Bài 1: Dữ liệu cá nhân – “Mỏ vàng” dễ bị đánh cắp

VHO - Dữ liệu cá nhân là vấn đề liên quan tới chặt chẽ tới quyền con người, quyền công dân, an toàn, an ninh mạng, an ninh thông tin, an ninh dữ liệu, công nghệ thông tin và cách mạng công nghiệp lần thứ tư, chính phủ điện tử, chính phủ số, kinh tế số. Trong bối cảnh chuyển đối số diễn ra sâu, rộng trên hầu hết các lĩnh vực, nhiều dữ liệu cá nhân bị lộ lọt, gây ra những hậu quả nghiêm trọng. Đảng và Nhà nước đã đặt ra yêu cầu bảo vệ dữ liệu cá nhân phải được tiến hành song song, đồng thời với sự phát triển kinh tế, xã hội.

Khi dữ liệu cá nhân bị “trôi” trên nền tảng số

Theo đánh giá của cơ quan Bộ Công an, tình trạng thu thập, mua bán và khai thác trái phép dữ liệu cá nhân đang diễn ra với mức độ phức tạp, tinh vi và có tổ chức. Nhiều đường dây đã hình thành chuỗi khép kín từ khâu chiếm đoạt dữ liệu, phân loại, “đánh bóng” bộ dữ liệu đến khâu tiêu thụ và sử dụng để thực hiện lừa đảo, chiếm đoạt tài sản. Dữ liệu cá nhân trở thành “mỏ vàng”, mỗi sơ hở trong vận hành hệ thống và mỗi phút lơ là của người dùng đều có thể bị đánh cắp.

Dữ liệu cá nhân ngày nay không chỉ nằm trong các kho thông tin của cơ quan, tổ chức, doanh nghiệp mà còn “trôi” trên vô số nền tảng trung gian, ứng dụng tiện ích, dịch vụ giao nhận, ví điện tử, sàn thương mại, trò chơi trực tuyến, mạng xã hội. Mỗi lần đăng ký mới, mỗi thao tác đồng ý điều khoản, mỗi lượt bấm cấp quyền truy cập danh bạ hay vị trí, là thêm một “cửa” mà dữ liệu cá nhân có thể đi ra ngoài phạm vi kiểm soát. Khi những “cánh cửa” ấy dày lên theo cấp số nhân, rủi ro lộ lọt tăng theo tương ứng.

Nguồn rò rỉ dữ liệu xuất phát từ nhiều điểm khác nhau. Một phần đến từ các cuộc tấn công kỹ thuật trực tiếp vào máy chủ và hạ tầng lưu trữ, nơi tin tặc cài mã độc, chiếm quyền quản trị hoặc đặt “cửa hậu” để âm thầm rút dữ liệu trong thời gian dài. Bên cạnh đó, không ít lỗ hổng lại bắt nguồn từ khâu quản trị: dữ liệu được sao chép và chia sẻ nội bộ mà không mã hóa, tài khoản quản trị dùng mật khẩu yếu, quyền truy cập cấp tràn lan, thiếu giám sát nhật ký hoạt động.

Nguy hiểm hơn cả là các chiêu thức đánh vào tâm lý con người. Tội phạm mạng dựng trang web, ứng dụng giả, mạo danh thương hiệu quen thuộc để lừa người dùng tự cung cấp thông tin; gửi đường link kèm thông báo dọa dẫm như “tài khoản sẽ bị khóa” hay “xác minh nhân thân khẩn cấp”, buộc nạn nhân nhập dữ liệu nhạy cảm. Trong nhiều vụ việc, kỹ thuật chỉ là lớp vỏ, điểm mấu chốt nằm ở việc khai thác tâm lý chủ quan và sự thiếu cảnh giác của người dùng.

Một thực tế đáng lưu ý là nhiều bộ dữ liệu không bị “đánh cắp” chỉ một lần. Dữ liệu rò rỉ từ một vụ việc có thể tiếp tục được cộng, trộn, “làm sạch” và bán lại nhiều vòng với giá trị gia tăng cao hơn. Trên các kênh ngầm, dữ liệu được phân loại rất chi tiết: nhóm khách hàng VIP; nhóm thường xuyên giao dịch ngân hàng trực tuyến; nhóm hay mua sắm theo mùa; thậm chí phân loại theo địa lý, độ tuổi, giới tính, nghề nghiệp. Chính việc “chuẩn hoá, định giá” dữ liệu như một loại hàng hoá đã khiến tội phạm nhìn thấy chuỗi lợi ích bền vững, từ đó tích cực đầu tư công cụ, mở rộng mạng lưới thu thập.

