Mobile

Sống chung với rò rỉ dữ liệu cá nhân
Thứ Năm,  15/11/2018, 08:30 
Hồ Quốc Tuấn

Sống chung với rò rỉ dữ liệu cá nhân

Hồ Quốc Tuấn

LTS: Tiếp theo vụ nghi vấn rò rỉ thông tin được cho là của khách hàng Thế giới Di động, hôm 10-11 dữ liệu được cho là của chuỗi bán lẻ Con Cưng cũng bị đưa lên diễn đàn RaidForums. Danh sách này có thể chưa kết thúc vì còn những lời dọa sẽ đưa tiếp những tên tuổi lớn khác. Rõ ràng, việc dữ liệu cá nhân bị lộ không còn là chuyện hiếm mà có lẽ chúng ta đang phải “sống chung với lũ... rò rỉ dữ liệu”.

Việc lộ dữ liệu bảo mật (data breach) của khách hàng đang diễn ra phổ biến trên thế giới và trở thành một rủi ro kinh doanh chủ chốt được nhiều công ty tư vấn kinh doanh đề cập. Vào tháng 9 năm nay, giá trị Công ty Facebook mất đi 13 tỉ đô la do giá cổ phiếu giảm sau khi có thông tin 50 triệu người dùng Facebook bị rò rỉ thông tin cá nhân do một vụ tấn công vào máy tính trong mạng của công ty.

Tuy nhiên, máy tính bị tin tặc tấn công chỉ mới là một mặt của việc lộ dữ liệu bảo mật của khách hàng. Mặt khác, đó là công ty có quyền truy cập vào dữ liệu đó đem bán dữ liệu cho công ty khác mà không xin phép khách hàng, hoặc lơi lỏng trong kiểm soát dữ liệu để người khác tận dụng quyền truy cập vào dữ liệu để thu thập chúng và tiến hành những hoạt động kinh doanh kiếm tiền mà không xin phép người dùng, những chủ nhân của dữ liệu cá nhân.

Hồi tháng 4 năm nay, Facebook bị tố làm rò rỉ thông tin cá nhân của hơn 50 triệu người dùng. Chúng được thu thập bởi Aleksandr Kogan và bán cho Cambridge Analytica. Số dữ liệu này sau đó được cho là có tác động đến cuộc bầu cử Tổng thống Mỹ năm 2016. Một tổ chức phi chính phủ ở Pháp, Internet Society of France, đang dọa sẽ tiến hành một vụ kiện buộc Facebook bồi thường 100 triệu euro vì công ty này đã thu thập dữ liệu người dùng Facebook và cả những người không dùng Facebook một cách gián tiếp, bao gồm các thông tin về xu hướng chính trị, tôn giáo, giới tính...

Đã đến lúc Chính phủ phải có những luật rõ ràng về bảo vệ dữ liệu cá nhân (chứ không chỉ là an ninh mạng), về quyền công dân đối với dữ liệu cá nhân, quyền không bị xâm phạm không gian mạng cá nhân lẫn thông tin cá nhân và tuyên truyền những quyền đó cho công dân một cách rõ ràng.

Trong những ngày đầu tháng 11 này, tổ chức Privacy International đã tố cáo các công ty lớn như công ty môi giới dữ liệu Acxiom, công ty phần mềm tên tuổi Oracle, công ty xếp hạng tín nhiệm Experian, Equifax và các công ty quảng cáo Criteo, Quantcast và Tapad vì đã mua bán dữ liệu khách hàng mà không có nền tảng pháp lý nào cho phép điều đó.

Bất kể là dữ liệu khách hàng bị rò rỉ qua tin tặc tấn công, hay công ty cố tình bán dữ liệu khách hàng cho đối tác, hay do lơi lỏng mà để dữ liệu bị đối tác khai thác, thì rủi ro dữ liệu khách hàng bị rò rỉ, bao gồm các thông tin nhạy cảm như thông tin thẻ tín dụng, đã trở thành một mối lo toàn cầu. Xu thế này chắc chắn chỉ có tăng chứ không dừng lại. Khi thông tin trở thành hàng hóa có giá trị, đương nhiên người xấu sẽ nhắm đến trộm cướp thông tin.

