Rò rỉ dữ liệu cá nhân: Những con số và vụ việc đáng báo động

Theo thống kê của Bộ Công an, riêng trong năm 2024, lực lượng chức năng đã ghi nhận hàng chục vụ rao bán dữ liệu cá nhân của người Việt trên các diễn đàn ngầm (dark web), với quy mô từ vài nghìn tới hàng triệu bản ghi.

năm 2024, Việt Nam ghi nhận khoảng 14,5 triệu tài khoản bị rò rỉ dữ liệu, chiếm tới 12% tổng số vụ rò rỉ toàn cầu. Cùng năm, hơn 6.000 vụ lừa đảo mạo danh cá nhân gây thiệt hại ước tính 12.000 tỷ đồng. Một khảo sát cũng cho thấy 66,24% người dùng Internet tại Việt Nam từng bị sử dụng dữ liệu trái phép.

Tội phạm mạng không chỉ dùng email giả mạo, tin nhắn ngân hàng giả, mà còn tận dụng deepfake để tạo hình ảnh, video, giọng nói giống thật gần như tuyệt đối, khiến nạn nhân khó phân biệt và dễ rơi vào bẫy.

Một số vụ việc liên quan đến hệ thống của các doanh nghiệp cung cấp dịch vụ viễn thông, thương mại điện tử, ngân hàng… gây xôn xao dư luận.

Điều đáng nói đó là, nhiều vụ rò rỉ không xuất phát từ tấn công mạng phức tạp, mà bắt nguồn từ sự chủ quan từ chính người dùng: thiết bị lưu trữ không mã hóa, nhân viên vô tình gửi nhầm email, hoặc thiếu kiểm soát khi hợp tác với đối tác thứ ba.

Trước thực trạng hàng triệu tài khoản Việt Nam bị rò rỉ, các vụ giả mạo, lừa đảo tinh vi gia tăng, cả người dùng lẫn doanh nghiệp cần chủ động hành động để bảo vệ “tài sản số” của mình.

Theo ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế của Hiệp hội An ninh mạng quốc gia, trong bối cảnh dữ liệu cá nhân trở thành “tài sản số” có giá trị thương mại và tội phạm mạng ngày càng tinh vi, người dùng và cả doanh nghiệp đều cần phải có sự quan tâm đúng mức dành cho dữ liệu cá nhân.

Người dùng: Không chia sẻ quá mức trên mạng xã hội

Ông Vũ Ngọc Sơn cho hay, những thông tin tưởng chừng vô hại như ngày sinh, trường học, ảnh con cái… đều có thể bị khai thác để phục vụ các hành vi tấn công.

Cảnh giác với các hình thức giả mạo: Deepfake, giả danh người thân, nhân viên ngân hàng, cơ quan nhà nước để chiếm đoạt thông tin hoặc tiền đang gia tăng mạnh.

Sử dụng công cụ bảo mật đúng cách: Bật xác thực hai yếu tố (2FA), sử dụng mật khẩu mạnh, thay đổi định kỳ, và cập nhật phần mềm/ứng dụng thường xuyên.

Tôn trọng quyền riêng tư: Không chỉ bảo vệ mình, mỗi cá nhân còn nên có ý thức bảo vệ thông tin của người khác, đặc biệt nhóm người yếu thế như người già, trẻ em khi đăng tải, chia sẻ nội dung, hình ảnh lên mạng.

Tăng cường nâng cao nhận thức an ninh mạng, vì công nghệ có thể được cập nhật, nhưng con người mới là “tường lửa” mạnh nhất hay yếu nhất tùy theo nhận thức và hành vi.

Doanh nghiệp: 5 nguyên tắc vàng bảo vệ dữ liệu

Với doanh nghiệp, theo ông Vũ Ngọc Sơn, xác định rõ loại dữ liệu cá nhân đang thu thập: Phân loại dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm theo quy định pháp luật, luôn đặt câu hỏi trước khi thực hiện thu thập dữ liệu về việc dữ liệu này có thực sự cần thiết để thu thập không?

Tuyệt đối tuân thủ các quy định pháp lý về bảo vệ dữ liệu: Nắm rõ và thực hiện các quy định tại Luật, có chính sách bảo mật minh bạch và thông báo rõ ràng cho khách hàng khi thu thập dữ liệu.

Thiết lập hệ thống bảo mật kỹ thuật và quy trình nội bộ: Giám sát an ninh mạng SOC 24/7, triển khai các biện pháp đảm bảo an ninh mạng, rà soát các lỗ hổng và cập nhật bản vá. Mã hóa dữ liệu trong quá trình truyền tải, hạn chế, phân quyền truy cập: chỉ những nhân sự cần thiết mới được truy cập dữ liệu cá nhân. Áp dụng các biện pháp đảm bảo an ninh dữ liệu hiệu quả.

Đào tạo nhân viên về bảo vệ dữ liệu: Tổ chức các buổi tập huấn về an toàn thông tin, nhận thức bảo mật, trong đó phổ biến quy định nội bộ nghiêm ngặt về xử lý dữ liệu, không cho phép sử dụng thiết bị cá nhân để lưu trữ thông tin khách hàng. Cử cán bộ chuyên trách về đảm bảo dữ liệu theo quy định.

Xây dựng kịch bản và quy trình ứng phó sự cố dữ liệu: Có kế hoạch phản ứng khi bị rò rỉ dữ liệu, trong đó tối thiểu cần thông báo cho người dùng, khắc phục hậu quả, hợp tác với cơ quan chức năng.

Có thể nói, nguy cơ rò rỉ dữ liệu cá nhân ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi. Để bảo vệ hiệu quả, cần sự đồng hành của mọi bên: người dùng nâng cao cảnh giác, doanh nghiệp đầu tư bảo mật, cơ quan quản lý siết chặt giám sát.

Chỉ khi tất cả cùng hành động, “tài sản số” của mỗi cá nhân và tổ chức mới được bảo vệ vững chắc trước những làn sóng tấn công mạng ngày càng phức tạp.

Phạm Lê