Giải pháp phòng, chống nguy cơ vi phạm dữ liệu

Tóm tắt: Vi phạm dữ liệu là hành vi vi phạm pháp luật, đồng thời còn là mối nguy hại gây ra những tổn thất liên quan tới an ninh quốc gia, trật tự an toàn xã hội, nguy cơ mất an ninh mạng, danh tiếng của công ty, quyền riêng tư của người dùng. Do đó, việc bảo vệ dữ liệu là một trong những yêu cầu đặc biệt quan trọng trong thời kỳ chuyển đổi số. Bài viết tập trung phân tích các nguyên nhân của hành vi vi phạm dữ liệu, từ đó, đề xuất các giải pháp hữu hiệu nhằm bảo vệ dữ liệu cho nhiều đối tượng khác nhau.

Abstract: Data breaching is a violation of law that causes serious dangers related to national security, social order and safety, the risk of network insecurity, the reputation of the company, user privacy… Therefore, data protection is one of the important requirements especially in the era of digital transformation. The article focuses on analyzing the causes of data breaches, thereby proposing effective solutions to protect data for many different audiences.

1. Thực trạng vi phạm dữ liệu tại Việt Nam và trên thế giới

Hiện nay, tại Việt Nam và trên thế giới xuất hiện ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các hành vi vi phạm pháp luật. Thách thức trước những dịch vụ mới, sử dụng thông tin cá nhân trên không gian mạng như: Thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến, kinh doanh tiền ảo, kinh doanh đa cấp qua mạng... đã đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, gây nguy cơ mất an ninh mạng. Theo đó, các thông tin, dữ liệu riêng tư của cá nhân, cơ quan, tổ chức, thậm chí là của quốc gia có thể bị lộ lọt, bị khai thác và sử dụng trái phép bởi các đối tượng khác.

Gần đây, cả thế giới chấn động bởi hàng loạt vụ rò rỉ dữ liệu quy mô toàn cầu được công bố. Có tới vài chục triệu tài khoản, thông tin người dùng và các dữ liệu thanh toán quan trọng khác trên các nền tảng công nghệ bị tin tặc đánh cắp. Vụ hồ sơ Panama được đánh giá là bị rò rỉ hồ sơ mật lớn nhất lịch sử khi nhân vật “John Doe” tiết lộ 11,5 triệu văn bản (tương đương 2,6 terabyte dữ liệu) kéo dài từ năm 1977 - 2015 của Công ty Luật Mossack Fonseca; tháng 11/2018, lỗ hổng trên Google+ đã khiến thông tin của 52,5 triệu thành viên bị lộ. Sự cố này khiến Công ty công nghệ Google của Mỹ quyết định “khai tử” Google+ vào tháng 4/2019; tháng 9/2018, Facebook phát hiện lỗ hổng cho phép tin tặc truy cập vào tài khoản người dùng bằng cách thu thập mã thông báo bảo mật (token) của họ làm ảnh hưởng đến khoảng 50 triệu người dùng và sau đó, Facebook cũng buộc 90 triệu tài khoản đăng xuất và đặt lại các mật mã truy cập; một vụ vi phạm dữ liệu nổi tiếng khác đã xảy ra với hãng hàng không British Airways (Anh) trong cùng năm 2018, hacker đã tấn công vào cơ sở dữ liệu khách hàng và lấy được thông tin cá nhân và tài chính của hơn 380.000 khách hàng trong khoảng thời gian 02 tuần. Dữ liệu bị xâm phạm bao gồm tên, địa chỉ, ID email, chi tiết thẻ tín dụng bao gồm thời gian hết hạn và một số mã bảo mật[1].

