Sống chung với rò rỉ dữ liệu cá nhân
LTS: Tiếp theo vụ nghi vấn rò rỉ thông tin được cho là của khách hàng Thế giới Di động, hôm 10-11 dữ liệu được cho là của chuỗi bán lẻ Con Cưng cũng bị đưa lên diễn đàn RaidForums. Danh sách này có thể chưa kết thúc vì còn những lời dọa sẽ đưa tiếp những tên tuổi lớn khác. Rõ ràng, việc dữ liệu cá nhân bị lộ không còn là chuyện hiếm mà có lẽ chúng ta đang phải 'sống chung với lũ... rò rỉ dữ liệu'.
Việc lộ dữ liệu bảo mật (data breach) của khách hàng đang diễn ra phổ biến trên thế giới và trở thành một rủi ro kinh doanh chủ chốt được nhiều công ty tư vấn kinh doanh đề cập. Vào tháng 9 năm nay, giá trị Công ty Facebook mất đi 13 tỉ đô la do giá cổ phiếu giảm sau khi có thông tin 50 triệu người dùng Facebook bị rò rỉ thông tin cá nhân do một vụ tấn công vào máy tính trong mạng của công ty.
Tuy nhiên, máy tính bị tin tặc tấn công chỉ mới là một mặt của việc lộ dữ liệu bảo mật của khách hàng. Mặt khác, đó là công ty có quyền truy cập vào dữ liệu đó đem bán dữ liệu cho công ty khác mà không xin phép khách hàng, hoặc lơi lỏng trong kiểm soát dữ liệu để người khác tận dụng quyền truy cập vào dữ liệu để thu thập chúng và tiến hành những hoạt động kinh doanh kiếm tiền mà không xin phép người dùng, những chủ nhân của dữ liệu cá nhân.
Hồi tháng 4 năm nay, Facebook bị tố làm rò rỉ thông tin cá nhân của hơn 50 triệu người dùng. Chúng được thu thập bởi Aleksandr Kogan và bán cho Cambridge Analytica. Số dữ liệu này sau đó được cho là có tác động đến cuộc bầu cử Tổng thống Mỹ năm 2016. Một tổ chức phi chính phủ ở Pháp, Internet Society of France, đang dọa sẽ tiến hành một vụ kiện buộc Facebook bồi thường 100 triệu euro vì công ty này đã thu thập dữ liệu người dùng Facebook và cả những người không dùng Facebook một cách gián tiếp, bao gồm các thông tin về xu hướng chính trị, tôn giáo, giới tính...
Đã đến lúc Chính phủ phải có những luật rõ ràng về bảo vệ dữ liệu cá nhân (chứ không chỉ là an ninh mạng), về quyền công dân đối với dữ liệu cá nhân, quyền không bị xâm phạm không gian mạng cá nhân lẫn thông tin cá nhân và tuyên truyền những quyền đó cho công dân một cách rõ ràng.
Trong những ngày đầu tháng 11 này, tổ chức Privacy International đã tố cáo các công ty lớn như công ty môi giới dữ liệu Acxiom, công ty phần mềm tên tuổi Oracle, công ty xếp hạng tín nhiệm Experian, Equifax và các công ty quảng cáo Criteo, Quantcast và Tapad vì đã mua bán dữ liệu khách hàng mà không có nền tảng pháp lý nào cho phép điều đó.
Bất kể là dữ liệu khách hàng bị rò rỉ qua tin tặc tấn công, hay công ty cố tình bán dữ liệu khách hàng cho đối tác, hay do lơi lỏng mà để dữ liệu bị đối tác khai thác, thì rủi ro dữ liệu khách hàng bị rò rỉ, bao gồm các thông tin nhạy cảm như thông tin thẻ tín dụng, đã trở thành một mối lo toàn cầu. Xu thế này chắc chắn chỉ có tăng chứ không dừng lại. Khi thông tin trở thành hàng hóa có giá trị, đương nhiên người xấu sẽ nhắm đến trộm cướp thông tin.
Trước đây người ta cướp ngân hàng vì tiền ở đó thì bây giờ người ta tấn công máy chủ Facebook hay máy chủ ngân hàng... vì thông tin khách hàng ở đó. Khi thông tin có thể quy thành tiền, thông qua tống tiền, bán thông tin hay các hành vi tội phạm tài chính khác, thì đây là xu thế hiển nhiên.