Từ góc nhìn của cơ quan chức năng, xu hướng đáng lo là sự “tiểu thương hoá” việc thu gom dữ liệu. Không chỉ những đường dây lớn, mà những nhóm nhỏ, cá nhân cũng tham gia “bóc tách, bán lẻ” dữ liệu. Người dùng vô tình làm lộ ảnh chụp căn cước công dân, một cửa hàng vừa và nhỏ lưu bảng excel thông tin khách hàng nhưng không khoá, một nhân viên mang dữ liệu về máy cá nhân để “tiện việc”, đó đều là những điểm rơi khiến dữ liệu bị tách khỏi vòng kiểm soát. Mỗi sự cố nhỏ, nếu không được nhận diện và khắc phục kịp thời, sẽ nuôi dưỡng các “chợ” dữ liệu hoạt động dai dẳng.

Bên cạnh yếu tố kỹ thuật, hành vi tự công khai dữ liệu của người dùng vẫn là khâu yếu. Nhiều người chia sẻ tràn lan hình ảnh giấy tờ tuỳ thân khi nhận bưu kiện, đăng công khai số điện thoại trên trang cá nhân, cấp quyền cho ứng dụng tiếp cận danh bạ,… Những hành động này tưởng chừng vô hại nhưng đủ để tội phạm ghép nối, dựng hồ sơ, tạo câu chuyện lừa đảo thuyết phục. Không ít nạn nhân đã trao mã OTP, mật khẩu một lần, hoặc làm theo “quy trình xác minh” ảo do kẻ xấu dàn dựng, chỉ vì tin rằng bên kia là ngân hàng, là cơ quan tiến hành tố tụng, là nhân viên hỗ trợ kỹ thuật.

Một lớp rủi ro mới đến từ công nghệ deepfake và các mô hình tổng hợp giọng nói, khuôn mặt. Trong nhiều vụ việc điển hình, kẻ xấu sử dụng vài phút ghi âm hoặc vài bức ảnh để tạo ra giọng nói, hình ảnh giống nạn nhân hoặc người thân của nạn nhân, sau đó gọi điện, gửi video để yêu cầu chuyển tiền “khẩn cấp”. Khi dữ liệu sinh trắc học bị lợi dụng, việc nhận diện thật - giả bằng cảm quan trở nên khó khăn, tạo lợi thế lớn cho tội phạm ở bước “khóa niềm tin”.

Cũng cần thấy rằng rò rỉ dữ liệu không chỉ gây hại cho cá nhân, mà còn khoét sâu rủi ro tổ chức. Một doanh nghiệp bị chiếm quyền quản trị có thể đối mặt với tình huống vừa phải dừng một phần hệ thống, vừa đáp ứng yêu cầu từ khách hàng, đối tác và cơ quan quản lý; chi phí khắc phục, chi phí pháp lý và tổn hại uy tín nhiều khi vượt xa thiệt hại trực tiếp. Từ góc nhìn an ninh, mỗi vụ rò rỉ lớn lại tạo ra một “nguồn dữ liệu thứ cấp” cho nhiều hoạt động bất hợp pháp về sau, kéo dài trạng thái rủi ro và khiến công tác phòng ngừa trở nên khó khăn.

Khi thiệt hại không dừng ở con số

Bộ Công an xác định, dữ liệu cá nhân bị rò rỉ thường là điểm khởi đầu của chuỗi hành vi lừa đảo. Khi kẻ xấu có họ tên, số căn cước, ngày sinh, địa chỉ, thậm chí lịch sử giao dịch, chúng có thể xây dựng kịch bản giả mạo với độ thuyết phục cao: tự xưng là nhân viên ngân hàng tra soát giao dịch bất thường; giả danh cơ quan điều tra thông báo “liên quan đường dây rửa tiền”; làm nhân viên sàn thương mại báo “đơn hàng lỗi cần xác minh”. Ở mỗi kịch bản, dữ liệu chính xác về nạn nhân là “mồi” giúp phá vỡ phòng tuyến cảnh giác.