Ở Việt Nam, mặc dù chưa có một con số thống kê cụ thể về tổn thất do vi phạm dữ liệu trong các doanh nghiệp, nhưng một số vụ tấn công công nghệ cao liên quan đến dữ liệu người dùng cũng được ghi nhận gây chấn động dư luận thời gian qua: Ngày 26/12/2017, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) đã có Văn bản khẩn cấp số 442/VNCERT-DPUWC về việc lộ 1,4 tỷ tài khoản và mật khẩu từ các trang mạng xã hội, dịch vụ trực tuyến (dữ liệu bị lộ lọt lên đến 41GB). Trong đó, có 437.644 tài khoản email (930 tài khoản email của các cơ quan nhà nước); vụ Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 05 triệu email và hàng chục nghìn thông tin thẻ thanh toán như visa, thẻ tín dụng của khách hàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS[2],[3]...

2. Một số nguyên nhân cơ bản dẫn đến tình trạng dữ liệu bị vi phạm

Vi phạm dữ liệu diễn ra thường xuất phát từ hai nguyên nhân chính liên quan đến nội bộ cơ quan, doanh nghiệp và do chủ đích tấn công, khai thác các lỗ hổng của hệ thống từ bên ngoài.

2.1. Nguyên nhân xuất phát từ nội bộ

Trong nhiều doanh nghiệp/tổ chức, dữ liệu nhạy cảm có thể được lưu trữ và nằm rải rác ở nhiều bộ phận và nhiều cán bộ, nhân viên có thể tiếp cận các dữ liệu nhạy cảm, từ đó, do vô tình hay cố ý mà thông tin có thể bị rò rỉ, phát tán qua nhiều con đường như: Việc soạn thảo văn bản có nội dung bí mật trên các máy tính có kết nối internet; sao chép dữ liệu có nội dung bí mật vào các USB không bảo mật, ghi CD, in ấn, chụp màn hình; gửi nội dung hoặc tải tài liệu chứa dữ liệu nhạy cảm ra ngoài qua truy cập web, trên các trang web cá nhân, trang mạng xã hội, blog, lưu trữ trực tuyến, hộp thư cá nhân như Yahoo, Gmail…; nhân viên sử dụng hộp thư của tổ chức, hay qua mạng nội bộ để gửi các dữ liệu nhạy cảm trái phép cho nhau giữa các phòng, ban; tải các tài liệu có nội dung bí mật lên các trang web rao bán tài liệu; nhân viên có thể cố tình rò rỉ dữ liệu cho những người không được ủy quyền bên ngoài tổ chức nhằm trục lợi…

Những hành động vô ý của nhân viên có thể xuất phát từ sự sai sót, chưa nắm được quy trình bảo mật dẫn đến những lỗ hổng trên hệ thống nội bộ hoặc dữ liệu quan trọng của cơ quan, doanh nghiệp và dữ liệu cá nhân được truyền ra ngoài tạo sơ hở cho các đối tượng khác có thể truy cập, đánh cắp. Bên cạnh đó, các hành động chủ ý của nhân viên xuất phát từ các mục đích tư lợi cá nhân xảy ra ở một số cơ quan, doanh nghiệp cũng cần được kiểm soát chặt chẽ trong quy chế làm việc cũng như hệ thống quản lý thông tin của cơ quan, doanh nghiệp đó.

2.2. Nguyên nhân từ các hình thức tấn công bên ngoài

Bên cạnh những nguyên nhân từ nội bộ cơ quan, doanh nghiệp thì các mối nguy cơ rình rập từ các cuộc tấn công có chủ đích từ bên ngoài cũng diễn ra phổ biến với mức độ nghiêm trọng khác nhau:

- Tấn công mạng là hình thức vi phạm dữ liệu phổ biến hiện nay. Hacker sẽ tấn công mạng máy tính hoặc máy chủ của tổ chức để đánh cắp thông tin, thậm chí thay đổi hoặc xóa dữ liệu gây thiệt hại đáng kể. Kỹ thuật tấn công mạng phổ biến nhất là sử dụng phần mềm độc hại lây nhiễm vào hệ thống, từ đó lây lan, đánh cắp thông tin, dữ liệu trên hệ thống rồi truyền ra bên ngoài.

