Dữ liệu cá nhân - Tài sản quý cần được bảo vệ

Đây là những việc đáng bị lên án và cần phải xử phạt nặng nhằm đảm bảo quyền lợi của người tiêu dùng.

Ở châu Âu, quy định chung về bảo vệ dữ liệu 2016/679 của Liên minh châu Âu (EU) được xây dựng từ năm 2016 và có hiệu lực từ ngày 25-5-2018 trên toàn EU và Khu vực Kinh tế châu Âu (EEA) yêu cầu mọi người phải biết, hiểu và đồng ý với dữ liệu được thu thập về họ. Có nghĩa là mọi tổ chức khi thu thập thông tin cá nhân của ai đều phải nói rõ cho người được thu thập các chi tiết và phải được sự đồng ý. Ở các nước phát triển, trách nhiệm bảo vệ thông tin cá nhân rất được coi trọng, các hành vi xâm phạm và lạm dụng thông tin cá nhân bị xử phạt rất nặng.

Dữ liệu cá nhân – miếng bánh ngon của tội phạm công nghệ

Trong thời đại số, việc số hóa dữ liệu đã mang lại những tiện ích không thể phủ nhận trong việc kết nối hạ tầng thông tin nhằm bảo vệ an ninh quốc gia, đảm bảo trật tự xã hội, nâng cao chất lượng các dịch vụ công cũng như mang lại những trải nghiệm tích cực cho người tiêu dùng trong các hoạt động chăm sóc sức khỏe, mua sắm, bán lẻ… Tuy nhiên đi cùng với việc đó, chúng ta cũng phải đối mặt với việc các dữ liệu trong đó có dữ liệu cá nhân có nguy cơ cao bị rò rỉ và đánh cắp.

Ta có thể điểm danh một vài sự cố liên quan tới rò rỉ đánh cắp dữ liệu như khoảng 300.000 dữ liệu cá nhân của chủ tài khoản Facebook là người Việt bao gồm họ tên, địa chỉ và số điện thoại bị rao bán công khai trên diễn đàn Raidforum vào đầu năm 2021. Hay trường hợp năm 2019, cũng là mạng xã hội Facebook với dữ liệu cá nhân của hơn 267 triệu người dùng, chủ yếu là người Mỹ cũng bị đánh cắp và chia sẻ online trên một diễn đàn tin tặc.

Tại Việt Nam, nhiều người tiêu dùng đã trở thành nạn nhân của hành vi lừa đảo bằng các đường link giả mạo website ngân hàng hoặc những kẻ mạo danh nhân viên ngân hàng gọi điện để chiếm đoạt thông tin truy cập tài khoản hay mật mã xác thực giao dịch OTP để đánh cắp tiền trong tài khoản của người dùng. Thậm chí có một số trường hợp chính nhân viên trong nội bộ của tổ chức đã ăn trộm và bán dữ liệu khách hàng của công ty mình cho các tổ chức khác nhằm thu lợi bất chính.

Bên cạnh đấy chúng ta cũng không thể không nhắc đến trực trạng có nhiều doanh nghiệp vẫn còn lơ là công tác quản lý nguồn dữ liệu cá nhân bao gồm của cả khách hàng lẫn nội bộ nhân viên. Thậm chí tại một số công ty, nhân viên nào cũng có thể truy cập nguồn tài nguyên này để xem và sao chép dữ liệu. Việc không phân chia quyền tiếp cận nguồn thông tin dữ liệu theo từng cấp độ này đã vi phạm rõ ràng vào nguyên tắc bảo mật dữ liệu cơ bản nhất tại các cơ quan tổ chức.

Mặc dù nhiều doanh nghiệp đã trang bị cho mình các giải pháp giúp bảo mật hệ thống dữ liệu thông tin khỏi các cuộc tấn công bên ngoài nhưng dương như họ lại “quên mất” rằng việc tấn công này có thể được thực hiên từ bên trong. Việc này được minh chứng khá rõ bằng hàng loạt các danh sách dữ liệu cá nhân chi tiết và đầy đủ thông tin như họ tên, số điện thoại, email, đia chỉ... ở mọi lĩnh vực được chia sẻ hoặc rao bán công khai trên Internet.

