Lỗ hổng trong bảo đảm an toàn thông tin cá nhân khách hàng
Xu hướng - Dự báo - Ngày đăng : 14:46, 21/11/2017
Người dùng dịch vụ trực tuyến cần chú ý phòng ngừa nguy cơ bị lộ thông tin cá nhân. Ảnh: NGUYỄN ĐĂNG
Thời gian qua, đã xảy ra hàng loạt vụ việc người dùng mất tiền trong tài khoản ngân hàng, mất TTCN sau khi sử dụng các dịch vụ trực tuyến. Những đơn vị cung cấp dịch vụ trực tuyến hiện nay đều cho rằng hệ thống lưu trữ thông tin người dùng được bảo đảm an toàn. Khi khách hàng sử dụng, hệ thống lưu TTCN nhưng sẽ được mã hóa một chiều, khó có thể xảy ra tình huống mất TTCN. Ngược lại, nhiều người dùng cho rằng họ đã có ý thức tự bảo vệ, cho nên, việc mất TTCN có thể xảy ra khi sử dụng dịch vụ trực tuyến của một số doanh nghiệp. Theo các chuyên gia về bảo mật, khi tương tác thông qua hình thức đăng ký, giao dịch trên các trang web bản thân khách hàng đã tự điền và làm lộ TTCN. Thông tin này được mã hóa, lưu trữ vào cơ sở dữ liệu của các trang web. Nếu hệ thống dữ liệu của doanh nghiệp không an toàn, rất có thể bị tin tặc chiếm quyền dẫn tới mất cơ sở dữ liệu hoặc TTCN có thể bị mất do chính những người trong doanh nghiệp làm lộ. Những TTCN này có thể bị kẻ xấu lợi dụng để thực hiện các giao dịch trái phép, bán cho những đối tượng dùng để phát tán tin rác, quảng cáo và nhiều hành vi bất lợi với người dùng. Thời gian vừa qua, một số khách hàng của nhiều hãng hàng không tại Việt Nam mất TTCN sau khi mua vé máy bay trực tuyến. Anh Nguyễn Huy Hoàng (quận Ðống Ða, TP Hà Nội) cho biết, trong tháng 9-2017 anh đặt vé máy bay của Vietnam Airlines đi Nha Trang cho cả gia đình trên một số điện thoại mới, chưa từng nhận tin rác. Tuy nhiên trước ngày bay, nhiều cá nhân gửi tin nhắn mời chào anh Hoàng sử dụng dịch vụ ta-xi từ sân bay vào thành phố cho ngày bay đã được ấn định. Anh gọi điện đến một số "tổng đài" đặt xe và được biết thông tin về chuyến bay, ngày bay của người đặt vé khi lưu lại số điện thoại trên web đã được họ mua lại và nhắn tin mời sử dụng dịch vụ. Ðiều này khiến anh Hoàng lo ngại sẽ gây mất an toàn khi kẻ xấu biết rõ gia đình anh đi vắng, có thể lợi dụng để đột nhập, trộm cắp tài sản. Về vấn đề này, đại diện truyền thông của một số hãng hàng không cho biết, tình trạng mất TTCN của khách hàng đã có từ lâu, các hãng đều biết, nhưng chưa tìm được nguyên nhân. Mặc dù các hãng hàng không đều khẳng định tính an toàn, bảo mật của hệ thống thanh toán trực tuyến, nhưng họ cũng không giải thích được vì sao khách hàng lại mất TTCN, thông tin về ngày, giờ, địa điểm chuyến bay... Trên thế giới cũng ghi nhận nhiều trường hợp người dùng bị mất TTCN trong quá trình giao dịch tại các trang web mua bán. Ở Việt Nam, hầu hết các ngân hàng đều xác thực giao dịch thông qua tin nhắn SMS, nhưng cũng không ít trường hợp không nhận được tin nhắn này. Gần đây, anh Nguyễn M.N tại