- Tấn công lừa đảo (Social Engineering) là kỹ thuật tác động đến con người, nhằm mục đích lấy được thông tin hoặc đạt được một mục đích mong muốn trên nền tảng là điểm yếu tâm lý, nhận thức sai lầm của con người về việc bảo mật thông tin, sử dụng sự ảnh hưởng và thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công, hoặc thuyết phục nạn nhân thực hiện một hành động nào đó. Với phương thức này, tin tặc chú trọng vào việc tiến hành khai thác các thói quen tự nhiên của người dùng hơn là việc khai thác các lỗ hổng bảo mật của hệ thống. Người dùng không được trang bị đầy đủ về kiến thức bảo mật sẽ là cơ sở để tin tặc thực hiện tấn công.

- Tấn công mã độc (Ransomware) là một trong những mối đe dọa an ninh mạng phát triển nhanh nhất trên toàn cầu. Loại phần mềm độc hại này sẽ mã hóa tất cả các tệp trong hệ thống và nếu không có khóa giải mã, nạn nhân có thể sẽ mất tất cả dữ liệu.

3. Một số giải pháp phòng, chống vi phạm dữ liệu

Bảo vệ dữ liệu là vấn đề sống còn của mỗi cơ quan, doanh nghiệp trong thời đại chuyển đổi số hiện nay. Để giảm thiểu nguy cơ mất an toàn thông tin, loại bỏ cơ bản nguyên nhân rò rỉ dữ liệu trong các hệ thống thông tin quan trọng, cần thực hiện các giải pháp đồng bộ, hội tụ 04 yếu tố là: Con người, quy trình - chính sách, công nghệ và tài chính[4],[5].

Một là, về yếu tố con người: (i) Đối với người dùng trong hệ thống, cần tuyên truyền, nâng cao nhận thức về vấn đề bảo đảm an toàn thông tin; nâng cao kỹ năng, tuân thủ quy trình sử dụng các thiết bị công nghệ thông tin trong hệ thống, nhận biết các nguy cơ, hình thức tấn công mạng. (ii) Đối với cán bộ chuyên trách về an toàn thông tin, cần xây dựng đội ngũ có đủ trình độ để thực hiện nhiệm vụ của đơn vị chuyên trách về an toàn thông tin; tổ chức và tham gia ứng cứu các sự cố về mạng và an toàn thông tin mạng. (iii) Đối với cán bộ quản lý, chủ quản hệ thống thông tin, cần được đào tạo, nâng cao trình độ quản lý các hệ thống thông tin.

Hai là, về xây dựng quy trình - chính sách an ninh mạng và an toàn thông tin: Các cơ quan, doanh nghiệp cần theo dõi và cập nhật các chính sách bảo mật về an ninh mạng để có thể đối phó với các phương thức tấn công mới bao gồm các khâu: (i) Quản lý vận hành, bảo đảm an toàn thông tin cho hệ thống thông tin; (ii) Kiểm tra đánh giá và quản lý rủi ro an toàn thông tin; (iii) Xác định cấp độ an toàn thông tin đối với thông tin, hệ thống thông tin; (iv) Kiểm tra an toàn thông tin thiết bị trước khi đưa vào sử dụng trong các hệ thống thông tin; (v) Quy trình kiểm tra lỗ hổng, điểm yếu an toàn thông tin trên các hệ điều hành, phần mềm ứng dụng; (vi) Phản ứng và xử lý sự cố an toàn thông tin mạng, giám sát và kiểm soát truy cập; (vii) Sao lưu dữ liệu, chia sẻ dữ liệu trên mạng; (viii) Cập nhật mẫu virus mới trong hệ thống mạng nội bộ không kết nối internet; (ix) Kiểm tra và bảo đảm hoạt động liên tục của hệ thống; (x) Gửi, nhận thông tin trên mạng, quản lý người sử dụng, quản trị hệ thống giám sát an toàn thông tin.

