Doanh nghiệp lớn cũng lộ lọt dữ liệu

Dữ liệu cá nhân ngày càng trở thành tài sản giá trị và cũng là đích nhắm của tội phạm. Tình trạng lộ lọt dữ liệu không chỉ diễn ra ở Việt Nam mà còn diễn ra ở toàn cầu, nạn nhân bao gồm cả các tập đoàn lớn hàng đầu thế giới.

Đơn cử, tháng 9/2023, Microsoft đã bị lộ lọt 38 terabyte dữ liệu. Tháng 11/2023, Samsung Electronics thông báo bị lộ lọt thông tin khách hàng mua sắm trong vòng 1 năm của Samsung UK Online. Cách đây vài ngày, Toyota thông báo Bộ phận tài chính của hãng bị lộ lọt dữ liệu khách hàng, nhóm tấn công đòi 8 triệu USD tiền chuộc nếu không sẽ công khai dữ liệu trên mạng. Trước đó, tháng 4/2021, thông tin của 500 triệu người dùng facebook bị rao bán. 

Trung bình mỗi phút trôi qua, thế giới có 2,9 triệu người trở thành nạn nhân của tội phạm mạng, gây thiệt hại từ 600-900 tỷ USD. Còn ở Việt Nam, con số thiệt hại là hàng trăm tỷ đồng

Tại nước ta, theo Bộ Công an, hiện nay tình trạng mua bán dữ liệu cá nhân diễn ra khá nghiêm trọng, trong đó có 2 yếu tố chính là tội phạm đột nhập và đánh cắp dữ liệu cá nhân. Trong năm 2023, Bộ Công An đã phải cảnh báo, xử lý hàng chục triệu các vụ việc có liên quan đến xâm phạm cơ sở dữ liệu cá nhân. Bộ Thông tin và Truyền thông, mỗi tháng đã ghi nhận hàng nghìn cuộc tấn công mạng hướng vào Việt Nam.

"Trung bình mỗi phút trôi qua, thế giới có 2,9 triệu người trở thành nạn nhân của tội phạm mạng, gây thiệt hại từ 600-900 tỷ USD. Còn ở Việt Nam, con số thiệt hại là hàng trăm tỷ đồng", Thượng tá Nguyễn Đình Đỗ Thi, Phó trưởng Phòng tham mưu (Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an) cho biết.

Chia sẻ tại Hội thảo Hướng dẫn và giải đắc thắc mắc về Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân diễn ra sáng 23/11, ông Nguyễn Đình Đỗ Thi cho biết thêm, hiện Việt Nam có khoảng 72 triệu người dùng Facebook và 74 triệu người dùng Google. Đây là nguồn dữ liệu rất lớn mà tội phạm mạng nhắm đến. Tình trạng đánh cắp thông tin diễn ra phổ biến.

Bộ Công an cùng các bộ, ngành liên quan đã nhiều lần cảnh báo về các hình thức phạm tội, như: mạo danh nhân viên điện lực, ngân hàng, công an, tòa án… để chiếm đoạt thông tin cá nhân yêu cầu chuyển tiền; sử dụng trạm BTS giả; tổ chức đánh bạc qua mạng; sử dụng công nghệ Deepfake giả cả giọng nói, gương mặt, trang phục để lừa đảo.

Một trong những nguyên nhân khiến tội phạm mạng diễn biến phức tạp là do tình trạng mua bán dữ liệu cá nhân phổ biến. Một số trang mạng công khai hoặc nhóm kín, rao bán hàng trăm nhóm dữ liệu về y tế giáo dục, bảo hiểm, ngân hàng của công dân Việt Nam.

Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân đã có hiệu lực từ ngày 1/7/2023, nhưng thực tế, ý thức bảo vệ thông tin cá nhân của chính người sử dụng chưa cao. Cùng với đó, các tổ chức, doanh nghiệp chưa áp dụng bảo vệ dữ liệu; nhân viên chuyển công tác bán dữ liệu.

Thống kê của IBM cho hay, thời gian từ khi lộ lọt dữ liệu đến khi doanh nghiệp phát hiện ra vụ việc hiện nay là khoảng 204 ngày, thời gian xử lý sự cố lộ lọt dữ liệu là 73 ngày. Như vậy, tổng cộng doanh nghiệp mất gần 1 năm kể từ khi doanh nghiệp lộ lọt dữ liệu đến khi xử lý xong. Việc lộ dữ liệu không chỉ gây tổn thất thời gian, kinh tế mà còn làm tổn hại uy tín cho doanh nghiệp, chưa kể các rắc rối pháp lý.

