Buôn bán dữ liệu cá nhân tràn lan
Đối mặt với tấn công mạng
Công nghệ thông tin ngày càng lan tỏa vào cuộc sống, người dùng càng cung cấp nhiều dữ liệu cá nhân lên không gian mạng. Các doanh nghiệp ngày càng sử dụng nhiều sản phẩm, dịch vụ phân tích dữ liệu khách hàng, dữ liệu cá nhân để tối đa hóa lợi nhuận. Mức độ phổ biến của dữ liệu trên không gian mạng tỷ lệ thuận với hậu quả xảy ra khi không được bảo vệ đúng cách. Nhất là nguy cơ tấn công mạng gia tăng gần đây tại Việt Nam.
Ông Lê Quang Hà, Phó giám đốc phụ trách công nghệ Công ty An ninh mạng Viettel cho biết, trong 6 tháng đầu năm 2024, hệ thống của công ty An ninh mạng Viettel ghi nhận có 46 vụ lộ lọt rao bán dữ liệu, 13 triệu bản ghi bị rao bán, 12,3 GB mã nguồn bị lộ lọt, 10 vụ tấn công mã hõa dữ liệu đòi tiền chuộc và 56 tổ chức có dấu hiệu bị tấn công mã hóa dữ liệu. Bên cạnh đó, đã có 495.000 cuộc tấn công Ddos, 2.364 tên miền lừa đảo, phát hiện 7 nhóm tấn công mạng có chủ đích (ATP), phát hiện 17.648 lỗ hổng an toàn thông tin mới và 2.139 địa chỉ IP kết nối đến các tên miền lừa đảo.
“Với mật độ tấn công mạng như trên có thể khẳng định đã hình thành một nền công nghiệp tống tiền an ninh mạng hoạt động chuyên nghiệp”, ông Lê Quang Hà nhận xét.
Còn theo Thượng tá Lê Xuân Thuỷ, Giám đốc Trung tâm An ninh mạng quốc gia, từ cuối năm 2023 đến nay ghi nhận 6 cuộc tấn công mã hoá dữ liệu vào các doanh nghiệp Việt Nam thuộc lĩnh vực ngân hàng, chứng khoán, năng lượng, bưu chính, viễn thông. Các cuộc tấn công mã hoá dữ liệu gây ảnh hưởng lớn đến hoạt động kinh doanh của doanh nghiệp.
Theo Thượng tá Lê Xuân Thủy, trước các vụ tấn công mạng nghiêm trọng diễn ra trong thời gian gần đây, các cơ quan tổ chức chủ quản thường lúng túng trong việc thông báo đến cơ quan chức năng và tự mời các lực lượng hỗ trợ ứng phó tấn công mạng.
Ông Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – A05 (Bộ Công an), Phó Chủ tịch thường trực Hiệp hội An ninh mạng quốc gia cho biết: Với công tác bảo vệ dữ liệu cá nhân, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Nhiều người dùng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi dữ liệu.
Tình trạng mua bán dữ liệu cá nhân cũng diễn ra phổ biến, công khai, gồm cả dữ liệu thô và dữ liệu đã qua xử lý. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác chuyển giao, bán lại cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.
Buôn bán dữ liệu có hệ thống
Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.
“Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng và vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; phát tán mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng; tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân”, ông Nguyễn Minh Chính thông tin.
Về công tác quản trị dữ liệu, theo ông Nguyễn Minh Chính nhận định: “Một số tổ chức, doanh nghiệp không có hoặc có nhưng chưa đầy đủ hạ tầng để triển khai các hệ thống công nghệ thông tin cốt lõi phục vụ cho các công tác thu thập, quản trị dữ liệu. Nhiều cơ sở dữ liệu được thuthập, lưu trữ trùng lặp, chồng chéo, chưa thống nhất về danh mục dữ liệu dùng chung gây khó khăn khi kết nối, chia sẻ, khai thác dữ liệu”.
Thống kê của A05 cho hay, gần đây Bộ Công an phát hiện hàng trăm cá nhân, tổ chức bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm. Năm 2023, Bộ Công an đã chủ động phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng.
Trước thực tế trên, Bộ Công an đã tham mưu cho Chính phủ, Quốc hội xây dựng Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, quy định những nguyên tắc cơ bản về bảo vệ dữ liệu cá nhân, bước đầu đặt nền móng cho hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân.
Chính phủ cũng đang giao Bộ Công an chủ trì, phối hợp xây dựng Luật Bảo vệ dữ liệu cá nhân, nhằm thể chế hóa quy định của Hiến pháp và pháp luật về quyền bảo vệ bí mật cá nhân, quyền con người, quyền công dân, an ninh mạng; hạn chế và tiến tới khắc phục tình trạng dữ liệu cá nhân đang bị mua bán tràn hiện nay.
Chủ động ứng phó
Để chủ động phòng ngừa tấn công mạng, Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế (Hiệp hội An ninh mạng quốc gia) đề xuất xây dựng nền tảng chia sẻ thông tin an ninh mạng. Theo đó, nền tảng, kết nối, tiếp nhận dữ liệu được chia sẻ từ Bộ Công an, Bộ TT&TT và Ngân hàng Nhà nước cũng như kết nối với các công ty an ninh mạng Việt Nam, các tổ chức an ninh mạng thế giới và cả các chuyên gia an ninh mạng độc lập.
Theo ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế nền tảng sẽ chia sẻ các dấu hiệu tấn công mới nhất được thu thập qua các vụ việc đã điều tra, như thông tin nhận diện mã độc, địa chỉ máy chủ điều khiển, đặc điểm mạng hay bộ nhớ của máy chủ nếu bị tấn công. Thông tin này giúp quản trị nhanh chóng triển khai các quy tắc an ninh mạng để phát hiện, ngăn chặn tấn công trên toàn hệ thống, đồng thời rà soát, làm sạch máy chủ, máy trạm qua đó phát hiện đã bị xâm nhập hay chưa.
“Chia sẻ thông tin là cách tốt nhất giúp các thành viên của Hiệp hội có được bức tranh toàn cảnh, cập nhật các thông tin tình báo an ninh mạng mới nhất. Từ đó giúp các tổ chức nhận diện nguy cơ mới, chủ động tăng cường, đảm bảo an ninh”, ông Vũ Ngọc Sơn nhấn mạnh.
Còn theo Thượng tá Lê Xuân Thuỷ, trong những vụ việc này, vấn đề gặp phải là xáo trộn dấu vết điện tử và không kiểm soát được thông tin. Cơ quan chủ quản thì chưa yêu cầu ký các cam kết bảo mật. Việc huy động lực lượng ứng phó sự cố chưa bảo đảm được tính kịp thời và năng lực ứng phó trong từng tình huống cụ thể. Vì thế, theo Thượng tá Lê Xuân Thủy, cần thống nhất vai trò điều phối với liên minh ứng phó sự vụ an ninh mạng.
Theo Báo Tin Tức/TTXVN
Nguồn: Báo doanhnghiepthuonghieu