Trước đây người ta cướp ngân hàng vì tiền ở đó thì bây giờ người ta tấn công máy chủ Facebook hay máy chủ ngân hàng... vì thông tin khách hàng ở đó. Khi thông tin có thể quy thành tiền, thông qua tống tiền, bán thông tin hay các hành vi tội phạm tài chính khác, thì đây là xu thế hiển nhiên.

Một xu thế khác là doanh nghiệp sẽ ngày càng bị khách hàng nghi ngờ, săm soi, thậm chí là kiện tụng nhiều hơn về việc doanh nghiệp sử dụng thông tin của khách hàng như thế nào. Trong bài viết Lưu ở đâu không quan trọng bằng xin phép người dùng, tác giả Nguyễn Vạn Phú đã đề cập rằng dự thảo Luật An ninh mạng cần xác lập thêm một nguyên tắc mà nay EU và nhiều nước khác đã luật hóa: “Doanh nghiệp phải xin phép người dùng trước khi thu thập dữ liệu người dùng, được sự đồng ý rõ ràng mới tiến hành, đồng thời cần nói rõ dữ liệu thu thập nhằm mục đích gì, có trao cho bên thứ ba để kinh doanh, đổi chác hay không”.

Mặc dù quan điểm luật này của EU được xem là quá chặt và là nguyên nhân nhiều công ty công nghệ không chọn EU để đặt trụ sở, xu thế này đang trở thành chủ đạo và các nước khác nhiều khả năng sẽ đi theo vì người dân ủng hộ cách tiếp cận này.

Những xu thế này đặt mọi loại hình doanh nghiệp đang hoạt động trong nền kinh tế trước những rủi ro rò rỉ dữ liệu đủ kiểu. Một mặt họ phải lo phòng ngừa tin tặc. Mặt khác họ phải lo bị người dùng khiếu kiện, tố cáo vì khai thác dữ liệu người dùng mà không xin phép.

Trào lưu đòi quyền bảo mật dữ liệu này có thể sẽ đi quá xa, chẳng hạn người dân có xu hướng ước tính quá cao giá trị dữ liệu cá nhân của mình, hay đòi hỏi thái quá. Chẳng hạn như những dịch vụ chấm điểm tín dụng mang lại giá trị cho xã hội nhưng cũng bị tố cáo, khiếu kiện. Nhưng trào lưu này sẽ không dừng lại sớm, cũng như tin tặc cũng sẽ không dừng việc tấn công vào miếng bánh dữ liệu người dùng hấp dẫn.

Có một chuyên gia kế toán nói đùa rằng bây giờ mô hình kinh doanh của nhiều công ty nên để dành sẵn một khoản tiền trích lập hàng năm là tiền dự phòng bồi thường và trả án phí khi bị kiện tụng vì làm lộ dữ liệu khách hàng, xem đó là một phần chi phí thường xuyên.

Nói nghiêm túc hơn, doanh nghiệp cần có một hệ thống an ninh dữ liệu và kiểm soát nội bộ hiệu quả để ngăn chặn rò rỉ dữ liệu. Đây là thời ăn nên làm ra của các công ty an ninh mạng và cố vấn quy trình bảo vệ dữ liệu khách hàng. Công ty nào không đầu tư đàng hoàng cho những khía cạnh này chắc chắn sẽ trả giá bằng tiền tỉ sau tin đồn lộ thông tin khách hàng như Facebook hay Thế giới Di động. Ước tính vốn hóa của Thế giới Di động đã mất đi gần hàng ngàn tỉ đồng chỉ trong tuần qua, sau khi tin đồn lộ thông tin khách hàng được công bố. Vì vậy không nên tưởng rằng Việt Nam sẽ khác với nước ngoài.

Điều bất lợi khác với Việt Nam là xã hội đang trong tiến trình chuyển biến từ một xã hội xài tiền mặt và có xuất phát điểm lạc hậu về công nghệ chuyển sang một nền kinh tế số. Nếu người dùng mất niềm tin vào năng lực của các ngân hàng, công ty công nghệ trong việc bảo vệ thông tin của họ về tiền bạc, thẻ tín dụng... thì sẽ có nhiều trở ngại cho chuyện Việt Nam chuyển mình sang một nền kinh tế số hiệu quả.

