Tình trạng mua bán dữ liệu cá nhân ở Việt Nam rất nghiêm trọng

Đề cập đến thực trạng lộ lọt dữ liệu, tại Hội thảo hướng dẫn và giải đáp thắc mắc về Nghị định bảo vệ dữ liệu cá nhân (Nghị định 13) được tổ chức ngày 23/11, ông Vũ Ngọc Sơn, Giám đốc Kỹ thuật của Công ty NCS nhấn mạnh: Lộ lọt dữ liệu không chỉ xảy ra ở Việt Nam mà diễn ra trên toàn cầu.

Theo chuyên gia NCS Vũ Ngọc Sơn, tất cả các cơ quan, tổ chức, doanh nghiệp và cá nhân đều có thể trở thành nạn nhân của tội phạm mạng đánh cắp dữ liệu. 

Ngay các hãng công nghệ lớn như Facebook, Microsoft, Samsung, Toyota cũng đều có mặt trong danh sách nạn nhân bị tội phạm mạng tấn công, đánh cắp dữ liệu.

Đơn cử như, tháng 4/2021, thông tin của 500 triệu người dùng Facebook bị rao bán; tháng 9/2023 Microsoft thông báo bị lộ lọt 38 TeraByte dữ liệu, khi nhân viên của hãng công nghệ này sử dụng dữ liệu để ‘huấn luyện’ hệ thống AI.

Trong tháng 11/2023, Samsung thông báo bị lộ lọt thông tin khách hàng mua sắm trong 1 năm của Samsung UK Online; còn Toyota, bộ phận tài chính của hãng bị tấn công, gây lộ lọt dữ liệu khách hàng, nhóm tấn công đòi 8 triệu USD nếu không sẽ công khai dữ liệu trên mạng.

“Việc các ông lớn công nghệ thế giới cũng bị tấn công, đánh cắp dữ liệu đã cho thấy rằng tất cả các cơ quan, tổ chức, doanh nghiệp và cá nhân đều có thể trở thành nạn nhân của tội phạm mạng đánh cắp dữ liệu”, ông Vũ Ngọc Sơn chia sẻ.

Cũng theo ông Vũ Ngọc Sơn, các vụ lộ lọt dữ liệu gây thiệt hại lớn cho các tổ chức, doanh nghiệp, cả về thời gian, danh tiếng cũng như tiền.

Báo cáo được IBM tổng hợp từ khoảng 500 vụ lộ lọt dữ liệu trên toàn cầu cho thấy, thời gian trung bình để các tổ chức phát hiện và xử lý các vụ lộ lọt dữ liệu lên tới 250 ngày.

Với thiệt hại về tiền, một thống kê chỉ ra rằng, thiệt hại trung bình của 1 vụ lộ lọt dữ liệu ở khu vực ASEAN ước tính khoảng 3 triệu USD.

Với Việt Nam, chuyên gia Vũ Ngọc Sơn thông tin, mỗi tháng Bộ TT&TT đều ghi nhận hàng nghìn cuộc tấn công mạng hướng vào Việt Nam.

Bộ Công an cho biết hiện nay tình trạng mua bán dữ liệu cá nhân ở Việt Nam rất nghiêm trọng, trong đó có 2 yếu tố chính là tội phạm đột nhập và đánh cắp dữ liệu cá nhân.

Trong năm 2023, Bộ Công an đã phải cảnh báo, xử lý hàng chục triệu những vụ việc có liên quan đến xâm phạm cơ sở dữ liệu cá nhân.

Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu của A05 giới thiệu về các nội dung chính của Nghị định 13 về bảo vệ dữ liệu cá nhân. 

Từ góc độ của đơn vị được Bộ Công an giao trách nhiệm thực hiện quản lý nhà nước về bảo vệ dữ liệu cá nhân, Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) cho hay, hoạt động tấn công mạng để đánh cắp thông tin, dữ liệu, bí mật nhà nước diễn ra phổ biến.

Theo thống kê từ năm 2001 đến nay, lộ lọt qua mạng Internet đứng đầu trong các hình thức lộ, lọt bí mật nhà nước, với 534 vụ, chiếm 80% các vụ.

Bên cạnh đó, việc mua bán trái phép dữ liệu cá nhân diễn ra tràn lan trên không gian mạng, nhất là các trang mạng xã hội, hội nhóm kín.

