Doanh nghiệp, người lao động cần làm gì để bảo vệ dữ liệu cá nhân?

Đường dây mua bán trái phép 56 triệu thông tin, dữ liệu cá nhân

Một trong những vụ án tiêu biểu gần đây là vụ việc lực lượng Công an TP. Huế phối hợp với Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an triệt phá đường dây mua bán trái phép dữ liệu cá nhân lên đến 56 triệu thông tin cá nhân của công dân trên toàn quốc. Đây là một minh chứng rõ ràng cho mức độ tinh vi và nguy hiểm của hoạt động này.

3 nghi phạm (giữa) trong đường dây mua bán trái phép 56 triệu dữ lliệu, thông tin cá nhân vừa được PA05 Công an TP. Huế phối hợp với đơn vị nghiệp vụ Bộ Công an triệt phá. Ảnh: CACC

Cụ thể qua việc nắm tình hình trên không gian mạng, bằng các biện pháp nghiệp vụ, lực lượng của Phòng An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao - Công an TP. Huế (PA05) vừa đã phát hiện một đường dây nghi vấn mua bán trái phép dữ liệu cá nhân.

Sau quá trình điều tra, truy xét các nghi phạm, Cơ quan An ninh điều tra - Công an TP. Huế đã củng cố hồ sơ, tiến hành bắt giữ một số nghi phạm liên quan; khởi tố vụ án và khởi tố 03 đối tượng về tội “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”, quy định tại Điều 288, Bộ luật Hình sự. Hành vi của các đối tượng gây ảnh hưởng nghiêm trọng đến công tác quản lý Nhà nước về trật tự xã hội, tạo điều kiện hoặc tiếp tay để các đối tượng khác thực hiện hành vi phạm tội khác, cần phải xử lý nghiêm theo quy định. Hiện nay vụ án đang được tiếp tục điều tra mở rộng, đưa những kẻ phạm pháp ra trước ánh sáng pháp luật.

Những thời điểm thường xảy ra đánh cắp, mua bán dữ liệu cá nhân

Theo các chuyên gia tình trạng rò rỉ và mua bán dữ liệu cá nhân thường xảy ra mùa cao điểm mua sắm trực tuyến. Các chiến dịch giảm giá lớn như Black Friday, Tết Nguyên đán, 11/11 hoặc 12/12... thường là thời điểm hacker tăng cường tấn công để đánh cắp thông tin thẻ tín dụng, địa chỉ và số điện thoại của khách hàng.

Một trong các nghi phạm của đường dây mua bán trái phép dữ liệu cá nhân bị Công an tỉnh Thừa Thiên Huế bắt, khởi tố hồi năm 2020. Ảnh: CACC

Thứ hai, khi doanh nghiệp thực hiện tuyển dụng quy mô lớn. Nhiều công ty thu thập dữ liệu ứng viên nhưng không bảo vệ tốt hệ thống, tạo cơ hội cho tội phạm mạng truy cập vào kho dữ liệu. Hoặc khi doanh nghiệp thực hiện chiến dịch tiếp thị số. Các công ty thu thập lượng lớn thông tin khách hàng nhưng không có chính sách bảo mật nghiêm ngặt, tạo điều kiện cho rò rỉ dữ liệu.

Khi bị đánh cắp, mua bán trái phép dữ liệu, đối với doanh nghiệp dễ dẫn đến mất uy tín và niềm tin của khách hàng. Đồng thời bị thiệt hại tài chính khi mà các cuộc tấn công mạng có thể khiến công ty mất hàng tỷ đồng để khắc phục hậu quả. Doanh nghiệp cũng gặp nguy cơ bị cạnh tranh không lành mạnh... Riêng đối với người lao động, khi dữ liệu cá nhân bị đánh cắp có thể được sử dụng để giả mạo danh tính, lừa đảo tài chính; bị quấy rối, đe dọa.

Giải pháp bảo vệ dữ liệu cá nhân và doanh nghiệp

Theo thượng tá Mai Văn Toàn, Trưởng PA05 Công an TP. Huế, người dùng nên thường xuyên thay đổi mật khẩu, sử dụng xác thực hai yếu tố, cẩn thận khi chia sẻ thông tin cá nhân cho người khác. Cần kiểm tra, xác thực thông tin khi có yêu cầu từ những người tự xưng là cán bộ cơ quan nhà nước, nhân viên các ngân hàng, nhà mạng... đề nghị cung cấp thông tin cá nhân.