Có người cho rằng thật ra vấn đề này chỉ đáng lo với các công ty công nghệ, thương mại điện tử hay FinTech gì đó chứ không ảnh hưởng đến công ty truyền thống. Nhưng nhận định này là không chính xác. Với tiến trình số hóa, Internet hóa, thanh toán qua di động và tự động hóa trong mọi lĩnh vực của nền kinh tế, từ cửa hàng tạp hóa đến công ty công nghệ sang chảnh đều có rủi ro rò rỉ dữ liệu khách hàng. Trừ khi công ty kinh doanh chỉ dùng ghi chép trên giấy và thanh toán tiền mặt, nếu không, rủi ro lộ dữ liệu khách hàng sẽ không buông tha ai cả.

Không nói đâu xa, báo mạng, bệnh viện, trường học, công ty taxi, cũng có lưu dữ liệu người dùng để người ta khai thác đấy thôi. Và đâu phải thông tin thẻ tín dụng bị rò rỉ mới đáng lo. Nếu người ta biết bạn là ai, nhà ở đâu, làm nghề gì... thì cũng đáng sợ phải không?

Đã đến lúc Chính phủ phải có những luật rõ ràng về bảo vệ dữ liệu cá nhân (chứ không chỉ là an ninh mạng), về quyền công dân đối với dữ liệu cá nhân, quyền không bị xâm phạm không gian mạng cá nhân lẫn thông tin cá nhân và tuyên truyền những quyền đó cho công dân một cách rõ ràng. Và đương nhiên các cơ quan chính phủ cũng phải tuân thủ pháp luật về bảo vệ quyền dữ liệu cá nhân của công dân vì chính họ là một trong những tổ chức sở hữu nhiều dữ liệu công dân nhất. Đó là cách để người dân sống chung với rò rỉ dữ liệu, vì họ biết quyền của họ đến đâu để có biện pháp hành xử tương ứng khi bị vi phạm quyền lợi. 

TIN BÀI LIÊN QUAN
In bài
Gửi bài cho bạn bè
CÙNG CHUYÊN MỤC

Sống chung với rò rỉ dữ liệu cá nhân

Hồ Quốc Tuấn
Thứ Năm,  15/11/2018, 08:30 

Sống chung với rò rỉ dữ liệu cá nhân

Hồ Quốc Tuấn

LTS: Tiếp theo vụ nghi vấn rò rỉ thông tin được cho là của khách hàng Thế giới Di động, hôm 10-11 dữ liệu được cho là của chuỗi bán lẻ Con Cưng cũng bị đưa lên diễn đàn RaidForums. Danh sách này có thể chưa kết thúc vì còn những lời dọa sẽ đưa tiếp những tên tuổi lớn khác. Rõ ràng, việc dữ liệu cá nhân bị lộ không còn là chuyện hiếm mà có lẽ chúng ta đang phải “sống chung với lũ... rò rỉ dữ liệu”.

Việc lộ dữ liệu bảo mật (data breach) của khách hàng đang diễn ra phổ biến trên thế giới và trở thành một rủi ro kinh doanh chủ chốt được nhiều công ty tư vấn kinh doanh đề cập. Vào tháng 9 năm nay, giá trị Công ty Facebook mất đi 13 tỉ đô la do giá cổ phiếu giảm sau khi có thông tin 50 triệu người dùng Facebook bị rò rỉ thông tin cá nhân do một vụ tấn công vào máy tính trong mạng của công ty.

Tuy nhiên, máy tính bị tin tặc tấn công chỉ mới là một mặt của việc lộ dữ liệu bảo mật của khách hàng. Mặt khác, đó là công ty có quyền truy cập vào dữ liệu đó đem bán dữ liệu cho công ty khác mà không xin phép khách hàng, hoặc lơi lỏng trong kiểm soát dữ liệu để người khác tận dụng quyền truy cập vào dữ liệu để thu thập chúng và tiến hành những hoạt động kinh doanh kiếm tiền mà không xin phép người dùng, những chủ nhân của dữ liệu cá nhân.

