ปกป้องข้อมูลส่วนบุคคลและองค์กรจากช่องโหว่ด้านความปลอดภัย

พลโทเหงียน มินห์ จินห์ ผู้อำนวยการกรมความมั่นคงทางไซเบอร์ (A05 กระทรวงความมั่นคงสาธารณะ) รองประธานถาวรสมาคมความมั่นคงทางไซเบอร์แห่งชาติ ให้ความเห็นว่า สถานการณ์การโจมตี การละเมิดลิขสิทธิ์ และการซื้อขายข้อมูลส่วนบุคคลและองค์กรผ่านเครือข่ายมีความซับซ้อน เปลี่ยนแปลงอย่างรวดเร็ว ใช้กลวิธีทางอาชญากรรมมากมาย พร้อมทั้งมีสถานการณ์และแนวทางในการโจมตีทางไซเบอร์

ในประเทศเวียดนาม ในช่วง 6 เดือนแรกของปี 2024 มีชื่อโดเมนหลอกลวงจำนวน 2,364 ชื่อที่กำหนดเป้าหมายไปที่ผู้ใช้และลูกค้าขององค์กรขนาดใหญ่ ซึ่งเพิ่มขึ้น 1.2 เท่าเมื่อเทียบกับช่วงเวลาเดียวกันในปี 2023 496 เพจปลอมที่ใช้แบรนด์องค์กรใหญ่ในเวียดนามอย่างผิดกฎหมาย เพิ่มขึ้น 4 เท่าจากช่วงเดียวกันในปี 2566 การโจมตี DDoS ในรูปแบบต่างๆ จำนวน 495,000 ครั้ง

Ransomware โจมตีข้อมูลขนาด 3 เทราไบต์ มูลค่าความเสียหายรวมกว่า 10 ล้านเหรียญสหรัฐ รวมถึงการโจมตีของกลุ่ม Lockbit ต่อบริษัท VNDirect Securities Joint Stock Company และการโจมตีเว็บไซต์ของ Vietnam Oil Corporation (PVOil), Post and Telecommunication Insurance Joint Stock Corporation (PTI) และ IPA Investment Group Joint Stock Company บริษัทหลักทรัพย์จัดการกองทุนเพื่อการลงทุนไอพีเอ จำกัด (IPAAM) ทำให้ธุรกิจได้รับความเสียหายเป็นอย่างมาก

สาเหตุหลักประการหนึ่งของปัญหาข้างต้นคือการรั่วไหลของข้อมูลและข้อมูลจากองค์กรและบุคคลจำนวนมาก ในช่วง 6 เดือนแรกของปี 2567 ระบบการติดตามทางเทคนิคของกรมความปลอดภัยข้อมูล (กระทรวงสารสนเทศและการสื่อสาร) บันทึกจุดอ่อนและช่องโหว่ด้านความปลอดภัยของข้อมูลของหน่วยงานและองค์กรต่าง ๆ ในเวียดนามจำนวน 90,033 รายการ จำนวนเหตุการณ์ร้ายแรงที่หน่วยงานต้องจัดการเพิ่มขึ้นเกือบ 60% เมื่อเทียบกับปี 2566

บริษัท Viettel Cyber ​​​​Security (VCS) บันทึกข้อมูลรั่วไหล 46 ครั้ง โดยมีรายการข้อมูลลูกค้าประมาณ 13 ล้านรายการเพื่อการขาย รหัสต้นฉบับ 12.3 GB และข้อมูล 16 GB มีช่องโหว่ใหม่เกิดขึ้นประมาณ 17,000 จุด ซึ่งมากกว่าครึ่งหนึ่งเป็นช่องโหว่ระดับสูงและร้ายแรง โดยมีช่องโหว่ 71 จุดที่เกี่ยวข้องกับบัญชีและข้อมูลลูกค้านับร้อยล้านบัญชีที่เปิดเผยโดยองค์กรและธุรกิจในเวียดนาม

