Bộ Công an điểm vụ lộ hơn 163 triệu tài khoản của VNG

Bộ Công an đang đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân. Nói về sự cần thiết phải xây dựng luật, Bộ Công an cho biết, đã xuất hiện nhiều vụ lộ, mất dữ liệu cá nhân nghiêm trọng, liên quan tới hàng chục triệu người.
Điển hình như Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng, Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng, các vụ lộ lọt dữ liệu của Vietnam Airlines, FPT…

Bộ Công an đề xuất xây dựng luật Bảo vệ dữ liệu cá nhân

Dự thảo luật được thiết kế nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân. Bộ Công an cũng kỳ vọng sẽ ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức, đồng thời, nâng cao trách nhiệm của các cơ quan, tổ chức, cá nhân.
Bộ Công an dẫn Hiến pháp Việt Nam năm 2013 khẳng định, quyền riêng tư của cá nhân là bất khả xâm phạm.
Sự bất khả xâm phạm không chỉ về thân thể, nhà ở, thư tín mà còn bao gồm quyền bảo vệ bí mật cá nhân, trong đó có thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình.
Bộ Công an cho biết, hiện có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam. Tuy nhiên, tất cả đều “chưa thống nhất về khái niệm và nội hàm” dữ liệu cá nhân, bảo vệ dữ liệu cá nhân.
Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
Tuy vậy, theo Bộ Công an, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên “cần thống nhất thực hiện trong thực tiễn”. Thực tiễn, phạm vi điều chỉnh của nghị định chưa bao quát hết các lĩnh vực, quan hệ của đời sống, xã hội, nhất là các quy định liên quan tới “thông tin cá nhân”, “thông tin riêng”, “thông tin số”; “thông tin cá nhân trên môi trường mạng”; “thông tin bí mật đời tư”…theo Bộ Công an.

Các vụ lộ dữ liệu của VNG, Thế giới Di động, FPT, Vietnam Airlines

Nói về thực trạng bảo vệ dữ liệu cá nhân, Bộ Công an lưu ý, nguy cơ mất an ninh dữ liệu cá nhân từ các tổ chức, doanh nghiệp có hoạt động thu thập loại dữ liệu này là rất lớn.
Nhận thức, giải pháp, quy trình bảo vệ an ninh mạng đã tạo ra khoảng trống lớn. Bộ Công an chỉ rõ, công tác quản lý nhà nước chưa có tổ chức chuyên trách để đưa ra các khuyến cáo, các yêu cầu và có cơ chế giám sát để đảm bảo an ninh mạng trong các hoạt động thu thập dữ liệu cá nhân.
Cũng theo Bộ Công an, công tác bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, doanh nghiệp, cá nhân có hoạt động thu thập dữ liệu cá nhân vẫn còn buông lỏng, chưa có các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ các dữ liệu cá nhân thu thập được.
“Đặc biệt là các tổ chức, doanh nghiệp thu thập thông tin ở quy mô vừa và nhỏ, khả năng ứng phó trước mối đe dọa vẫn còn rất yếu kém”, – Bộ nói.
Nhiều tổ chức, doanh nghiệp cũng không nhận thức được trách nhiệm bảo vệ cũng như hậu quả có thể xảy ra nếu các thông tin đó bị lộ lọt hay cung cấp cho bên thứ 3.
Các tổ chức, doanh nghiệp thực hiện các hoạt động thu thập, lưu trữ, xử lý dữ liệu cá nhân của người dùng chưa áp dụng giải pháp kỹ thuật đủ mức để chống lộ lọt thông tin, tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm an ninh mạng, chưa có quy trình quản lý an ninh mạng và thông báo, hướng dẫn, khuyến nghị xử lý khi xảy ra sự cố lộ, lọt dữ liệu cá nhân của người dùng.
Bộ Công an đã dẫn ra một vụ việc điển hình như Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; trường hợp tin tặc đã tấn công vào hệ thống máy chủ của Hãng hàng không quốc gia Việt Nam (Vietnam Airlines), đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng…
Ngoài ra, còn tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng.
Do đó, Bộ Công an cho rằng, việc quy định cụ thể các hoạt động kinh doanh liên quan tới dữ liệu cá nhân là vô cùng cấp bách và cần thiết.

Loạt thủ đoạn tinh vi

Để củng cố cho tính cần thiết ban hành luật, Bộ Công an đề cập tới tình trạng lộ, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng hiện nay.
Đáng nói, thời gian qua, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân “nội bộ, nhạy cảm”.
Theo nhà chức trách, nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc. Thậm chí, việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu.
Nói về phương thức, thủ đoạn thu thập trái phép dữ liệu cá nhân, Bộ cho hay, một trong các phương thức là thông qua các website.
Trong đó, các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm mã độc vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin.
Dễ thấy nhất là đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (Facebook*, Email, Bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ.
“Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ nghĩ”, – Bộ Công an lý giải.
Phương thức phổ biến khác là tấn công qua các thiết bị thông minh. Bộ Công an chỉ ra đây là một thủ đoạn mới. Các đối tượng thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh…
Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… các đối tượng sẽ cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng.
Ngoài ra các đối tượng còn sử dụng nhiều thiết bị nghe lén thông minh để thu thập thông tin.
Bộ Công an cũng lưu ý, pháp luật bảo vệ dữ liệu cá nhân của Việt Nam đã có một số quy định về chế tài xử phạt với những hành vi vi phạm bảo vệ thông tin cá nhân, nhưng chưa có quy định về bảo vệ dữ liệu cá nhân.
Với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như đã nêu, việc không có chế tài xử lý hoặc chế tài xử lý không đủ mạnh, không đủ sức răn đe sẽ không giải quyết được tình hình.
Trước tình hình đó, Bộ Công an đề xuất xây dựng luật Bảo vệ dữ liệu cá nhân với 4 chính sách lớn:
Chính sách 1: Thống nhất quy định pháp luật về các thuật ngữ pháp lý liên quan tới dữ liệu cá nhân và bảo vệ dữ liệu cá nhân.
Chính sách 2: Quy định cụ thể các quyền và nghĩa vụ của chủ thể dữ liệu.
Chính sách 3: Hoàn thiện quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu.
Chính sách 4: Hoàn thiện quy định bảo đảm các điều kiện, biện pháp bảo vệ dữ liệu cá nhân.
*Hoạt động Meta bị cấm trên lãnh thổ Nga

Leave a Reply

Your email address will not be published. Required fields are marked *