Hồi tháng 4 năm nay, Facebook bị tố làm rò rỉ thông tin cá nhân của hơn 50 triệu người dùng. Chúng được thu thập bởi Aleksandr Kogan và bán cho Cambridge Analytica. Số dữ liệu này sau đó được cho là có tác động đến cuộc bầu cử Tổng thống Mỹ năm 2016. Một tổ chức phi chính phủ ở Pháp, Internet Society of France, đang dọa sẽ tiến hành một vụ kiện buộc Facebook bồi thường 100 triệu euro vì công ty này đã thu thập dữ liệu người dùng Facebook và cả những người không dùng Facebook một cách gián tiếp, bao gồm các thông tin về xu hướng chính trị, tôn giáo, giới tính...

Đã đến lúc Chính phủ phải có những luật rõ ràng về bảo vệ dữ liệu cá nhân (chứ không chỉ là an ninh mạng), về quyền công dân đối với dữ liệu cá nhân, quyền không bị xâm phạm không gian mạng cá nhân lẫn thông tin cá nhân và tuyên truyền những quyền đó cho công dân một cách rõ ràng.

Trong những ngày đầu tháng 11 này, tổ chức Privacy International đã tố cáo các công ty lớn như công ty môi giới dữ liệu Acxiom, công ty phần mềm tên tuổi Oracle, công ty xếp hạng tín nhiệm Experian, Equifax và các công ty quảng cáo Criteo, Quantcast và Tapad vì đã mua bán dữ liệu khách hàng mà không có nền tảng pháp lý nào cho phép điều đó.

Bất kể là dữ liệu khách hàng bị rò rỉ qua tin tặc tấn công, hay công ty cố tình bán dữ liệu khách hàng cho đối tác, hay do lơi lỏng mà để dữ liệu bị đối tác khai thác, thì rủi ro dữ liệu khách hàng bị rò rỉ, bao gồm các thông tin nhạy cảm như thông tin thẻ tín dụng, đã trở thành một mối lo toàn cầu. Xu thế này chắc chắn chỉ có tăng chứ không dừng lại. Khi thông tin trở thành hàng hóa có giá trị, đương nhiên người xấu sẽ nhắm đến trộm cướp thông tin.

Trước đây người ta cướp ngân hàng vì tiền ở đó thì bây giờ người ta tấn công máy chủ Facebook hay máy chủ ngân hàng... vì thông tin khách hàng ở đó. Khi thông tin có thể quy thành tiền, thông qua tống tiền, bán thông tin hay các hành vi tội phạm tài chính khác, thì đây là xu thế hiển nhiên.

Một xu thế khác là doanh nghiệp sẽ ngày càng bị khách hàng nghi ngờ, săm soi, thậm chí là kiện tụng nhiều hơn về việc doanh nghiệp sử dụng thông tin của khách hàng như thế nào. Trong bài viết Lưu ở đâu không quan trọng bằng xin phép người dùng, tác giả Nguyễn Vạn Phú đã đề cập rằng dự thảo Luật An ninh mạng cần xác lập thêm một nguyên tắc mà nay EU và nhiều nước khác đã luật hóa: “Doanh nghiệp phải xin phép người dùng trước khi thu thập dữ liệu người dùng, được sự đồng ý rõ ràng mới tiến hành, đồng thời cần nói rõ dữ liệu thu thập nhằm mục đích gì, có trao cho bên thứ ba để kinh doanh, đổi chác hay không”.

Mặc dù quan điểm luật này của EU được xem là quá chặt và là nguyên nhân nhiều công ty công nghệ không chọn EU để đặt trụ sở, xu thế này đang trở thành chủ đạo và các nước khác nhiều khả năng sẽ đi theo vì người dân ủng hộ cách tiếp cận này.

Những xu thế này đặt mọi loại hình doanh nghiệp đang hoạt động trong nền kinh tế trước những rủi ro rò rỉ dữ liệu đủ kiểu. Một mặt họ phải lo phòng ngừa tin tặc. Mặt khác họ phải lo bị người dùng khiếu kiện, tố cáo vì khai thác dữ liệu người dùng mà không xin phép.

