Trong status trước, tôi đọc thấy ông Chủ tịch Quốc hội nhấn mạnh: Luật quản lý thuế cần qui định chặt chẽ tính bảo mật, tránh rò rỉ thông tin cá nhân. Lời nhắc khiến tôi liên tưởng tới sự cố Vietnam Airlines vừa bị hack dữ liệu nghiêm trọng. Theo tờ Một thế giới, có hơn 7,3 triệu bản ghi khách hàng của Vietnam Airlines bị công khai, có nguy cơ bị sử dụng. Đại diện VNCERT (thuộc A05 - Bộ Công An) đã xác nhận, trên một số diễn đàn của hacker đã có rao bán dữ liệu khách hàng ghi là của Vietnam Airlines.
Trước vụ việc liên quan hàng triệu người, tôi phải tìm chuyên gia về bảo mật nhờ viết giúp bài này.
Mấy hôm trước, ta vừa nghe CIC và trước nữa là hacker tấn công hệ thống dữ liệu ngân hàng, y tế… cho thấy an ninh mạng ở Việt Nam đang đứng trước thử thách lớn. Dữ liệu cá nhân không phải là “vàng” – nó là chất phóng xạ: quý giá nếu kiểm soát tốt, nhưng sẽ mang lại thảm họa nếu sơ suất. Đây là lúc từ cơ quan nhà nước, doanh nghiệp và cộng đồng cần củng cố nhận thức, nâng cao năng lực kỹ thuật, và cam kết trách nhiệm bảo vệ dữ liệu bằng mọi giá, giữ lấy niềm tin trong thời đại số hóa toàn diện.
Trong vụ tấn công vào Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC), nơi lưu trữ hàng tỷ bản ghi về tài khoản tín dụng, các hacker không xâm nhập trực diện mà lợi dụng lỗ hổng phần mềm cũ (N-day vulnerability) mà xâm nhập và lấy đi nhiều thông tin cực kỳ nhạy cảm: tên, địa chỉ, số điện thoại, ngày sinh, căn cước, mã số thuế, cùng dữ liệu doanh nghiệp. Việc “tập trung hóa” dữ liệu càng làm những hệ thống này trở thành mục tiêu hấp dẫn với tội phạm mạng.
Các ngân hàng – dù đầu tư mạnh cho an ninh mạng – vẫn liên tục xuất hiện lỗ hổng, chưa thể tự vệ hoàn toàn do thiếu nguồn lực, kỹ thuật chuyên sâu và kinh nghiệm quốc tế. Điều này phản ánh rằng hiện trạng bảo mật ở Việt Nam chưa thể đáp ứng được mức độ phức tạp của các cuộc tấn công mạng toàn cầu.
Việc một hãng hàng không lớn như Vietnam Airlines bị xâm nhập và trích xuất thông tin qua tài khoản Salesforce làm dấy lên nghi vấn: Liệu các hệ thống kỹ thuật, điều hành chuyến bay, đặt chỗ, kiểm soát an toàn vận hành… có thực sự đủ tách biệt và vững vàng trước tấn công mạng?
Một kiểu tư duy nguy hiểm: coi rò rỉ dữ liệu: là chuyện cũ xì, xưa rích.
Người dùng Việt Nam có thái độ chủ quan: “Lộ lâu rồi, đâu có gì mà ầm ĩ”. Đây chính là tư duy nguy hiểm, đặt “quyền riêng tư” vào thế yếu và góp phần giúp hacker hoạt động dễ dàng hơn. Khi sự cố lộ dữ liệu bị xem là bình thường thì các công ty, tổ chức liệu có thấy trách nhiệm bỗng “nhẹ hều”? Và động lực để củng cố an ninh bị giảm nhẹ mà người dân thì hứng chịu hậu quả về lâu dài, từ lừa đảo, giả mạo đến mất mát tài sản.