Một xu thế khác là doanh nghiệp sẽ ngày càng bị khách hàng nghi ngờ, săm soi, thậm chí là kiện tụng nhiều hơn về việc doanh nghiệp sử dụng thông tin của khách hàng như thế nào. Trong bài viết Lưu ở đâu không quan trọng bằng xin phép người dùng, tác giả Nguyễn Vạn Phú đã đề cập rằng dự thảo Luật An ninh mạng cần xác lập thêm một nguyên tắc mà nay EU và nhiều nước khác đã luật hóa: “Doanh nghiệp phải xin phép người dùng trước khi thu thập dữ liệu người dùng, được sự đồng ý rõ ràng mới tiến hành, đồng thời cần nói rõ dữ liệu thu thập nhằm mục đích gì, có trao cho bên thứ ba để kinh doanh, đổi chác hay không”.
Mặc dù quan điểm luật này của EU được xem là quá chặt và là nguyên nhân nhiều công ty công nghệ không chọn EU để đặt trụ sở, xu thế này đang trở thành chủ đạo và các nước khác nhiều khả năng sẽ đi theo vì người dân ủng hộ cách tiếp cận này.
Những xu thế này đặt mọi loại hình doanh nghiệp đang hoạt động trong nền kinh tế trước những rủi ro rò rỉ dữ liệu đủ kiểu. Một mặt họ phải lo phòng ngừa tin tặc. Mặt khác họ phải lo bị người dùng khiếu kiện, tố cáo vì khai thác dữ liệu người dùng mà không xin phép.
Trào lưu đòi quyền bảo mật dữ liệu này có thể sẽ đi quá xa, chẳng hạn người dân có xu hướng ước tính quá cao giá trị dữ liệu cá nhân của mình, hay đòi hỏi thái quá. Chẳng hạn như những dịch vụ chấm điểm tín dụng mang lại giá trị cho xã hội nhưng cũng bị tố cáo, khiếu kiện. Nhưng trào lưu này sẽ không dừng lại sớm, cũng như tin tặc cũng sẽ không dừng việc tấn công vào miếng bánh dữ liệu người dùng hấp dẫn.
Có một chuyên gia kế toán nói đùa rằng bây giờ mô hình kinh doanh của nhiều công ty nên để dành sẵn một khoản tiền trích lập hàng năm là tiền dự phòng bồi thường và trả án phí khi bị kiện tụng vì làm lộ dữ liệu khách hàng, xem đó là một phần chi phí thường xuyên.
Nói nghiêm túc hơn, doanh nghiệp cần có một hệ thống an ninh dữ liệu và kiểm soát nội bộ hiệu quả để ngăn chặn rò rỉ dữ liệu. Đây là thời ăn nên làm ra của các công ty an ninh mạng và cố vấn quy trình bảo vệ dữ liệu khách hàng. Công ty nào không đầu tư đàng hoàng cho những khía cạnh này chắc chắn sẽ trả giá bằng tiền tỉ sau tin đồn lộ thông tin khách hàng như Facebook hay Thế giới Di động. Ước tính vốn hóa của Thế giới Di động đã mất đi gần hàng ngàn tỉ đồng chỉ trong tuần qua, sau khi tin đồn lộ thông tin khách hàng được công bố. Vì vậy không nên tưởng rằng Việt Nam sẽ khác với nước ngoài.
Điều bất lợi khác với Việt Nam là xã hội đang trong tiến trình chuyển biến từ một xã hội xài tiền mặt và có xuất phát điểm lạc hậu về công nghệ chuyển sang một nền kinh tế số. Nếu người dùng mất niềm tin vào năng lực của các ngân hàng, công ty công nghệ trong việc bảo vệ thông tin của họ về tiền bạc, thẻ tín dụng... thì sẽ có nhiều trở ngại cho chuyện Việt Nam chuyển mình sang một nền kinh tế số hiệu quả.
Có người cho rằng thật ra vấn đề này chỉ đáng lo với các công ty công nghệ, thương mại điện tử hay FinTech gì đó chứ không ảnh hưởng đến công ty truyền thống. Nhưng nhận định này là không chính xác. Với tiến trình số hóa, Internet hóa, thanh toán qua di động và tự động hóa trong mọi lĩnh vực của nền kinh tế, từ cửa hàng tạp hóa đến công ty công nghệ sang chảnh đều có rủi ro rò rỉ dữ liệu khách hàng. Trừ khi công ty kinh doanh chỉ dùng ghi chép trên giấy và thanh toán tiền mặt, nếu không, rủi ro lộ dữ liệu khách hàng sẽ không buông tha ai cả.
Không nói đâu xa, báo mạng, bệnh viện, trường học, công ty taxi, cũng có lưu dữ liệu người dùng để người ta khai thác đấy thôi. Và đâu phải thông tin thẻ tín dụng bị rò rỉ mới đáng lo. Nếu người ta biết bạn là ai, nhà ở đâu, làm nghề gì... thì cũng đáng sợ phải không?
Hồ Quốc Tuấn