Hàng trăm tệp dữ liệu của hàng chục triệu người Việt Nam được các đối tượng phân loại chi tiết theo thu nhập, độ tuổi, ngành nghề thuộc nhiều lĩnh vực như tài chính, ngân hàng, y tế, giáo dục... để rao bán trái phép.

Điểm ra một số vụ việc điển hình về thu thập, mua bán trái phép dữ liệu đã được lực lượng chức năng xử lý thời gian qua, đại diện A05 còn liệt kê ra các loại hình tội phạm mạng lợi dụng thông tin, dữ liệu cá nhân như: Hack và chiếm tài khoản mạng xã hội lừa người thân, sử dụng Deepfake đóng giả người thân để lừa tiền; sử dụng dịch vụ VoIP; giả danh nhân viên ngân hàng; giả biên lai, tin nhắn chuyển tiền thành công; thông báo phạt nguội, nâng cấp hay khóa SIM, thông báo thu tiền điện; giả danh giáo viên, bác sĩ để lừa đảo...

8 nguyên tắc bảo vệ dữ liệu cá nhân

Một trong những nguyên nhân đưa đến tình trạng lộ, mất dữ liệu cá nhân là nhận thức và ý thức bảo vệ thông tin, dữ liệu cá nhân của người dân chưa cao.

Người dân còn có tâm lý chủ quan, chưa coi trọng việc bảo mật thông tin, thậm chí sẵn sàng khai thông tin, dữ liệu của mình để lấy tiện ích các dịch vụ.

Cùng với đó, nhiều cơ quan, tổ chức, doanh nghiệp chưa có biện pháp bảo vệ chặt chẽ, tương xứng trong quá trình thu thập, khai thác, chuyển giao dữ liệu của khách hàng, hoặc người dùng.

Việc quản lý, kiểm soát thông tin, dữ liệu có nơi, có lúc còn lỏng lẻo, tạo kẽ hở cho việc chiếm đoạt, mua bán trái phép thông tin, dữ liệu cá nhân. Đơn cử như, bên thứ ba hay nhân viên bán thông tin, dữ liệu của khách hàng để trục lợi.

Ngoài ra, lộ lọt dữ liệu cá nhân còn do các nguyên nhân khác như: nhiều công ty công nghệ trong và ngoài nước âm thầm thu thập, khai thác trái phép thông tin, dữ liệu cá nhân của người dùng Việt Nam bằng cách sử dụng phần mềm, công cụ chuyên dụng; các đối tượng tấn công xâm nhập, sử dụng phần mềm, mã độc để thu thập, khai thác thông tin, dữ liệu cá nhân nhằm thực hiện hành vi vi phạm pháp luật.

“Việc thiếu hành lang pháp lý về bảo vệ thông tin dữ liệu cá nhân cũng đưa đến tình trạng lộ lọt dữ liệu cá nhân phổ biến thời gian qua”, đại diện A05 nhận xét.

Để đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân, đồng thời ngăn chặn các hành vi xâm phạm dữ liệu cá nhân gây ảnh hưởng đến quyền và lợi ích của cá nhân và tổ chức, Chính phủ đã ban hành Nghị định 13 về bảo vệ dữ liệu cá nhân.

Theo đại diện A05, quá trình xây dựng Nghị định 13 kéo dài trong 4 năm, với 3 hội thảo; 8 tọa đàm; lấy ý kiến bằng văn bản của tất cả các bộ, ngành, địa phương; tổ chức hơn 20 cuộc họp, làm việc với các cơ quan đại diện nước ngoài, hơn 30 buổi làm việc với doanh nghiệp nước ngoài; tiếp nhận 1.000 ý kiến đóng góp của các cơ quan, bộ, ngành, doanh nghiệp trong và ngoài nước...

Trong thông tin giới thiệu về Nghị định 13, đại diện A05 cũng nêu rõ 8 nguyên tắc bảo vệ dữ liệu cá nhân, đó là: Tuân thủ pháp luật; được biết; đúng mục đích; phù hợp, giới hạn; cập nhật, bổ sung; áp dụng biện pháp bảo vệ; lưu trữ phù hợp; và trách nhiệm tuân thủ.

“Quan điểm xuyên suốt là bảo vệ an ninh mạng phải song hành với quá trình phát triển kinh tế xã hội, tức là đảm bảo cân bằng giữa 2 yếu tố bảo vệ và phát triển”, đại diện A05 khẳng định.