สถานการณ์ข้อมูลส่วนตัว เช่น หมายเลขโทรศัพท์ ชื่อ-นามสกุล ที่อยู่ตามบ้านเลขที่ หมายเลขบัตรประชาชน/หมายเลขประจำตัวประชาชน หมายเลขบัญชี... ของบุคคลที่รั่วไหลและรั่วไหลออกไปนั้นเกิดขึ้นบ่อยมาก ผู้คนไม่เพียงแต่ได้รับข้อความหลอกลวงและลิงค์ปลอมเท่านั้น แต่ยังถูกคุกคามจากสายโทรศัพท์ที่เสนอบริการต่างๆ อีกด้วย

นายเหงียน วัน หุ่ง อดีตข้าราชการบำนาญในซวนลา (เขตเตยโฮ ฮานอย) เล่าว่า เขาได้รับโทรศัพท์บ่อยครั้ง เชิญชวนให้ไปลงทุนในหุ้น มอบบัตรกำนัลทัวร์ เชิญชิมไวน์ หรือรับรางวัลจากธุรกิจต่างๆ... เขาเล่าว่าเมื่อไม่กี่ปีที่ผ่านมา เขามีธุรกรรมซื้ออพาร์ตเมนต์ บางทีอาจเป็นเพราะเหตุนี้ ข้อมูลส่วนตัวของเขาจึงรั่วไหล

สาเหตุหลักของการรั่วไหลของข้อมูลเกิดจากความประมาทของผู้ใช้ที่ไม่ตระหนักถึงการปกป้องข้อมูลส่วนบุคคลหรือไม่ใช้มาตรการป้องกันที่เหมาะสม โพสต์ข้อมูลส่วนบุคคลต่อสาธารณะบนไซเบอร์สเปซ หรือมีข้อมูลส่วนบุคคลรั่วไหลในระหว่างกระบวนการโอน ย้าย จัดเก็บ หรือแลกเปลี่ยนข้อมูล

การดำเนินการทั่วไปในการสำรองข้อมูล การซ่อมแซม การซื้อ การขาย และการชำระบัญชีอุปกรณ์ข้อมูลส่วนบุคคล เช่น โทรศัพท์มือถือ คอมพิวเตอร์ ฮาร์ดไดรฟ์ ฯลฯ แม้ว่าผู้ใช้จะลบข้อมูลอย่างระมัดระวังแล้ว แต่ก็ยังมีความเสี่ยงที่อาจเปิดเผยข้อมูลได้

สำหรับองค์กรและธุรกิจ เนื่องมาจากมีช่องโหว่ในระบบ แอปพลิเคชัน และซอฟต์แวร์ ความหย่อนยานในการปฏิบัติตามกฎเกณฑ์และวินัยข้อมูลบนสภาพแวดล้อมเครือข่าย ช่องโหว่ในนโยบายการรักษาความปลอดภัยข้อมูลลูกค้า มีแม้กระทั่งธุรกิจที่จงใจให้ข้อมูลลูกค้าแก่บุคคลที่สามเพื่อจุดประสงค์ที่ไม่ดีต่อสุขภาพมากมาย

กระทรวงความมั่นคงสาธารณะเตือนว่ามีการหลอกลวงบนอินเทอร์เน็ต 3 กลุ่มหลัก คือ การปลอมแปลงแบรนด์ การแฮ็กบัญชี และการหลอกลวงรูปแบบอื่นๆ อีก 24 รูปแบบ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Ngo Minh Hieu (Hieu PC) ให้ความเห็นว่าสาเหตุหลักของการรั่วไหลของข้อมูลคือการขาดความรู้ ขาดมาตรการและขั้นตอนในการปกป้องข้อมูล และการสูญเสียการควบคุมในการรวบรวม ประมวลผล จัดเก็บ และแสวงประโยชน์จากข้อมูล

