Hàng trăm tệp dữ liệu của hàng chục triệu người Việt bị rao bán
Ngày 23/11, Cục An ninh mạng và phòng chống tội phạm công nghệ cao (Bộ Công an) phối hợp với NCS, EY Việt Nam tổ chức hội thảo hướng dẫn và giải đáp thắc mắc về Nghị định bảo vệ dữ liệu cá nhân (Nghị định 13).
Nhấn mạnh dữ liệu là nguồn nguyên liệu số quan trọng và quý báu trong kỷ nguyên thông tin, Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) cũng cho biết: Hoạt động tấn công mạng để đánh cắp thông tin, dữ liệu, bí mật nhà nước diễn ra phổ biến trên nhiều lĩnh vực.
Tình trạng mua bán, khai thác trái phép thông tin, dữ liệu cá nhân diễn ra tràn lan trên không gian mạng Việt Nam, nhất là các trang mạng xã hội, diễn đàn ngầm, hội nhóm kín... Hàng trăm tệp dữ liệu của hàng chục triệu người Việt Nam được phân loại chi tiết để rao bán.
Các đối tượng phân loại dữ liệu của người dùng Việt Nam theo thu nhập, độ tuổi, ngành nghề, thuộc nhiều lĩnh vực tài chính, ngân hàng, y tế, giáo dục, bảo hiểm...
“Trong các tệp dữ liệu được rao bán, có đầy đủ thông tin cơ bản và nhạy cảm của người dùng như họ tên, ngày tháng năm sinh, địa chỉ, email, điện thoại, số căn cước công dân, chứng minh nhân dân, tài khoản ngân hàng...”, ông Nguyễn Đình Đỗ Thi cho hay.
Đại diện A05 cũng chỉ rõ có nhiều nguyên nhân dẫn đến tình trạng lộ dữ liệu cá nhân. Trong đó có việc nhiều cơ quan, tổ chức, doanh nghiệp chưa có biện pháp bảo vệ chặt chẽ, tương xứng trong quá trình thu thập, khai thác, chuyển giao dữ liệu của khách hàng hoặc người sử dụng.
Cùng với đó, việc quản lý, kiểm soát thông tin, dữ liệu có nơi, có lúc còn lỏng lẻo, tạo kẽ hở cho việc chiếm đoạt, mua bán trái phép thông tin, dữ liệu cá nhân. Chẳng hạn như việc bên thứ ba hay nhân viên bán thông tin, dữ liệu khách hàng để trục lợi.
“Thiếu hành lang pháp lý về bảo vệ thông tin, dữ liệu cá nhân cũng là một nguyên nhân đưa đến tình trạng lộ, mất dữ liệu cá nhân. Hiện nay, Nghị định 13 mới ban hành, chưa xây dựng Luật bảo vệ dữ liệu cá nhân, còn thiếu các chế tài xử phạt hoặc mức phạt chưa đủ sức răn đe...”, đại diện A05 thông tin thêm.
Lời giải nào để doanh nghiệp tuân thủ quy định bảo vệ dữ liệu cá nhân?
Tại hội thảo, ông Nguyễn Đình Đỗ Thi cũng đã giới thiệu đến các doanh nghiệp, tổ chức về những điểm chính của Nghị định 13 về bảo vệ dữ liệu cá nhân.
Cụ thể, bên cạnh việc làm rõ thêm về đối tượng áp dụng, các khái niệm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân, xử lý dữ liệu cá nhân, sự đồng ý của chủ thể dữ liệu..., ông Thi cũng nhấn mạnh đến 8 nguyên tắc bảo vệ dữ liệu cá nhân, quy định xử lý vi phạm, quyền và nghĩa vụ của chủ thể dữ liệu, yêu cầu với các tổ chức, cá nhân có liên quan đến xử lý dữ liệu cá nhân...
Tuy nhiên, từ thực tế hỗ trợ các đơn vị, ông Robert Trần, Phó Tổng giám đốc, Lãnh đạo dịch vụ an toàn thông tin và rủi ro công nghệ của Công ty TNHH Dịch vụ an toàn thông tin EY Việt Nam nêu ra hàng loạt thách thức chung trong việc tuân thủ quy định bảo vệ dữ liệu cá nhân như: Chưa có mô hình tổ chức, vai trò trách nhiệm trong việc bảo vệ dữ liệu cá nhân; chưa có các hướng dẫn cụ thể về cách thu thập, xử lý và bảo vệ dữ liệu cá nhân trong doanh nghiệp; khó khăn trong quản lý rủi ro từ đối tác, bên thứ ba xử lý dữ liệu cá nhân; hay khó khăn triển khai đánh giá tác động xử lý dữ liệu cá nhân và chuyển dữ liệu ra nước ngoài…
Xem xét ở khía cạnh pháp lý, bà Nguyễn Thị Thu Quỳnh, Chủ nhiệm Công ty Luật EY Việt Nam phân tích những khó khăn các doanh nghiệp có thể gặp trong việc tuân thủ quy định bảo vệ dữ liệu cá nhân, đơn cử như: Chưa có một quy chuẩn chung về các quy định nội bộ cần có để quản lý và đảm bảo tuân thủ về bảo vệ dữ liệu; thiếu nguồn chi phí để bổ nhiệm bộ phận và nhân sự bảo vệ dữ liệu cá nhân; nhân viên chưa có hiểu biết sâu về các quyền và nghĩa vụ của mình với tư cách là chủ thể dữ liệu...
Từ thực tế đó, đại diện EY Việt Nam đề xuất giải pháp xây dựng khung bảo vệ dữ liệu cá nhân để hiểu hơn về các khả năng cần thiết nhằm đáp ứng các yêu cầu về bảo vệ dữ liệu theo Nghị định 13 cũng như các luật bảo vệ dữ liệu cá nhân khác trên thế giới.
Ở góc độ của doanh nghiệp công nghệ, NCS đã cho ra mắt giải pháp NCSOC giám sát an ninh mạng 24/7, với kỳ vọng đưa ra lời giải kỹ thuật cho các doanh nghiệp, tổ chức, nhất là các doanh nghiệp vừa và nhỏ có thể đáp ứng yêu cầu của Nghị định 13 về bảo vệ dữ liệu cá nhân.
Là bộ giải pháp tổng thể gồm từ phần mềm nền tảng, hạ tầng công nghệ đến dịch vụ vận hành, NCSOC giám sát tất cả sự kiện diễn ra trên hệ thống, phân tích, đánh giá để qua đó phát hiện sớm và ngăn chặn nguy cơ tấn công mạng.
Giải pháp giúp các doanh nghiệp có thể phòng, chống nguy cơ bị xâm nhập, cài mã độc gián điệp, lấy cắp cơ sở dữ liệu khách hàng, tài liệu nội bộ, mã hoá dữ liệu quan trọng…
Theo Giám đốc Kỹ thuật Công ty NCS Vũ Ngọc Sơn, với NCSOC, đơn vị có hệ thống quy mô dưới 100 máy chủ sẽ không phải trả phí bản quyền phần mềm và không phải đầu tư hạ tầng máy chủ giám sát, lưu trữ. Các doanh nghiệp sẽ chỉ phải trả phí sử dụng dịch vụ theo các gói cơ bản và nâng cao.
“Chúng tôi mong rằng với việc không thu phí bản quyền và hạ tầng, sản phẩm mới này nhanh chóng tiếp cận được số lượng lớn các khách hàng doanh nghiệp ở phân khúc vừa và nhỏ tại Việt Nam”, ông Vũ Ngọc Sơn chia sẻ.