Những thách thức bảo vệ dữ liệu cá nhân trên không gian mạng tại Việt Nam

Công nghệ thông tin ngày càng lan tỏa vào cuộc sống con người, người dùng càng cung cấp nhiều dữ liệu, dữ liệu cá nhân hơn lên không gian mạng. Các doanh nghiệp ngày càng sử dụng nhiều sản phẩm, dịch vụ phân tích dữ liệu khách hàng, dữ liệu cá nhân để tối đa hóa lợi nhuận. Mức độ phổ biến của dữ liệu trên không gian mạng tỷ lệ thuận với hậu quả xảy ra khi dữ liệu không được bảo vệ tương xứng, đúng cách.

Việt Nam hiện có gần 80 triệu người sử dụng Internet, chiếm tới hơn 2/3 dân số, đứng thứ 7 thế giới. Bên cạnh sự phát triển, các nguy cơ an ninh dữ liệu vẫn tiếp tục tồn tại, công tác bảo vệ đối mặt nhiều thách thức.

Thách thức cho công tác bảo vệ dữ liệu

Tại hội thảo "An ninh dữ liệu trên không gian mạng" diễn ra chiều 16/7 tại Hà Nội, ông Lê Quang Hà - Phó Giám đốc phụ trách công nghệ Công ty An ninh mạng Viettel đã thống kê, theo số liệu từ Viettel Threat Intelligence trong năm 2024 Việt Nam đã có đến 10 vụ tấn công mã hoá dữ liệu, 56 tổ chức có dấu hiệu bị tấn công Ransomware phase 1. Cùng với đó có đến 46 vụ lộ lọt, rao bán dữ liệu, 13 triệu bản ghi dữ liệu bị rao bán, 12,3GB mã nguồn bị lộ lọt.

Hệ thống cũng ghi nhận có 495.000 cuộc tấn công từ chối dịch vụ (Ddos) vào các hệ thống thông tin; 2.236 tên miền lừa đảo trực tuyến, trên 17.600 lỗ hổng an toàn thông tin mới và trên 2.130 địa chỉ IP kết nối đến các tên miền điều khiển APT (từ chối dịch vụ). 7 nhóm tấn công APT hoạt động tại Việt Nam với mục tiêu là các tổ chức chính phủ, tài chính, năng lượng, hạ tầng trọng yếu…

Công ty An ninh mạng Viettel cho biết, tới 74% các vụ lộ lọt dữ liệu liên quan đến các yếu tố con người trong nội bộ tổ chức (bởi chính người dùng là nhân viên, quản trị) bắt nguồn từ có thể do vô tình, hoặc cố ý, hoặc bị tấn công bàn đạp; 56% các sự cố từ nội bộ do người dùng vô ý và 26% do tội phạm mạng hoặc người dùng chủ ý xấu trong tổ chức.

Điều đó đòi hỏi các tổ chức, doanh nghiệp và người dùng phải chủ động phòng, chống tấn công mạng, bảo vệ dữ liệu quan trọng, có biện pháp ngăn chặn hành vi trục lợi hoặc vô ý xâm phạm dữ liệu cá nhân, tổ chức.

Ông Hà cũng nhấn mạnh 3 thách thức về an toàn trên không gian mạng mà Việt Nam đang gặp phải bao gồm: Đặc thù không gian mạng và các công nghệ mới; Việc tuân thủ chính sách, quy định pháp luật; Nhận thức và nguồn nhân lực.

Theo Trung tướng Nguyễn Minh Chính - Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) cho biết, kể từ đầu năm 2024 đến nay đã xảy ra hàng loạt vụ việc tấn công mạng có tính phức tạp, tinh vi nhắm vào các hệ thống trọng yếu của Việt Nam (như tấn công vào hệ thống của VNDirect, PVOil...). Nghiêm trọng nhất là các sự cố lộ lọt dữ liệu và mã hoá dữ liệu, gây thiệt hại lớn cho các tổ chức, người dân.

Đáng chú ý, Bộ Công an ghi nhận tình trạng dữ liệu cá nhân được buôn bán có tổ chức, thậm chí cam kết bảo hành và có khả năng cập nhật. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Hoạt động mua bán qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc; thanh toán qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung "mua bán dữ liệu."

Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

"Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp. Một số công ty được thành lập mới, đầu tư xây dựng và vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận; xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị; phát tán mã độc có chức năng thu thập dữ liệu cá nhân trên môi trường mạng; tổ chức tấn công, xâm nhập hệ thống máy tính của cơ quan, tổ chức, doanh nghiệp để chiếm đoạt dữ liệu cá nhân," ông Nguyễn Minh Chính chia sẻ.