Hà Nội cho biết, trong tháng 11 có dùng thẻ của ngân hàng Citibank mua vé máy bay của hãng Jetstar Pacific. Sau khi thực hiện giao dịch, thẻ của anh M.N đã bị trừ tiền mà không có SMS xác thực. Phải đến gần 15 phút sau anh mới nhận được tin nhắn SMS xác thực. Anh M.N rất lo ngại, cho nên đã phản ánh tới Jetstar Pacific và Citibank, nhưng vẫn chưa nhận được câu trả lời thỏa đáng. Ở Việt Nam từ năm 2016 cũng đã ghi nhận nhiều trường hợp khách hàng "vô cớ" bị mất tiền, tài khoản bị trừ tiền mà không biết vì sao. Một số sự cố đã được xác định do khách hàng bị mất TTCN và kẻ gian đã sử dụng làm thẻ giả, rút tiền. Một số sự cố vẫn chưa xác định được "nguyên nhân" do chưa tìm được lỗi, được các ngân hàng lựa chọn giải pháp bồi hoàn tổn thất cho chủ thẻ. Cách đây ít lâu, một số người hiểu biết về công nghệ đã thử kiểm tra hệ thống bảo mật của một số ngân hàng và cho ra một kết quả bất ngờ khi việc bảo mật khá chắc chắn, tưởng chừng khó xâm nhập, nhưng lại có những lỗi khiến việc bảo mật "có cũng như không". Mặc dù phía ngân hàng nhanh chóng sửa lỗi, nhưng người dùng cũng đặt câu hỏi về việc bảo mật lỏng lẻo của các đơn vị cung cấp dịch vụ.
Theo đánh giá của nhiều chuyên gia, không ít doanh nghiệp cung cấp dịch vụ ở Việt Nam còn khá thờ ơ với việc bảo mật TTCN của người dùng. Ðôi khi khách hàng mất TTCN là do chính nhân viên của doanh nghiệp đó lấy và tuồn ra ngoài.
Theo Phó Cục trưởng Cục An toàn thông tin (Bộ Thông tin và Truyền thông) Nguyễn Huy Dũng: Luật An toàn thông tin mạng đã có quy định về bảo vệ TTCN trên mạng, trong đó quy định về trách nhiệm của từng doanh nghiệp, tổ chức cung cấp dịch vụ có lưu trữ TTCN của người dùng. Theo đó, các đơn vị cung cấp dịch vụ lưu trữ, thu thập TTCN phải áp dụng các biện pháp quản lý theo tiêu chuẩn, quy chuẩn kỹ thuật để bảo vệ TTCN như một tài sản của người sử dụng đang gửi; phải có biện pháp, ràng buộc nhân viên không làm lộ thông tin khách hàng. Nhưng hiện nay vẫn chưa có chế tài xử lý các doanh nghiệp, tổ chức để lộ TTCN của người dùng, cho nên chưa có cơ sở xử lý đơn vị vi phạm.
Vừa qua, Bộ Thông tin và Truyền thông đã trình Chính phủ Nghị định sửa đổi thay thế Nghị định số 174/2013/NÐ-CP ngày 13-11-2013 về quy định xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện. Nghị định sửa đổi sẽ cập nhật những hành vi vi phạm quy định về bảo vệ TTCN. Nếu được ban hành từ nay đến cuối năm 2017 thì các cơ quan chức năng mới có đủ hành lang pháp lý và chế tài
xử lý.
Như vậy, sau hơn một năm Luật An toàn thông tin có hiệu lực (từ 1-7-2016), đến nay vẫn chưa có chế tài xử lý các vi phạm làm mất TTCN của khách hàng. Trong khi chờ đợi một hành lang pháp lý hoàn chỉnh để bảo vệ TTCN, người dùng vẫn cần hết sức cảnh giác, có biện pháp phòng, chống để tránh những thiệt hại do mất TTCN mà có thể không hoàn toàn phải lỗi từ cá nhân họ.