Bảo vệ dữ liệu cá nhân yếu, tội phạm mạng ngày càng gia tăng
Thượng tá Nguyễn Đình Đỗ Thi- Phó trưởng Phòng tham mưu- Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) cho biết, trung bình mỗi phút trôi qua, thế giới có 2,9 triệu người trở thành nạn nhân của tội phạm mạng, gây thiệt hại từ 600-900 tỷ USD. Còn ở Việt Nam, con số thiệt hại là hàng trăm tỷ đồng.
Một vụ rao bán thông tin cá nhân trên mạng
Lộ lọt thông tin cá nhân diễn ra phổ biến
Chia sẻ tại tọa đàm Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân diễn ra sáng 23-11, ông Nguyễn Đình Đỗ Thi cho biết, hiện Việt Nam có khoảng 72 triệu người dùng Facebook và 74 triệu người dùng Google. Đây là nguồn dữ liệu rất lớn mà tội phạm mạng nhắm đến. Tình trạng đánh cắp thông tin diễn ra phổ biến.
Theo Thượng tá Nguyễn Đình Đỗ Thi, tội phạm mạng có “muôn hình vạn trạng” cách thức hoạt động. Bộ Công an cùng các Bộ ngành liên quan đã nhiều lần cảnh báo về các hình thức này như: mạo danh nhân viên điện lực, ngân hàng, công an, tòa án… để chiếm đoạt thông tin cá nhân yêu cầu chuyển tiền; sử dụng trạm BTS giả; tổ chức đánh bạc qua mạng; sử dụng công nghệ Deepfake giả cả giọng nói, gương mặt, trang phục để lừa đảo.
Gần đây nhất là vụ việc 2 cụ bà sinh sống tại TP HCM bị lừa đảo chuyển 12 tỷ đồng; 3 người đàn ông ở Vũng Tàu bị lừa 20 tỷ đồng; một phụ nữ ở Bắc Ninh bị lừa 26,5 tỷ và 1 ông bị lừa 15 tỷ đồng, kẻ lừa đảo đều dùng Deepfake.
Đáng chú ý, tội phạm mạng còn hoạt động hướng tới nhóm nạn nhân cụ thể như phụ nữ để lừa tình, lừa tiền. Theo đó, nhóm tội phạm nhằm vào những phụ nữ có mong muốn lấy chồng là người nước ngoài, thông báo có quà tặng từ nước ngoài gửi về và yêu cầu chuyển thuế, phí. Tại tỉnh Thừa Thiên- Huế, 160 phụ nữ đã mắc bẫy lừa này với tổng số tiền thiệt hại là hơn 400 tỷ đồng.
Tháng 9-2023 tại Đà Nẵng, một vụ việc “hy hữu” diễn ra là đối tượng làm nghề lắp camera an ninh tống tiền 1 gia đình. Theo đó, gia đình này thuê dịch vụ lắp đặt 6 camera an ninh trong nhà, trong đó có phòng ngủ nhưng không đổi mật khẩu.
Nhân viên lắp đặt đã tranh thủ cơ hội này, thu thập thông tin riêng tư của chủ nhà và tống tiền 130 triệu đồng. Chủ nhà dù đã đưa tiền cho đối tượng nhưng vẫn không đạt thỏa thuận nên đã trình báo cơ quan Công an.
Thượng tá Nguyễn Đình Đỗ Thi cho biết, một trong những nguyên nhân khiến tội phạm mạng diễn biến phức tạp là do tình trạng mua bán dữ liệu cá nhân phổ biến. Một số trang mạng công khai hoặc nhóm kín, rao bán hàng trăm nhóm dữ liệu về y tế giáo dục, bảo hiểm, ngân hàng của công dân Việt Nam.
Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân đã có hiệu lực từ ngày 1-7-2023 nhưng thực tế, ý thức bảo vệ thông tin cá nhân của chính người sử dụng chưa cao. Cùng với đó, các tổ chức, doanh nghiệp chưa áp dụng bảo vệ dữ liệu; nhân viên chuyển công tác bán dữ liệu.