Trong khi đó, việc quản trị dữ liệu nói chung còn nhiều hạn chế, như trung tâm dữ liệu không được thường xuyên kiểm tra, bảo trì, nâng cấp dẫn đến nguy cơ không bảo đảm an ninh, an toàn hệ thống. Nhân lực vận hành, quản trị hệ thống thông tin "vừa thiếu vừa yếu." Nhiều đơn vị thuê hạ tầng công nghệ thông tin tiềm ẩn rủi ro về an toàn do chưa thực sự quản lý, kiểm soát được dữ liệu trên hạ tầng của doanh nghiệp.

Tình trạng mua bán dữ liệu cá nhân cũng diễn ra phổ biến, công khai, gồm cả dữ liệu thô và dữ liệu đã qua xử lý. Các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác chuyển giao, bán lại cho các đối tác khác. Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

Trong đó, với công tác bảo vệ dữ liệu cá nhân, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Nhiều người dùng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi dữ liệu.

Giải "bài toán" bảo vệ dữ liệu trên không gian mạng

Với góc nhìn của doanh nghiệp, ông Lê Quang Hà nhấn mạnh cần tăng cường hướng dẫn và kiểm tra triển khai tuân thủ chính sách, pháp luật nhà nước trong lĩnh vực an toàn an ninh mạng, bảo vệ dữ liệu.

"Cần đánh giá, xếp hạng các đơn vị, tổ chức thực thi tốt và các đơn vị cung cấp sản phẩm dịch vụ an toàn thông tin tốt làm cơ sở khuyến nghị cho các tổ chức, cá nhân sử dụng. Tăng cường truyền thông, nâng cao nhận thức cho người dùng trên không gian mạng về kiến thức, kỹ năng, các nguy cơ và pháp luật trong lĩnh vực an toàn an ninh mạng."

Ông Hà cũng nhấn mạnh việc các tổ chức, doanh nghiệp nên tăng cường chia sẻ thông tin, phát hiện dữ liệu lộ lọt, nguy cơ an ninh mạng mới. Mở rộng hợp tác quốc tế trong điều tra, ngăn chặn và xử lý nguy cơ và sự cố an toàn thông tin, an ninh mạng. Hình thành mạng lưới các đơn vị và chuyên gia an toàn thông tin, sẵn sàng ứng phó với các sự cố lớn.

Ông Nguyễn Lê Thành - Phó Tổng Giám đốc Công nghệ tập đoàn VNG cũng đưa ra kiến nghị cần áp dụng chính sách bắt buộc công bố sự cố rò rỉ dữ liệu. Đồng thời, Chính phủ cần đầu tư vào ngành an ninh mạng như cấp kinh phí nghiên cứu an ninh tại các trường đại học và học viện, thúc đẩy nghiên cứu và phát triển công nghệ, sản phẩm và dịch vụ an ninh mạng hay khuyến khích các công ty đầu tư vào an ninh mạng, ưu đãi giảm chi phí đầu tư giải pháp an ninh mạng cho các doanh nghiệp vừa và nhỏ.

Còn theo Thượng tá Lê Xuân Thuỷ - Giám đốc Trung tâm An ninh mạng Quốc gia (A05) cho biết, cần thống nhất vai trò điều phối và ứng phó trước những cuộc tấn công mạng. A05 với vai trò cơ quan thực thi pháp luật, là đầu mối hợp tác quốc tế về an ninh mạng và đấu tranh tội phạm mạng có tiềm lực để thực hiện vai trò điều phối.

Thượng tá Lê Xuân Thuỷ cũng nhấn mạnh, khi có sự cố cần báo cáo ngay cho cơ quan chức năng và theo sự điều phối ứng phó của cơ quan chức năng.

Để điều phối tốt cần tập hợp chuẩn bị sẵn lực lượng, bên cạnh các cơ quan nhà nước dưới sự chỉ đạo của Ban chỉ đạo An toàn an ninh mạng Quốc gia đứng đầu là Thủ tướng Chính phủ, kêu gọi các chuyên gia, tổ chức doanh nghiệp tư nhân… liên minh lại, tình nguyện sẵn sàng tham gia ứng phó tấn công mạng, bảo vệ hạ tầng trọng yếu của đất nước, đặc biệt là trong các tình huống có chiến dịch tấn công mạng vào Việt Nam hay tệ hơn là chiến tranh mạng.

Cũng trong khuôn khổ Hội thảo An ninh dữ liệu trên không gian mạng, Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế (Hiệp hội An ninh mạng Quốc gia) đã đề xuất xây dựng nền tảng chia sẻ thông tin an ninh mạng.

Mục tiêu của nền tảng là kết nối, chia sẻ thông tin an ninh mạng, giúp chủ động ứng phó sự cố, theo dõi các công cụ, kỹ thuật tấn công mới của tội phạm, cảnh báo sớm về các hiểm họa, hỗ trợ ra quyết định chiến lược, tăng cường các biện pháp bảo vệ. Giải pháp sẽ đóng vai trò quan trọng trong các hệ thống an ninh mạng, giúp các tổ chức bảo vệ tài sản số và duy trì an toàn, an ninh dữ liệu./.