Bảo vệ dữ liệu cá nhân, tổ chức trước lỗ hổng bảo mật

Trung tướng Nguyễn Minh Chính, Cục trưởng An ninh mạng (A05, Bộ Công an), Phó Chủ tịch Thường trực Hiệp hội An ninh mạng quốc gia nhận định: Tình trạng tấn công, chiếm đoạt, mua bán dữ liệu cá nhân và tổ chức qua mạng diễn biến phức tạp, biến đổi nhanh chóng, sử dụng nhiều phương thức phạm tội, có kịch bản, định hướng khi thực hiện tấn công mạng.

Tại Việt Nam, 6 tháng đầu năm 2024, có 2.364 tên miền lừa đảo nhắm vào người dùng, khách hàng của các tổ chức lớn, tăng 1,2 lần so với cùng kỳ năm 2023; 496 trang giả mạo, sử dụng trái phép thương hiệu của các tổ chức lớn tại Việt Nam, tăng gấp 4 lần so với cùng kỳ năm 2023; 495.000 cuộc tấn công từ chối dịch vụ DDoS với nhiều hình thức khác nhau.

Có 3 Terabyte dữ liệu bị tấn công mã hóa (ransomware) với tổng thiệt hại ước tính hơn 10 triệu USD. Trong đó vụ tấn công của nhóm Lockbit vào Công ty cổ phần Chứng khoán VNDirect và những vụ tấn công website của Tổng công ty Dầu Việt Nam (PVOil), Tổng công ty cổ phần Bảo hiểm Bưu điện (PTI), Công ty cổ phần Tập đoàn Đầu tư I.P.A; Công ty Trách nhiệm hữu hạn một thành viên Quản lý quỹ đầu tư chứng khoán I.P.A (IPAAM), gây thiệt hại lớn cho doanh nghiệp.

Một trong những nguyên nhân chính của vấn đề nêu trên là tình trạng sơ hở gây lộ, lọt thông tin, dữ liệu từ nhiều tổ chức, cá nhân. Trong 6 tháng đầu năm 2024, hệ thống Giám sát kỹ thuật của Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã ghi nhận 90.033 điểm yếu, lỗ hổng an toàn thông tin của các cơ quan, tổ chức tại Việt Nam. Số sự cố nghiêm trọng mà cục phải xử lý đã tăng gần 60% so với năm 2023.

Công ty An ninh mạng Viettel (Viettel Cyber Security – VCS) ghi nhận 46 vụ lộ, lọt thông tin với khoảng 13 triệu bản ghi dữ liệu khách hàng được rao bán, 12.3 GB mã nguồn, 16 GB dữ liệu. Đã có khoảng 17.000 lỗ hổng mới xuất hiện, trong đó hơn một nửa là lỗ hổng mức độ cao và nghiêm trọng với 71 lỗ hổng liên quan hàng trăm triệu tài khoản và thông tin khách hàng bị lộ từ các tổ chức, doanh nghiệp tại Việt Nam.

Tình trạng thông tin cá nhân như số điện thoại, họ tên, địa chỉ sinh sống, số chứng minh nhân dân/căn cước công dân, số tài khoản… của người dân bị lộ, lọt ra ngoài rất phổ biến. Người dân không chỉ nhận được các tin nhắn lừa đảo, đường link giả mạo mà còn bị quấy rầy vì các cuộc gọi điện thoại mời chào các loại dịch vụ.

Ông Nguyễn Văn Hùng, cán bộ hưu trí ở Xuân La (quận Tây Hồ, Hà Nội) cho biết, ông thường xuyên nhận được điện thoại mời gọi đầu tư chứng khoán, tặng voucher tua du lịch nghỉ dưỡng, mời thử rượu hay nhận phần thưởng của doanh nghiệp… Ông cho biết, mấy năm trước đã có lần giao dịch mua căn hộ, có lẽ vì thế mà thông tin cá nhân của ông đã bị lộ, lọt ra ngoài.

Nguyên nhân lộ, lọt thông tin phần lớn do sự bất cẩn của người dùng khi chưa có ý thức bảo vệ dữ liệu cá nhân hoặc thực hiện các biện pháp bảo vệ chưa tương xứng, đăng tải công khai thông tin cá nhân trên không gian mạng hoặc bị lộ dữ liệu cá nhân trong quá trình chuyển giao, lưu trữ, trao đổi thông tin.