Trào lưu đòi quyền bảo mật dữ liệu này có thể sẽ đi quá xa, chẳng hạn người dân có xu hướng ước tính quá cao giá trị dữ liệu cá nhân của mình, hay đòi hỏi thái quá. Chẳng hạn như những dịch vụ chấm điểm tín dụng mang lại giá trị cho xã hội nhưng cũng bị tố cáo, khiếu kiện. Nhưng trào lưu này sẽ không dừng lại sớm, cũng như tin tặc cũng sẽ không dừng việc tấn công vào miếng bánh dữ liệu người dùng hấp dẫn.

Có một chuyên gia kế toán nói đùa rằng bây giờ mô hình kinh doanh của nhiều công ty nên để dành sẵn một khoản tiền trích lập hàng năm là tiền dự phòng bồi thường và trả án phí khi bị kiện tụng vì làm lộ dữ liệu khách hàng, xem đó là một phần chi phí thường xuyên.

Nói nghiêm túc hơn, doanh nghiệp cần có một hệ thống an ninh dữ liệu và kiểm soát nội bộ hiệu quả để ngăn chặn rò rỉ dữ liệu. Đây là thời ăn nên làm ra của các công ty an ninh mạng và cố vấn quy trình bảo vệ dữ liệu khách hàng. Công ty nào không đầu tư đàng hoàng cho những khía cạnh này chắc chắn sẽ trả giá bằng tiền tỉ sau tin đồn lộ thông tin khách hàng như Facebook hay Thế giới Di động. Ước tính vốn hóa của Thế giới Di động đã mất đi gần hàng ngàn tỉ đồng chỉ trong tuần qua, sau khi tin đồn lộ thông tin khách hàng được công bố. Vì vậy không nên tưởng rằng Việt Nam sẽ khác với nước ngoài.

Điều bất lợi khác với Việt Nam là xã hội đang trong tiến trình chuyển biến từ một xã hội xài tiền mặt và có xuất phát điểm lạc hậu về công nghệ chuyển sang một nền kinh tế số. Nếu người dùng mất niềm tin vào năng lực của các ngân hàng, công ty công nghệ trong việc bảo vệ thông tin của họ về tiền bạc, thẻ tín dụng... thì sẽ có nhiều trở ngại cho chuyện Việt Nam chuyển mình sang một nền kinh tế số hiệu quả.

Có người cho rằng thật ra vấn đề này chỉ đáng lo với các công ty công nghệ, thương mại điện tử hay FinTech gì đó chứ không ảnh hưởng đến công ty truyền thống. Nhưng nhận định này là không chính xác. Với tiến trình số hóa, Internet hóa, thanh toán qua di động và tự động hóa trong mọi lĩnh vực của nền kinh tế, từ cửa hàng tạp hóa đến công ty công nghệ sang chảnh đều có rủi ro rò rỉ dữ liệu khách hàng. Trừ khi công ty kinh doanh chỉ dùng ghi chép trên giấy và thanh toán tiền mặt, nếu không, rủi ro lộ dữ liệu khách hàng sẽ không buông tha ai cả.

Không nói đâu xa, báo mạng, bệnh viện, trường học, công ty taxi, cũng có lưu dữ liệu người dùng để người ta khai thác đấy thôi. Và đâu phải thông tin thẻ tín dụng bị rò rỉ mới đáng lo. Nếu người ta biết bạn là ai, nhà ở đâu, làm nghề gì... thì cũng đáng sợ phải không?

Đã đến lúc Chính phủ phải có những luật rõ ràng về bảo vệ dữ liệu cá nhân (chứ không chỉ là an ninh mạng), về quyền công dân đối với dữ liệu cá nhân, quyền không bị xâm phạm không gian mạng cá nhân lẫn thông tin cá nhân và tuyên truyền những quyền đó cho công dân một cách rõ ràng. Và đương nhiên các cơ quan chính phủ cũng phải tuân thủ pháp luật về bảo vệ quyền dữ liệu cá nhân của công dân vì chính họ là một trong những tổ chức sở hữu nhiều dữ liệu công dân nhất. Đó là cách để người dân sống chung với rò rỉ dữ liệu, vì họ biết quyền của họ đến đâu để có biện pháp hành xử tương ứng khi bị vi phạm quyền lợi. 