Bên cạnh đó, có tình trạng các công ty công nghệ trong và ngoài nước khai thác dữ liệu cá nhân bằng phần mềm chuyên dụng...
Ông Vũ Ngọc Sơn- Giám đốc công nghệ CTCP An ninh mạng quốc gia Việt Nam (NCS) cũng cho biết, hiện nay tình trạng mua bán dữ liệu cá nhân ở Việt Nam rất nghiêm trọng, trong đó có 2 yếu tố chính là tội phạm đột nhập và đánh cắp dữ liệu cá nhân.
“Trong năm 2023, Bộ Công an đã cảnh báo, xử lý nhiều vụ việc có liên quan đến xâm phạm cơ sở dữ liệu cá nhân. Còn theo Bộ TT-TT, mỗi tháng đã ghi nhận hàng nghìn cuộc tấn công mạng hướng vào Việt Nam”- ông Vũ Ngọc Sơn nói.
Doanh nghiệp nhỏ và vừa gặp khó
Điều 3, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân quy định: Dữ liệu cá nhân được xử lý theo quy định của pháp luật; Chủ thể dữ liệu được biết về hoạt động liên quan tới xử lý dữ liệu cá nhân của mình, trừ trường hợp luật có quy định khác;
Dữ liệu cá nhân chỉ được xử lý đúng với mục đích đã được Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân, Bên thứ ba đăng ký, tuyên bố về xử lý dữ liệu cá nhân; Dữ liệu cá nhân thu thập phải phù hợp và giới hạn trong phạm vi, mục đích cần xử lý. Dữ liệu cá nhân không được mua, bán dưới mọi hình thức, trừ trường hợp luật có quy định khác…
Tuy nhiên, theo bà Nguyễn Thị Thu Quỳnh- Chủ nhiệm, Công ty Luật TNHH EY Việt Nam, doanh nghiệp gặp khó khăn khi triển khai Nghị định 13, cụ thể là về đánh giá tác động; Thông báo và thu nhập sự đồng ý của chủ thể sử dụng dữ liệu; Xây dựng khung chính sách nội bộ về bảo vệ dữ liệu; Đào tạo và nâng cao nhận thức nội bộ bối cảnh hiện nay thì nhân viên và chủ thể dữ liệu chưa có biết rõ về quyền và nghĩa vụ của mình; phối hợp với các bên thứ ba (đối tác) trong việc bảo vệ dữ liệu cá nhân; mua bán sáp nhập doanh nghiệp thì dữ liệu cá nhân được xử lý thế nào?
Về vấn đề này, ông Vũ Ngọc Sơn cũng cho rằng, các doanh nghiệp nhỏ và vừa, tổ chức thường không có nhận sự chuyên môn sâu về an ninh mạng, không trang bị đủ các giải pháp để bảo vệ hệ thống thông tin của mình.
“Việt Nam đang thiếu nhiều nhân sự về an ninh mạng nên khi có sự cố thì khó ứng phó, lúng túng không biết làm thế nào để bịt lỗ hổng. Phân tích các cuộc tấn công dữ liệu điển hình đã xảy ra tại Việt Nam, các chuyên gia NCS cho biết, có tới 95% thời gian hacker sẽ dành cho việc dò quét, xâm nhập từng bước vào hệ thống, chỉ khoảng 5% là thời gian thực hiện đánh cắp dữ liệu và phá hoại.
Như vậy, cơ hội để phát hiện và ngăn chặn các cuộc tấn công là rất cao. Nếu được giám sát an ninh mạng 24/7 liên tục, các doanh nghiệp có thể phát hiện từ sớm các dấu hiệu hệ thống bị tấn công, từ đó hoàn toàn có thể ngăn chặn được khả năng xảy ra lộ lọt dữ liệu”- ông Vũ Ngọc Sơn nói.