Điều kiện cần và đủ để đảm bảo bảo mật dữ liệu cá nhân một cách an toàn?

Trước những thách thức của việc bảo vệ dữ liệu cá nhân, các đơn vị quản lý, tổ chức doanh nghiệp và chính người tiêu dùng cần phải làm gì để hoạt động này được diễn ra một cách nghiêm túc và hiệu quả?

Đối với các cơ quan quản lý, để hoạt động bảo mật dữ liệu cá nhân được diễn ra theo đúng quy định pháp luật của nhà nước, khái niệm dữ liệu cá nhân cần phải được định nghĩa rõ ràng, cập nhật và mở rộng thườn xuyên theo thực trạng phát triển chung của kinh tế - văn hóa – xã hội… Đặc biệt khi hệ thống Cơ sở dữ liệu Quốc Gia (CSDLQG) về dân cư đã đi vào hoạt động vào cuối tháng 2 năm 2021 tại Việt Nam, yêu cầu bảo vệ DLCN càng trở bên bức thiết.

Đối với các tổ chức doanh nghiệp, theo ý kiến của một số chuyên gia công nghệ, các tổ chức này cần phải có quy định rõ ràng trong việc thu thập thông tin người dùng tránh việc thu thập thông tin người dùng một cách tràn lan và không cần thiết, cũng như trách nhiệm bảo vệ các dữ liệu đó một cách chi tiết rõ ràng.

Đối với người tiêu dùng, cần phải được tuyên truyền giáo dục để nâng cao nhận thức về tầm quan trọng của dữ liệu cá nhân. Đồng thời các cơ quan quản lý, các tổ chức doanh nghiệp cũng cần thường xuyên đưa ra các cảnh báo, khuyến cáo và hướng dẫn để người dùng luôn nâng cao cảnh giác và chủ động trang bị cho mình những kiến thức và biện pháp bảo vệ phù hợp.

Lời khuyên từ chuyên gia bảo mật dữ liệu MK Group:

Các tổ chức và cá nhân cần nhớ rằng, một khi dữ liệu của bạn được số hóa, đồng nghĩa với việc chúng sẽ được lữu giữ trên các thiết bị máy tính, điện thoại, usb, gửi qua qua email, các công cụ lưu trữ, chia sẻ dữ liệu miễn phí hay trả tiền… Đây chính là lúc các dữ liệu cá nhân này của bạn hoàn toàn có thể bị truy cập trái phép, bị đánh cắp bởi các tội phạm công nghệ hoặc của chính người trong tổ chức một cách vô tình hoặc cố ý.

Bên cạnh việc triển khai các giải pháp phòng chống những cuộc tấn công từ bên ngoài, các doanh nghiệp cần chủ động quản lý tài nguyên dữ liệu bằng việc gia tăng thêm các lớp phòng ngự cho chính dữ liệu trong trường hợp phòng tuyến bảo vệ của tổ chức bị phá vỡ.

Một trong những cách hiệu quả hiện nay được nhiều chính phủ và các doanh nghiệp trên thế giới áp dụng chính là giải pháp quản lý dữ liệu bằng mã hóa, tiêu biểu là Giải pháp mã hóa dữ liệu cấp cao Prim’X do MK Group cung cấp. Đây được coi là một trong những giải pháp mang tính tổng thể và an toàn cao, phù hợp cho mọi trạng thái dữ liệu trong quá trình lưu trữ (data at rest) hay di chuyển (data on move). Giải pháp Prim’X ứng dụng các thuật toán tiên tiến nhất như AES 256 bits, RSA 2048 bits, tương thích với các PKI chính (X509), Token hoặc Smart card, giúp đảm bảo tính linh hoạt và dễ dàng tích hợp với mọi hạ tầng sẵn có của doanh nghiệp. Giải pháp mã hóa dữ liệu cấp cao Prim’X đạt chứng chỉ EAL3+ Common Criteria, Cơ quan An toàn thông tin Pháp (ANSSI) & Security Visa, NATO Restricted, EU Restricted và đặc biệt đã được Ban Cơ yếu Chính phủ Việt Nam cấp phép kinh doanh Mật mã dân sự tại Việt Nam.

