Hàng triệu thông tin cá nhân bị lộ lọt

Theo Bộ Công an, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Bộ Công an đã nêu rõ một loạt doanh nghiệp về công nghệ để lộ thông tin khách hàng hay các công ty môi giới dịch vụ taxi sử dụng thông tin của hành khách bị lộ để mời chào dịch vụ qua tin nhắn sms…

Đơn cử, Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Vietnam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng.

Bộ Công an cũng cho biết, nhiều dữ liệu bị rao bán công khai trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.

Hiện tại, Dự thảo Nghị định quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh mạng (đang lấy ý kiến và chờ Chính phủ ban hành) có đưa ra quy định với mức xử phạt tối đa dành cho các tổ chức vi phạm quy định về bảo vệ dữ liệu cá nhân là phạt tiền tới 5% tổng doanh thu năm tài chính liền trước tại Việt Nam đối với hành vi vi phạm từ lần 3 trở lên.

Đồng thời có thể xử phạt bổ sung là tước quyền sử dụng giấy phép hoạt động hệ thống thông tin, sản phẩm, dịch vụ từ 1- 3 tháng đối với tổ chức, cá nhân vi phạm; tước quyền sử dụng giấy phép kinh doanh tại thị trường Việt Nam.

Doanh nghiệp thờ ơ việc bảo mật thông tin

Trao đổi với Lao Động, ông Ngô Minh Hiếu - chuyên gia an ninh mạng và điều tra số tại Trung tâm Giám sát và An toàn Không gian mạng Quốc gia - cho biết, tất cả các hệ thống đều có thể bị xâm nhập, bị hack. Thế nhưng, không thể phủ nhận rằng, các doanh nghiệp Việt Nam rất ít chú trọng tới vấn đề bảo mật, thậm chí thờ ơ trong việc củng cố hệ thống bảo mật, đặc biệt là vá các lỗ hổng bảo mật đã được công bố trước đó.

Có nhiều lý do gây ra thực trạng này. Lý do đầu tiên là vì nhiều tập đoàn, tổ chức doanh nghiệp Việt Nam không thuê đội ngũ về an ninh mạng bởi chi phí khá đắt (có thể lên tới vài trăm triệu đồng cho một lần kiểm thử phần mềm về an toàn thông tin). Lý do tiếp theo là do có rất ít doanh nghiệp bị xử phạt khi để rò rỉ thông tin của khách hàng. Thêm vào đó, doanh nghiệp chưa ý thức được thông tin cá nhân của khách hàng cũng là một loại tài sản cần được bảo vệ.

“Có rất nhiều lỗ hổng bảo mật đã được cơ quan Nhà nước công bố và hướng dẫn cách sửa chữa. Thế nhưng, nhiều doanh nghiệp không quan tâm, không đọc, không kiểm tra nên không biết có một bản vá, bản cập nhật cần nâng cấp” - ông Hiếu cho hay.

Liên quan đến mức phạt 5% tổng doanh thu trong dự thảo, theo ông Hiếu, nếu dữ liệu bị rò rỉ có nhiều trường dữ liệu quan trọng như căn cước công dân, mật khẩu thì cần phạt nặng hơn so với những trường hợp lộ lọt thông tin căn bản như họ tên, ngày tháng năm sinh, mật khẩu bị mã hoá.

Ông Vũ Ngọc Sơn - Giám đốc Kỹ thuật Công ty Công nghệ an ninh mạng Việt Nam - cho rằng, cần có một khoảng thời gian nhất định để các doanh nghiệp có thể chuyển từ nhận thức sang hành động, rà soát, bổ sung, đầu tư mới các giải pháp an ninh mạng cho các hệ thống của mình. Dự kiến có thể mất khoảng từ 1-2 năm để phần lớn các hệ thống đầu tư đủ các thành phần bảo vệ.

Theo ông Sơn, mức xử phạt 5% tổng doanh thu tuy không phải là cao so với thế giới nhưng đủ sức răn đe. Trên thế giới các vụ lộ lọt dữ liệu có thể bị xử phạt rất nặng, toà án đưa ra mức phạt dựa trên chứng minh thiệt hại của người dùng cũng như mức độ ảnh hưởng của sự cố.