Các hoạt động thông thường trong sao lưu dữ liệu; sửa chữa, mua bán, thanh lý phương tiện thông tin cá nhân như điện thoại di động, máy tính, ổ cứng… cho dù người dùng có cẩn thận xóa dữ liệu song vẫn tiềm ẩn nguy cơ lộ lọt.

Đối với các tổ chức, doanh nghiệp, là do lỗ hổng trên các hệ thống, ứng dụng, phần mềm; sự lỏng lẻo trong chấp hành quy định, kỷ luật thông tin trên môi trường mạng; lỗ hổng trong chính sách bảo mật thông tin khách hàng. Thậm chí có những doanh nghiệp đã cố ý đưa thông tin khách hàng cho bên thứ ba với nhiều mục đích không lành mạnh.

Bộ Công an cảnh báo, trên mạng đang có ba nhóm lừa đảo chính: Giả mạo thương hiệu, chiếm đoạt tài khoản và các hình thức kết hợp khác với 24 hình thức lừa đảo. Chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) nhận định, nguyên nhân chủ yếu của tình trạng lộ, lọt thông tin là do thiếu kiến thức, thiếu biện pháp, quy trình bảo vệ dữ liệu, là sự kiểm soát lỏng lẻo khi thu thập, xử lý, lưu trữ, khai thác thông tin.

Theo ông Vũ Xuân Nguyên, Chủ tịch Hội đồng Quản trị Công ty cổ phần IGB chuyên về lĩnh vực phần mềm và công nghệ, để chống lộ, lọt thông tin, doanh nghiệp cần thực hiện các biện pháp: Xác thực đa yếu tố (MFA) và quản lý quyền truy cập, bảo đảm rằng chỉ những người có thẩm quyền mới được truy cập thông tin nhạy cảm; mã hóa dữ liệu cả khi lưu trữ và truyền tải; Mã hóa đầu cuối (End-to-End Encryption) để bảo đảm rằng chỉ người nhận được chỉ định mới có thể giải mã và đọc thông tin; giám sát liên tục và phát hiện sớm xâm nhập bằng công nghệ như hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng chống xâm nhập (IPS); cần đào tạo và nâng cao kỹ năng bảo mật cho nhân viên về nhận diện phishing (lừa đảo qua email), các kỹ năng bảo mật cơ bản và quy trình xử lý thông tin giúp giảm nguy cơ lộ, lọt từ yếu tố con người.

Đặc biệt, phải thường xuyên sao lưu dữ liệu trong trường hợp gặp sự cố an ninh hoặc mất mát dữ liệu. IGB đã ứng dụng các chuẩn bảo mật quốc tế ISO/IEC 2700I, sử dụng mã hóa SSL/TLS cho tất cả kết nối trực tuyến.

Hiệp hội An ninh mạng quốc gia đã đề xuất xây dựng nền tảng kết nối, chia sẻ thông tin an ninh mạng, giúp các tổ chức chủ động ứng phó sự cố, theo dõi các công cụ, kỹ thuật tấn công mới của tội phạm, cảnh báo sớm về các hiểm họa, hỗ trợ ra quyết định chiến lược; giúp các tổ chức bảo vệ tài sản số và duy trì an toàn, an ninh dữ liệu.

Hiệp hội cũng đưa ra ứng dụng nTrust chống lừa đảo miễn phí dùng cho điện thoại thông minh giúp phát hiện các dấu hiệu lừa đảo qua việc kiểm tra số điện thoại, số tài khoản, đường dẫn trang web và mã QR. Phần mềm nTrust có hơn 1 triệu bản ghi được xác minh, tổng hợp từ nguồn dữ liệu của Bộ Công an, Bộ Thông tin và Truyền thông, Ngân hàng Nhà nước Việt Nam và các tổ chức an ninh mạng thành viên của hiệp hội.

Ngày 8/10, hiệp hội chính thức ra mắt Chương trình Đào tạo chuyên gia bảo vệ dữ liệu cá nhân VnDPO. Học viên sẽ được đào tạo chuyên sâu với thời gian thực hành chiếm 60% tổng thời lượng chương trình. Thông qua Hệ thống Cảnh báo, ngăn chặn tên miền độc hại quốc gia, đến tháng 6/2024, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã ngăn chặn 3.170 website lừa đảo trực tuyến, bảo vệ hơn 10 triệu người dân trước các website lừa đảo, vi phạm pháp luật.