Bộ giải pháp mã hóa dữ liệu cấp cao Prim'X bao gồm: Mã hóa thông tin trên máy trạm bằng Zone Central; Mã hóa nội dung khi copy lên các thiết bị lưu trữ rời để trao đổi với nhau hoặc để đính kèm theo Email bằng ZED; Mã hóa thư điện tử của doanh nghiệp thông qua ZEDMAIL; Mã hóa ổ cứng giúp chống trộm Laptop bằng CRYHOD; Mã hóa thông tin trên MS Sharepoint bằng ZONEPOINT; Mã hóa dữ liệu người dùng và dữ liệu chia sẻ trên Clound bằng ORIZON.

Trong khi đó, người dùng cá nhân cần chú ý tới một số các hình thức lừa đảo chủ yếu hiện nay đang được các tội phạm công nghệ ưa chuộng như: giả mạo website thông qua các link liên kết, giả mạo tin nhắn hay người của tổ chức để đánh cắp mã xác thực thanh toán (mã OTP) hoặc tấn công xen giữa nhằm điều hướng của các hoạt động giao dịch để đánh cắp tiền. Để phòng tránh những hành vi này, một trong những thiết bị xác thực bảo mật vô cùng đơn giản, hiệu quả và hết sức kinh tế được các chuyên gia công nghệ khuyên bạn sử dụng chính là thiết bị khóa bảo mật cho các tài khoản trực tuyến Gmail, Facebook, Google Drive,... FIDO® KeyPass S1 được cấp chứng chỉ FIDO U2F và Khóa bảo mật FIDO® KeyPass S3 được cấp chứng chỉ FIDO2 của Liên minh xác thực FIDO (FIDO Alliance) và Ban cơ yếu chính phủ Việt Nam do MK Group sản xuất.

Không đòi hòi phải cài đặt hoặc thực hiện các thao tác sử dụng phức tạp, người dùng chỉ cần làm theo hướng dẫn của website mình sử dụng, trước mỗi lần truy cập vào link lạ, đặc biệt là những link có liên quan tới các tổ chức tài chính ngân hàng và các tài khoản trực tuyến phổ biến như Gmail, Facebook, Dropbox… cắm thiết bị Khóa bảo mật vào công USB trên thiết bị laptop hoặc cổng kết nối phù hợp với thiết bị smartphone.

Với các thuật toán đặt thù được cài trong Chip bảo mật tích hợp chứa cặp khoá công khai và bí mật sử dụng cho mỗi website cùng với khoá điều khiển để đăng ký thiết bị Token với website. Thiết bị có khả năng chống Phishing và tấn công Man-in-the-Midle nhờ mã nhận diện URL của trang Web khi gửi mã thách thức (Challenge) đảm bảo người dùng chỉ được phép đăng nhập vào đúng URL của website đã đăng ký và cũng chỉ website này có khoá công khai và khoá điều khiển để giải mã được chữ ký số được tạo ra bởi khoá bí mật tương ứng chỉ nằm trong chip.

Có thể nói bảo mật dữ liệu cá nhân không phải là việc của riêng ai mà đó phải là trách nhiệm chung, phải đặt dưới sự chi phối của luật pháp với những quy định và biện pháp chế tài cụ thể như với các tài sản khác của công dân. Bản thân các tổ chức và cá nhân cũng cần không ngừng nâng cao ý thức tự bảo vệ dữ liệu cá nhân này để chúng được khai thác và sử dụng đúng mục đích, hiệu quả, từ đó phát huy được sức mạnh của nguồn tài nguyên quý giá này./.

(MK Group)