Cùng với đó các đơn vị, tổ chức có lưu trữ, quản lý dữ liệu thông tin cá nhân của người dùng cần chấp hành nghiêm các quy định của pháp luật về bảo vệ dữ liệu cá nhân; triển khai biện pháp bảo vệ, khai thác, sử dụng thông tin cá nhân theo đúng quy định của pháp luật; khi phát hiện các nguy cơ, dấu hiệu về các loại tội phạm lợi dụng không gian mạng xâm phạm quyền và lợi ích hợp pháp thì kịp thời báo ngay lực lượng chức năng gần nhất để được giải quyết.

Ngoài ra, chủ các tài khoản cần tránh sử dụng cùng một mật khẩu cho nhiều tài khoản; tăng các lớp bảo mật như bật xác thực hai yếu tố (2FA); không cung cấp thông tin dữ liệu cho người lạ; hạn chế công khai thông tin cá nhân trên mạng xã hội; cẩn trọng với những link lạ vì gắn mã độc...

Các biện pháp doanh nghiệp cần thực hiện

5 năm trước, PA05 phối hợp với một số phòng ban nghiệp vụ của Công an tỉnh Thừa Thiên Huế (nay là TP. Huế) cũng đã triệt phá đường dây mụa bán trái phép dữ liệu cá nhân do một nhóm đối tượng “nam thanh nữ tú” ở Huế và Thái Nguyên kết hợp gây án. Từ tháng 11/2020 đến thời điểm bị bắt, các đối tượng đã mua và quản lý khoảng 6,2 triệu thông tin dữ liệu cá nhân trên cả nước với tổng số tiền khoảng 720 triệu đồng. Riêng tại Huế, nhóm này cũng đã thu thập 75.685 thông tin dữ liệu cá nhân, để phục vụ việc mua bán cho người có nhu cầu, thu lợi bất chính hơn 2,3 tỷ đồng.

Những dữ liệu, thông tin cá nhân được thu thập, mua bán trái phép để trục lợi tiền tỷ của nhóm đối tượng thanh niên ở Huế và Thái Nguyên được PA05 Huế triệt phá cách đây 5 năm. Ảnh: CACC

Đáng chú ý, các thành viên của đường dây này sử dụng tài khoản truy cập trái phép vào mạng riêng ảo (VPN) nội bộ của một công ty tài chính lớn, để thu thập trạng thái hồ sơ khách hàng đã từng vay tại ngân hàng, sau đó dùng thông tin này tiến hành các hoạt động tội phạm.

Đáng nói là các bị can trong vụ này này là nhân viên của một số tổ chức, doanh nghiệp có liên quan đến thông tin, dữ liệu cá nhân về khách hàng do mình quản lý. Lợi dụng quyền quản trị, truy cập hệ thống được cấp và sự buông lỏng quản lý của cấp trên, các bị can đã chiếm đoạt dữ liệu cá nhân khách hàng để trích xuất dữ liệu trái phép và công khai rao bán trong thời gian dài...

Video clip sào huyệt của một nhóm tội phạm khai thác, mua bán trái phép dữ liệu cá nhân từng được PA05 Công an TP. Huế triệt phá hồi năm 2020.

Theo các chuyên gia an ninh mạnh, doanh nghiệp là mục tiêu lớn của tội phạm mạng, vì vậy cần xây dựng chính sách bảo mật dữ liệu chặt chẽ, trong đó quy định rõ ràng về việc thu thập, lưu trữ và sử dụng dữ liệu cá nhân; mã hóa dữ liệu quan trọng, hạn chế truy cập trái phép và bảo vệ thông tin khỏi bị đánh cắp; đào tạo nhân viên về an ninh mạng tạo nhân lực nhận diện và phản ứng nhanh với các mối đe dọa; sử dụng phần mềm bảo mật tiên tiến; giám sát và kiểm tra bảo mật định kỳ để phát hiện, khắc phục lỗ hổng bảo mật; khi phát hiện dấu hiệu bị đánh cắp dữ liệu, nhất là cấp báo với cơ quan an ninh mạng.

Vấn nạn đánh cắp, mua bán dữ liệu cá nhân tại Việt Nam đang ngày càng trở nên tinh vi, gây ra nhiều hệ lụy nghiêm trọng đối với cả doanh nghiệp và người lao động. Việc bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm của doanh nghiệp mà còn là trách nhiệm của từng cá nhân trong môi trường số.