Theo ông Vũ Ngọc Sơn, Giám đốc Công nghệ, Công ty cổ phần Công nghệ an ninh mạng Quốc gia Việt Nam (NCS), mức độ thiệt hại của một vụ lộ lọt dữ liệu ở khu vực ASEAN là 3 triệu USD/vụ, ở Mỹ là 9 triệu USD/vụ.

Giải pháp nào cho doanh nghiệp nhỏ và vừa

Cùng với sự gia tăng của các mối đe dọa về an ninh mạng, về quyền riêng tư, bảo vệ dữ liệu cá nhân đang trở thành mối quan tâm hàng đầu không chỉ của các cá nhân mà còn của cả các doanh nghiệp.

Trên thực tế, bảo vệ dữ liệu cá nhân còn là quy định bắt buộc mà doanh nghiệp phải tuân thủ. Nghị định 13/2023/NĐ-CP có hiệu lực từ 1/7/2023 đã yêu cầu tất cả tổ chức, doanh nghiệp phải có hành vi lưu trữ thông tin khách hàng phải thực hiện đầy đủ các biện pháp quản lý và kỹ thuật nhằm bảo vệ dữ liệu cá nhân của khách hàng. Tuy vậy, đến nay, nhiều doanh nghiệp vẫn lúng túng trong việc triển khai các giải pháp quản lý và kỹ thuật nhằm tuân thủ Nghị định 13 này.

Ông Robert Trần, Phó tổng giám đốc, Công ty TNHH Dịch vụ An toàn thông tin EY Việt Nam nhấn mạnh, bảo mật dữ liệu sẽ giúp doanh nghiệp đạt được và duy trì sự tin cậy của khách hàng. Tuy nhiên, hiện nay, rất nhiều doanh nghiệp lúng túng trong việc tuân thủ Nghị định 13, bao gồm lập kế hoạch, báo cáo tác động, thông báo và thu đồng ý của chủ thể dữ liệu; xây dựng khung chính sách nội bộ về bảo vệ dữ liệu, tìm kiếm nhân sự… Nhìn chung, doanh nghiệp phải mất nhiều thời gian rà soát để tuân thủ Nghị định 13, chưa kể tốn kém chi phí.

Ông Vũ Ngọc Sơn, Giám đốc Công nghệ, Công ty cổ phần Công nghệ an ninh mạng Quốc gia Việt Nam (NCS)

Theo ông Vũ Ngọc Sơn, khó khăn với doanh nghiệp vừa và nhỏ nước ta là chi phí đầu tư cho phần mềm, hạ tầng công nghệ và nhân sự vận hành khá tốn kém. Ở nhiều nước, chi phí phần mềm đảm bảo an ninh mạng tối thiểu 2-3 tỷ đồng/năm.  Chi phí này với doanh nghiệp vừa và nhỏ nước ta là quá sức, chưa kể đến nhân sự vận hành”, ông Sơn nói.  

Đáng mừng là hiện nay, một số doanh nghiệp an ninh mạng đã đưa ra nhiều giải pháp kỹ thuật phù hợp với khả năng tài chính của doanh nghiệp nhỏ và vừa trong nước. Theo đó, doanh nghiệp có thể dễ dàng tuân thủ quy định về bảo vệ dữ liệu cá nhân của Nghị định 13 mà không phải quá đau đầu bài toán kinh tế.

Đơn cử, mới đây, NCS đã ra mắt Giải pháp NCSOC giám sát an ninh mạng 24/7 cho doanh nghiệp vừa và nhỏ. Đây là giải pháp tổng thể bao gồm từ phần mềm nền tảng, hạ tầng công nghệ đến dịch vụ vận hành, cho phép kết nối tất cả trong một, giám sát toàn bộ các thành phần trong hệ thống mạng, từ các thiết bị máy chủ, máy trạm đến các giải pháp an ninh như diệt virus, tường lửa… Giải pháp giúp các doanh nghiệp, tổ chức có thể phòng, chống nguy cơ bị xâm nhập, cài mã độc gián điệp, lấy cắp cơ sở dữ liệu khách hàng, tài liệu nội bộ, mã hoá dữ liệu quan trọng…

Ông Vũ Ngọc Sơn, Giám đốc Công ty NCS cho biết, với giải pháp này, các thiết bị của khách hàng không cần phải có kết nối ra Internet vẫn có thể được bảo vệ đồng thời tận dụng được năng lực tính toán của máy chủ trung tâm để triển khai các công nghệ về dữ liệu lớn (BigData) và đặc biệt là công nghệ trí tuệ nhân tạo AI giúp tự động tìm ra các mối nguy hiểm một cách nhanh nhất.  

Đặc biệt, với NCSOC, khách hàng có hệ thống quy mô dưới 100 máy chủ sẽ không phải trả phí bản quyền phần mềm và không phải đầu tư hạ tầng máy chủ giám sát, lưu trữ.