In bài
Gửi bài cho bạn bè
Ông Nguyễn Thanh Hải, Cục trưởng Cục An toàn thông tin, Bộ Thông tin và Truyền thông: “Việt Nam còn gặp nhiều khó khăn trong bảo đảm an toàn thông tin. Sự thiếu hụt nguồn nhân lực cũng như nhận thức chưa thực sự đầy đủ của cá nhân, tổ chức về an toàn thông tin đã vô tình tạo ra các điểm yếu để các sự cố hàng ngày vẫn xảy ra trong các hệ thống thông tin. Hơn 90% sự cố mất an toàn thông tin xảy ra là do yếu tố con người". Mỗi khi xảy ra các đợt tấn công có chủ đích hay sự cố an ninh mạng thì các doanh nghiệp chủ yếu làm báo cáo cho lãnh đạo đơn vị, báo cáo nội bộ. Vẫn chưa có nhiều doanh nghiệp chủ động liên hệ với các công ty an ninh mạng để tìm kiếm sự hỗ trợ. Điều này sẽ khiến cho hoạt động ứng cứu của mạng lưới ứng cứu khẩn cấp tại địa phương, chia sẻ thông tin sự cố an ninh mạng bị hạn chế.
TIÊU ĐIỂM
Từ Thế giới Di động, nghĩ đến chuyện bảo mật thông tin khách hàng
(TBKTSG Online) - Sau khi hacker tung tin đã đánh cắp được thông tin khách hàng của Thế giới Di động, và một số doanh nghiệp có trang thương mại điện tử (TMĐT) khác, mặc dù thực hư của các vụ việc chưa rõ ràng, song người tiêu dùng không khỏi hoang mang trước nguy cơ bị lộ dữ liệu cá nhân khi tiến hành các vụ giao dịch điện tử.
PHẢN CHIẾU
Xóa nỗi lo mất tiền trong thẻ
(TBKTSG) - Đọc các ý kiến nhận xét của độc giả bên dưới những bản tin đầu tiên về vụ tin tặc phát tán 31.000 bản ghi liệt kê số thẻ tín dụng được cho là của khách hàng từng giao dịch với Thế Giới Di Động mới thấy đáng lo. Rất nhiều người tỏ vẻ vui mừng vì đã chọn cách giao dịch bằng tiền mặt nên tránh được rủi ro. Không ít người chia sẻ kinh nghiệm mua hàng trên các trang thương mại điện tử nhưng chọn phương thức nhận hàng mới trả tiền.
Hàng chục trang web bị tấn công mỗi tuần
(TBKTSG Online) - Cục An toàn thông tin (Bộ Thông tin và Truyền thông) phát hiện hàng chục vụ tấn công vào các trang web mỗi tuần, để lợi dụng thực hiện các hành vi lừa đảo, gây mất an toàn thông tin.
Top
 
Giấy phép Báo điện tử số: 2302/GP-BTTTT, cấp ngày 29/11/2012
Tổng biên tập: Trần Minh Hùng.
Phó tổng biên tập: Phan Chiến Thắng.
Thư ký tòa soạn: Hồng Văn; Phó thư ký tòa soạn: Yến Dung.
Tòa soạn: 35 Nam Kỳ Khởi Nghĩa, Quận 1, TP.HCM. ĐT:(8428)3829 5936; Fax:(8428)3829 4294; Email: online@kinhtesaigon.vn
Thời báo Kinh tế Sài Gòn giữ bản quyền nội dung của trang web thesaigontimes.vn. Không sử dụng lại nội dung trên trang này dưới mọi hình thức, trừ khi được Thời báo Kinh tế Sài Gòn đồng ý bằng văn bản.
Trang ngoài sẽ được mở ra ở cửa sổ mới. Thời báo Kinh tế Sài Gòn Online không chịu trách nhiệm nội dung trang ngoài.
Bản quyền thuộc về SaigonTimesGroup.