệ thống; khâu quản lý và giám sát tuân thủ cũng đòi hỏi phải có hệ thống riêng. Trong phân loại dữ liệu, phải xác định được loại dữ liệu khách hàng có quyền sở hữu hoàn toàn, loại dữ liệu phải thu thập theo luật…

Nêu khái quát “dữ liệu là trung tâm của bảo vệ”, Giám đốc khu vực IBM Đông Nam Á về an toàn bảo mật Nguyễn Tuấn Khang cho rằng, các doanh nghiệp, tổ chức cần xác định bảo vệ dữ liệu là để tăng giá trị kinh doanh, xây dựng niềm tin với khách hàng. Doanh nghiệp, tổ chức cần được trợ giúp để xác định vị trí lưu trữ dữ liệu và cách bảo vệ dữ liệu tốt nhất; tập trung giảm thiểu rủi ro, chủ động bảo vệ và ứng phó.

"Phương pháp tiếp cận của IBM trong bảo vệ dữ liệu cá nhân theo các bước: Chủ động, tích hợp cung cấp khả năng hiển thị và kiểm soát tốt hơn đối với các năng lực cốt lõi (thi hành chính sách bảo vệ để ngăn chặn các mối đe dọa từ bên trong); phát hiện các bất thường về hành vi của người dùng; phản hồi để tự động xác định mục tiêu vào kẻ nội gián; cải thiện các chính sách bảo vệ dựa trên thông tin chi tiết", ông Nguyễn Tuấn Khang chia sẻ.

Về giải pháp bảo vệ khách hàng, Công ty An ninh mạng Viettel đã phát triển giải pháp phát hiện gian lận theo thời gian thực (VCS-F2DR), sử dụng từ tháng 1-2023. Đến nay, giải pháp này cảnh báo 257.340 lần về các hoạt động liên quan đến gian lận định danh và mở tài khoản. Ứng dụng Viettel Money đạt tỷ lệ thành công tới 99% khi xác thực hàng chục nghìn giao dịch nhờ công nghệ này.

Còn Giám đốc Trung tâm An ninh mạng VNPT Nguyễn Thế Đạt khuyến nghị, giải pháp cụ thể dành cho khối chính quyền và doanh nghiệp lớn là kiểm tra đánh giá an toàn thông tin, phát hiện và ứng cứu sự cố điểm cuối. Giải pháp bảo vệ dữ liệu khỏi tấn công ransomware là 3 bản sao dữ liệu khác nhau, 2 phương tiện sao lưu khác nhau, 1 nơi lưu trữ khác nơi làm việc, không đổi được bản lưu dự phòng, không xảy ra lỗi khi thực hiện phục hồi.

Liên quan đến vấn đề bảo vệ dữ liệu cá nhân, từ góc độ cơ quan quản lý, Phó Cục trưởng Cục A05, Trưởng ban Kiểm tra - Hiệp hội An ninh mạng quốc gia, Trung tá Triệu Mạnh Tùng cho biết, cơ quan quản lý nhà nước tiếp tục hoàn thiện các quy định, chính sách pháp luật về bảo vệ dữ liệu cá nhân theo hướng phù hợp, khả thi, đồng thời tạo điều kiện thuận lợi cho hoạt động kinh doanh, đầu tư của doanh nghiệp tại Việt Nam.

Việt Nga