Ba là, về sử dụng các giải pháp công nghệ: Cần xây dựng và đầu tư giải pháp theo hướng phân chia thành vùng, an toàn nhiều lớp. Căn cứ theo đặc điểm của từng hệ thống thông tin cụ thể, có thể lựa chọn một số giải pháp công nghệ như: (i) Hệ thống kiểm soát truy cập (NAC - tường lửa giám sát luồng dữ liệu, ngăn chặn kết nối bất hợp pháp); (ii) Hệ thống chống virus (antivirus)/phần mềm độc hại (malware); (iii) Giải pháp công nghệ phát hiện và phòng chống thất thoát dữ liệu (Data Loss Prevention - DLP); (iv) Hệ thống giám sát và bảo vệ người dùng truy cập internet (Web Security Gateway). Các giải pháp này có khả năng giám sát truy cập và hoạt động sử dụng dữ liệu, giám sát chặt chẽ các lượt truy cập trên toàn bộ hệ thống thông tin, tự động phát hiện, định vị và theo dõi các hoạt động trên toàn bộ cơ sở hạ tầng giúp cung cấp một bức tranh toàn cảnh về hệ thống theo thời gian thực.

Thông thường, tin tặc sẽ tiến hành thăm dò mạng lưới trong vòng 06 tháng trước khi thực sự xâm phạm hệ thống. Do đó, hệ thống giám sát cần phải có khả năng phát hiện hành vi bất thường, dự báo hành vi xâm phạm, hoạt động trái phép, cung cấp khả năng bảo vệ tốt hơn thông qua nhiều lớp giám sát và cảnh báo, ngăn chặn từ xa những người dùng có hoạt động khả nghi.

Việc mã hóa các thông tin cá nhân, dữ liệu bí mật hoặc thông tin nhạy cảm là giải pháp tối ưu nhằm bảo vệ dữ liệu khỏi sự truy cập trái phép của những người không được cấp quyền đặc biệt khi dữ liệu bị đánh cắp sẽ không thể đọc được và trở nên vô dụng. Sử dụng mã hóa tại các điểm khác nhau trên hệ thống bao gồm dữ liệu tĩnh và dữ liệu động - có thể cung cấp khả năng bảo vệ đáng kể, chống lại được cả các cuộc tấn công tiên tiến nhất. Các doanh nghiệp nên thực hiện hệ thống phòng thủ nhiều lớp bằng việc mã hóa, chủ động theo dõi và quản lý các mạng lưới.

Bốn là, về nguồn ngân sách cho việc bảo vệ an toàn thông tin: Trong quá trình xây dựng dự án ứng dụng công nghệ thông tin, mức kinh phí khuyến nghị tối thiểu khoảng 10% để đầu tư cho công tác bảo đảm an toàn thông tin mạng.

Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng công nghệ thông tin cao trên thế giới. Cơ sở hạ tầng số phát triển nhanh và cơ sở hạ tầng dữ liệu đang được cải thiện nhằm hướng tới Chính phủ số, nền kinh tế số và đã đạt được nhiều kết quả quan trọng. Tuy nhiên, mức độ ứng dụng công nghệ càng nhiều thì việc cung cấp, sử dụng thông tin cá nhân lại càng lớn, cùng với đó đồng thời nguy cơ làm mất, lộ lọt, thậm chí mua bán, chiếm đoạt thông tin cá nhân, thông tin cơ quan, doanh nghiệp cũng cao. Do đó, vấn đề bảo mật thông tin dữ liệu là bài toán có vai trò quan trọng trong các hoạt động và xu hướng phát triển của mỗi cơ quan, doanh nghiệp cũng như có ý nghĩa với bản thân mỗi người dùng. Theo đó, các giải pháp cần được triển khai đồng bộ nhằm mang lại hiệu quả trong công tác bảo vệ an toàn thông tin nói chung và phòng, chống vấn nạn vi phạm dữ liệu nói riêng.