Có luật nhưng chưa có án lệ
Ở các nước, khi DN hay NH làm lộ thông tin người dùng phải chịu mức bồi thường rất lớn. Trong khi tại Việt Nam, những vụ lộ thông tin giao dịch do bảo mật kém, khách hàng chỉ được bồi thường khi có thiệt hại xảy ra, và chưa có tổ chức nào vi phạm về quản lý dữ liệu bị xử phạt.
Trao đổi với ĐTTC, ông VÕ ĐỖ THẮNG, Giám đốc Trung tâm Đào tạo quản trị mạng và an ninh mạng quốc tế Athena, nhận định do Việt Nam chưa có án lệ, nên vấn đề bảo mật dữ liệu khách hàng chưa thực hiện nghiêm túc.
PHÓNG VIÊN: - Thưa ông, trong thời gian ngắn liên tiếp xuất hiện thông tin dữ liệu khách hàng của các DN bị hacker nắm giữ, khiến dư luận đặc biệt quan tâm, nhất là về quyền lợi của khách hàng khi dữ liệu họ cung cấp cho DN bị rò rỉ, công khai trái phép. Ý kiến của ông như thế nào?
Với khách hàng, hiện nay đa số người bị thiệt hại do rò rỉ dữ liệu cá nhân chủ yếu chỉ muốn lấy lại tiền, chưa nghĩ đến việc kiện DN gây lộ thông tin do chúng ta chưa có án lệ. Tôi nghĩ trong quá trình phát triển chắc chắn chúng ta sẽ có những án lệ để yêu cầu đền bù thiệt hại gây ra khi thông tin khách hàng bị lộ.
Ông VÕ ĐỖ THẮNG: -
Khách hàng đã cung cấp thông tin cho DN hay tổ chức tín dụng (TCTD), nhiệm vụ của DN, TCTD phải bảo mật thông tin khách hàng. Nếu DN, TCTD quản lý lỏng lẻo để mất dữ liệu phải có trách nhiệm rà soát và đền bù thiệt hại, không thể phủi hoàn toàn trách nhiệm.
Vì nếu người dùng tự làm lộ thông tin sẽ chỉ ở vài người với những thông tin rời rạc, không thể rò rỉ cùng lúc hàng trăm ngàn người trong danh sách giao dịch của công ty nào đó. Do đó, khi xảy ra trường hợp này, công ty đó phải có trách nhiệm. Trên thế giới, khi làm lộ thông tin khách hàng, các DN phải đền bù rất lớn.
Chẳng hạn tại Hoa Kỳ, hệ thống siêu thị Target đã chi 18,5 triệu USD để bồi thường khách hàng khi bị hacker đánh cắp hơn 40 triệu thông tin thẻ tín dụng và thông tin cá nhân của 70 triệu khách hàng mua sắm vào cuối năm 2013.
Hay năm 2014, có 56 triệu số thẻ tín dụng đã bị lấy cắp từ hệ thống của chuỗi bán lẻ đồ gia dụng, vật liệu xây dựng Home Depot, cùng hơn 53 triệu địa chỉ email của khách hàng cũng bị hacker nắm giữ. Sau khi bị kiện, Home Depot đã đền bù cho các khách hàng, công ty thẻ tín dụng và NH đến 179 triệu USD.
Việt Nam hiện nay cũng đã có quy định pháp luật xử phạt việc làm lộ dữ liệu khách hàng. Cụ thể, Nghị định 185/2013/NĐ-CP quy định hành vi vi phạm về bảo vệ thông tin của người tiêu dùng sẽ bị phạt tiền 10-20 triệu đồng; Nghị định 174/2013/NĐ-CP quy định người nào có hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông sẽ bị phạt tiền 50-70 triệu đồng, đồng thời phải thương lượng đền bù cho khách hàng.
- Hiện nay ứng dụng công nghệ vào thanh toán đang nở rộ và hầu như NH hay fintech khi triển khai đều cam kết độ bảo mật cao. Nhận định của ông về bảo mật của các đơn vị này?
- Về mặt kinh doanh, các đơn vị cung cấp dịch vụ thanh toán đều bắt buộc phải cam kết bảo mật. Còn việc thông tin cũng như tiền của khách hàng có mất hay không phải chờ đến khi xảy ra, họ mới có trách nhiệm.
Tuy nhiên, trong lĩnh vực công nghệ thông tin không có gì là tuyệt đối. Chỉ cần hệ thống có những sơ hở, hacker có thể tấn công phá vỡ bảo mật. Thí dụ, Vietcombank, Agribank, DongABank… tuyên bố đầu tư vào bảo mật rất cao. Song thời gian qua chúng ta vẫn gặp nhiều trường hợp khách hàng của những NH này mất tiền.
Vietcombank tuyên bố hệ thống bảo mật cao, nhưng vẫn luôn xuất hiện tài khoản khách hàng bị mất tiền.
Chẳng hạn, cách đây không lâu, hàng loạt tài khoản của Agribank bị rút tiền trong đêm. 1 năm trước những tài khoản của Vietcombank liên tục xảy ra chuyện mất tiền. Gần đây, nhiều khách hàng DongABank cũng phản ánh tình trạng tương tự. Như vậy, các NH tuyên bố bảo mật để tạo sự an tâm cho khách hàng.
Còn thực tế những NH này vẫn xảy ra việc mất tiền và khách hàng đã thông báo trên phương tiện thông tin đại chúng. Điều đó chứng tỏ hệ thống bảo mật của các NH đang có lỗ hổng.
- Công nghệ được ứng dụng ngày càng nhiều trong kinh doanh nhưng tội phạm công nghệ cao cũng theo đó gia tăng, đặc biệt nhắm vào khách hàng của NH, hệ thống thanh toán và các giao dịch mua bán trực tuyến. Theo ông, các bên cần làm gì để đảm bảo an toàn dữ liệu khách hàng trong thời đại số hóa?
- Hệ thống công nghệ thông tin tại DN hay NH cũng giống như cơ thể người, sau khi hoạt động một thời gian luôn xuất hiện các bệnh, các lỗ hổng an ninh mạng, dẫn đến mất thông tin, mất dữ liệu. Trong thế giới internet, bất kỳ người nào cũng có thể vào những lỗ hổng này để sao chép và phát tán dữ liệu.
Do đó, mỗi tổ chức phải tự phòng bệnh, chữa bệnh cho mình. Luật An ninh mạng cũng không ngăn được các lỗ hổng an ninh mạng tự có sau thời gian hoạt động của hệ thống công nghệ thông tin.
Do đó, để thông tin, dữ liệu được bảo vệ tuyệt đối, DN và NH phải có nhân sự có kiến thức an ninh mạng giám sát thường xuyên, phát hiện, cảnh báo sớm những nguy cơ rủi ro để phòng ngừa từ xa các khủng hoảng có thể gây thiệt hại. Đồng thời, khi xảy ra rủi ro, cách ứng phó và xử lý khủng hoảng cũng là điều cần lưu ý.