นายหวู่ ซวน เหงียน ประธานคณะกรรมการบริษัท IGB Joint Stock Company ซึ่งเชี่ยวชาญด้านซอฟต์แวร์และเทคโนโลยี กล่าวว่า เพื่อป้องกันการรั่วไหลของข้อมูล ธุรกิจต่างๆ จำเป็นต้องนำมาตรการต่างๆ มาใช้ ได้แก่ การตรวจสอบปัจจัยหลายประการ (MFA) และการจัดการการเข้าถึง เพื่อให้แน่ใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ เข้ารหัสข้อมูลทั้งที่อยู่นิ่งและระหว่างการส่ง การเข้ารหัสแบบ End-to-End เพื่อให้แน่ใจว่าผู้รับที่ตั้งใจไว้เท่านั้นที่สามารถถอดรหัสและอ่านข้อมูลได้ การติดตามอย่างต่อเนื่องและการตรวจจับการบุกรุกในระยะเริ่มต้นโดยใช้เทคโนโลยีเช่น ระบบตรวจจับการบุกรุก (IDS) และระบบป้องกันการบุกรุก (IPS) จำเป็นต้องฝึกอบรมและปรับปรุงทักษะด้านความปลอดภัยสำหรับพนักงานในการระบุฟิชชิ่ง ทักษะด้านความปลอดภัยพื้นฐาน และขั้นตอนการจัดการข้อมูล เพื่อช่วยลดความเสี่ยงในการเปิดเผยข้อมูลและการรั่วไหลจากปัจจัยของมนุษย์

โดยเฉพาะอย่างยิ่งจะต้องสำรองข้อมูลเป็นประจำในกรณีที่เกิดเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยหรือข้อมูลสูญหาย IGB ได้นำมาตรฐานความปลอดภัยสากล ISO/IEC 2700I มาใช้โดยใช้การเข้ารหัส SSL/TLS สำหรับการเชื่อมต่อออนไลน์ทั้งหมด

National Cyber ​​​​Security Association ได้เสนอให้สร้างแพลตฟอร์มเพื่อเชื่อมต่อและแบ่งปันข้อมูลด้านความปลอดภัยทางไซเบอร์ ช่วยให้องค์กรต่างๆ ตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างเป็นเชิงรุก ตรวจสอบเครื่องมือและเทคนิคการโจมตีทางอาชญากรรมใหม่ๆ ให้คำเตือนล่วงหน้าเกี่ยวกับภัยคุกคาม และสนับสนุนการตัดสินใจเชิงกลยุทธ์ ช่วยให้องค์กรปกป้องสินทรัพย์ดิจิทัลและรักษาความปลอดภัยของข้อมูล

นอกจากนี้สมาคมยังเปิดตัวแอปสมาร์ทโฟนป้องกันการฉ้อโกง nTrust ฟรีที่สามารถตรวจจับสัญญาณการฉ้อโกงโดยการตรวจสอบหมายเลขโทรศัพท์ หมายเลขบัญชี ลิงก์เว็บไซต์ และรหัส QR ซอฟต์แวร์ nTrust มีบันทึกที่ตรวจยืนยันแล้วมากกว่า 1 ล้านรายการที่รวบรวมจากแหล่งข้อมูลของกระทรวงความมั่นคงสาธารณะ กระทรวงสารสนเทศและการสื่อสาร ธนาคารแห่งรัฐเวียดนาม และองค์กรสมาชิกด้านความปลอดภัยทางไซเบอร์ของสมาคม

เมื่อวันที่ 8 ตุลาคม สมาคมได้เปิดตัวโครงการฝึกอบรมผู้เชี่ยวชาญด้านการปกป้องข้อมูลส่วนบุคคลของ VnDPO อย่างเป็นทางการ นักเรียนจะได้รับการฝึกอบรมอย่างเข้มข้น โดยมีเวลาฝึกปฏิบัติคิดเป็น 60% ของระยะเวลาหลักสูตรทั้งหมด ภายใต้ระบบเตือนภัยและป้องกันชื่อโดเมนที่เป็นอันตรายแห่งชาติ ภายในเดือนมิถุนายน พ.ศ. 2567 กรมความปลอดภัยข้อมูล (กระทรวงสารสนเทศและการสื่อสาร) สามารถบล็อกเว็บไซต์ฉ้อโกงออนไลน์ได้แล้ว 3,170 เว็บไซต์ ช่วยปกป้องผู้คนได้มากกว่า 10 ล้านคนจากเว็บไซต์ฉ้อโกงและผิดกฎหมาย