Ranh giới giữa “chia sẻ” dữ liệu và bị hack
Nhiều doanh nghiệp ngày nay chủ động “chia sẻ” một phần thông tin để phục vụ công tác tiếp thị, phát triển sản phẩm, và nâng cao trải nghiệm khách hàng. Song, khác biệt lớn nhất là chủ động chia sẻ trong khuôn khổ có sự ĐỒNG Ý của khách hàng (opt-in/opt-out) và sự minh bạch về mục tiêu sử dụng.
Còn khi dữ liệu bị hack, quyền kiểm soát hoàn toàn nằm trong tay kẻ gian: khách hàng: đứng trước rủi ro bị lợi dụng thông tin, lừa đảo, thậm chí bị tấn công trực tiếp, là điều không thể lường trước được.
Trách nhiệm pháp lý khi quản lý dữ liệu cá nhân
Các doanh nghiệp, đặc biệt trong lĩnh vực nhạy cảm như ngân hàng, y tế, có nghĩa vụ pháp lý và đạo đức bảo đảm an toàn tuyệt đối cho dữ liệu khách hàng. Đặc biệt, vụ việc này cho thấy vấn đề hacker tấn công qua kênh đối tác thứ ba (Salesforce), càng làm phức tạp trách nhiệm bảo mật khi để lộ thông tin từ ngoài hệ sinh thái doanh nghiệp.
BỊ HACK RỒI, LÀM GÌ VỚI KHÁCH HÀNG?
Cần có một quy trình minh bạch, cụ thể: nhanh chóng thông báo đến khách hàng bị ảnh hưởng, hướng dẫn biện pháp phòng ngừa (kiểm tra tài khoản, cảnh giác với các hình thức scam, đổi mật khẩu…), phối hợp với cơ quan chức năng điều tra nguyên nhân, và công khai kế hoạch khắc phục cũng như cam kết nâng cấp bảo mật hệ thống. Việc minh bạch tuyệt đối về tác động, nguyên nhân và giải pháp là chìa khóa lấy lại niềm tin cộng đồng.
“IM LẶNG LÀ VÀNG": CHIẾN LƯỢC NGUY HIỂM!|
Phản ứng thường thấy là giấu nhẹm, giấu được tới đâu cứ giấu!. Họ sợ ảnh hưởng danh tiếng, doanh thu hay họ thiếu kinh nghiệm xử lý khủng hoảng. Vậy là họ khiến khách hàng thêm rủi ro: không biết mình bị lộ dữ liệu để phòng tránh lừa đảo và hacker càng dễ khai thác thông tin bị rò rỉ.
Ở các quốc gia phát triển, luật bảo vệ dữ liệu và thông tin cá nhân rất rõ ràng. Khi có sự cố, doanh nghiệp buộc phải công khai thông tin nhanh chóng, giải thích nguyên nhân, phạm vi ảnh hưởng, hướng dẫn người dùng tự bảo vệ và thường xuyên cập nhật tiến trình khắc phục. Một số quốc gia như các nước EU (GDPR), Mỹ, Singapore… thậm chí còn quy định thời gian thông báo và mức phạt nặng nếu che giấu hay thông báo muộn.
Thực trạng Việt Nam còn thúc đẩy mô hình tập trung hóa dữ liệu (tài chính, y tế, bảo hiểm, tín dụng…), trong khi khung pháp lý và năng lực kỹ thuật bảo mật chưa theo kịp khiến sự cố càng ảnh hưởng rộng, khó kiểm soát hơn. Khi hàng triệu dữ liệu cá nhân nằm trong một hệ thống, chỉ một lỗ hổng cũng đủ dẫn tới thảm họa. Một khi doanh nghiệp không minh bạch, người dân lại càng không thể tự bảo vệ tài sản và quyền riêng tư của mình.
Im lặng khi bị hack dữ liệu không chỉ là sai lầm quản trị, mà còn làm lộ rõ sự không tôn trọng khách hàng. Trong thời hội nhập này, hơn lúc nào, cần trân trọng văn hóa minh bạch, chủ động thông tin cho khách hàng. Và nâng cấp kỹ năng ứng phó mới giữ được niềm tin của xã hội.