Hệ quả trực tiếp là thiệt hại tài chính. Nạn nhân bị dẫn dắt đến các trang thanh toán giả, cài ứng dụng gián điệp, hoặc được hướng dẫn chuyển tiền “tạm giữ” để “phục vụ điều tra”. Điều nguy hiểm là một số nạn nhân không ý thức được dữ liệu mình để lộ từ đâu: ảnh chụp căn cước đã đăng lên nhóm chat, form thông tin đã từng điền, hay đường link đã bấm trước đó. Vì thế, khi vụ việc xảy ra, việc truy nguyên để khắc phục chậm trễ, khiến dữ liệu tiếp tục bị khai thác nhiều vòng.

Tác hại xã hội không chỉ gói trong con số thiệt hại. Sự xâm phạm dữ liệu làm suy giảm niềm tin của người dân vào môi trường số. Người dân e ngại với dịch vụ công trực tuyến, không dám lưu thông tin thanh toán trên ứng dụng; doanh nghiệp ngại chuyển đổi số sâu hơn vì sợ rủi ro pháp lý và uy tín. Ở cấp độ rộng, đó là lực cản đối với mục tiêu phát triển kinh tế số, xã hội số, nơi dữ liệu vốn phải là động lực, nhưng nếu không an toàn, lại trở thành “điểm gãy”.

Từ thực tiễn điều tra, cơ quan chức năng chỉ ra một “vòng đời” phổ biến của dữ liệu bị lộ. Giai đoạn một, dữ liệu bị chiếm đoạt (do tấn công hoặc do người dùng tự đưa). Giai đoạn hai, dữ liệu được “làm giàu”: chuẩn hoá, loại trùng, ghép nối thêm nguồn. Giai đoạn ba, dữ liệu được tiêu thụ: rao bán lẻ theo yêu cầu, hoặc dùng để thực hiện lừa đảo. Giai đoạn bốn, dữ liệu cũ tiếp tục là nguyên liệu cho đợt tấn công mới. Vòng đời ấy giải thích vì sao một người đã từng là nạn nhân lại tiếp tục nhận cuộc gọi, tin nhắn nghi vấn sau đó rất lâu, bởi dữ liệu của họ vẫn nằm trong “kho” ngoài vòng kiểm soát.

Một hệ quả nghiêm trọng khác là xâm hại danh dự, nhân phẩm. Dữ liệu hình ảnh, tin nhắn riêng tư, nếu bị đánh cắp, có thể bị dùng để tống tiền. Ở một số vụ việc, kẻ xấu tạo tài khoản giả mạo, sử dụng hình ảnh nạn nhân để phát tán nội dung sai sự thật, công kích cá nhân, gây tổn hại kéo dài về tâm lý. Khi mạng xã hội khuếch đại thông tin theo cấp số nhân, việc gỡ, đính chính không thể xoá dấu vết hoàn toàn, và nạn nhân chịu “vết sẹo số” lâu dài.

Với tổ chức, chi phí sau sự cố là gánh nặng: thuê đơn vị ứng cứu, kiểm thử lỗ hổng, triển khai lại quy trình bảo mật, đào tạo lại nhân viên, làm việc với cơ quan chức năng. Nhiều doanh nghiệp vừa và nhỏ không có đội ngũ an ninh mạng chuyên trách, coi bảo mật là khoản chi “để sau”, cho đến khi sự cố xảy ra. Cơ quan chức năng đã nhiều lần khuyến cáo doanh nghiệp phải coi dữ liệu khách hàng là tài sản cốt lõi, gắn chi phí bảo vệ dữ liệu như một cấu phần bắt buộc trong vận hành, thay vì xử lý theo kiểu “khắc phục sau khi xảy ra”.

Đó là thực trạng nhức nhối suốt nhiều năm qua. Dữ liệu cá nhân, vốn gắn với nhân thân, danh dự, quyền riêng tư, lại bị đối xử như món hàng, như “nguyên liệu đầu vào” của các hoạt động bất hợp pháp. Và hệ quả không chỉ là các vụ lừa đảo tài chính đang đầy rẫy trên mạng xã hội và cả đời thực, mà là một môi trường số thiếu an toàn, thiếu tin cậy.

Do đó, việc có hành lang pháp lý chặt chẽ, sẽ khiến không gian số trở thành môi trường đáng tin cậy cho người dân, doanh nghiệp, tổ chức.

(Còn tiếp)