Khách hàng có quyền truy cứu khi bị doanh nghiệp làm rò rỉ thông tin.
Dồn dập nghi vấn an ninh mạng
Chiều ngày 13/11, trên diễn đàn RaidForums, hacker (tin tặc) đã công khai dữ liệu theo như tuyên bố là khách hàng của hệ thống cửa hàng FPT Shop. Trong thông tin đưa ra, hacker này cung cấp hình ảnh chụp thông tin mua hàng tại các cửa hàng FPT Shop của một số doanh nghiệp và cá nhân kèm chứng minh nhân dân, xác nhận sử dụng điện thoại kèm theo máy, sản phẩm mà khách mua…
Nghi vấn lộ thông tin khách hàng của Thế giới di động đã bắt đầu cho nhiều lo ngại bảo mật. (Ảnh: Hà Nhân)
Đến chiều ngày 15/11, đại diện cục An toàn thông tin (bộ Thông tin và Truyền thông) cho biết trong các file dữ liệu được cho là thông tin nhân viên, khách hàng của FPT Shop mà hacker đưa lên mạng RaidForums những ngày qua có chứa virus nguy hiểm.
Qua kiểm tra với tập tin được cho là thông tin liên quan đến khách hàng của FPT Shop do một thành viên trên diễn đàn này đăng tải, khi người dùng mở các tập tin này, máy tính sẽ bị lây nhiễm mã độc đã được đính kèm trong các tệp tin thực thi. Hậu quả là thông tin trên máy tính của người dùng có thể bị chiếm đoạt, mã hóa, xóa toàn bộ dữ liệu hoặc tệ hại hơn là bị lợi dụng máy tính để tấn công sang máy tính, hệ thống khác,…
Trao đổi với PV báo Người Đưa Tin vào tối 15/11, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng tập đoàn BKAV nhận định chưa thể khẳng định việc FPT Shop bị tấn công an ninh mạng. Sự xác minh này cần thông báo chính thức từ đơn vị này về tình trạng hệ thống an toàn thông tin của họ.
Người phát tán thông tin được cho là của FPT Shop có nickname herasvn, đây cũng là người đã công bố danh sách 2.200 nhân viên của hệ thống Con Cưng trước đó vài ngày. Sau khi kiểm tra, các chuyên gia tại diễn đàn WhiteHat cho biết dữ liệu đó là chính xác và có thể hệ thống Con Cưng đã bị tấn công. Dữ liệu đó bao gồm 2.272 thông tin nhân viên cùng 2.187 số điện thoại, 1.133 email, 2.272 số CMND hoặc hộ chiếu, 1.395 ảnh đại diện và nhiều thông tin cá nhân khác đều chính xác.
Trước đó, một hacker khác đã tung ra trên diễn đàn này hơn 5,4 triệu email và 31.000 bản ghi lịch sử giao dịch của những người dùng được cho là khách hàng của Thế Giới Di Động. Tuy nhiên, phía Thế Giới Di Động phủ nhận việc doanh nghiệp bị tấn công thông tin.
Về những luồng thông tin này, cục An toàn thông tin đã nhanh chóng vào cuộc kiểm tra, hỗ trợ các doanh nghiệp. Ông Nguyễn Huy Dũng, Phó Cục trưởng cục An toàn thông tin (bộ Thông tin – Truyền thông) khẳng định, công tác đảm bảo an toàn an ninh mạng đang được Chính phủ rất coi trọng.
“Công tác đảm bảo an toàn thông tin mạng vẫn còn bị động thời gian qua. Từ đó, cục An toàn thông tin sẽ nâng cao các quy trình để tăng cường ra soát, phát hiện các lỗ hổng, điểm yếu trên không gian mạng và cảnh báo kịp thời đến các tổ chức, cá nhân”, ông Dũng cho biết.
Chuyên gia an ninh mạng Ngô Tuấn Anh cho rằng: “Các doanh nghiệp cần có sự đầu tư hệ thống bảo mật cùng quá trình xây dựng hệ thống công nghệ thông tin với ý thức cao. Với các công ty có dữ liệu khách hàng lớn như bán lẻ, thương mại điện tử, dịch vụ trực tuyến... thì cần có cơ chế đặc biệt để nhanh chóng ngăn chặn, xử lý việc rò rỉ thông tin khi phát hiện”.
Ông Tuấn Anh cũng nhận định việc tấn công lấy dữ liệu của các doanh nghiệp không phải là chuyện mới ở Việt Nam hay trên thế giới, ngày càng gia tăng về số lượng và quy mô tấn công an ninh mạng với mục đích tài chính kinh doanh.
“Các doanh nghiệp vừa và nhỏ, không có bộ phận chuyên trách về an toàn thông tin cần nhanh chóng phối hợp với các trung tâm bảo mật, các đơn vị quản lý của Nhà nước để nhanh chóng rà soát nhằm ngăn chặn và phòng ngừa các cuộc tấn công tương tự”, ông Tuấn Anh chia sẻ.
Pháp lý về an toàn thông tin
Ngoài vấn đề bảo mật và an ninh mạng, nhiều người ngạc nhiên khi biết các doanh nghiệp lưu trữ khá nhiều thông tin của mình. Trên thực tế, dữ liệu từ khách hàng đã được các doanh nghiệp thu thập và lưu trữ bằng nhiều cách khác nhau trong một thời gian dài.
Điển hình như doanh nghiệp thương mại điện tử Tiki đã lưu toàn bộ dữ liệu trong suốt quá trình hoạt động từ trước đến nay. Mọi tương tác của khách hàng, từ cú nhấp hay di chuyển chuột trên website đều được ghi nhớ. Từ đó, doanh nghiệp này cho biết đã sở hữu kho dữ liệu khách hàng với tỷ lệ đến 25% chính xác thông tin cá nhân, ngày sinh, nơi sống... , cao hơn gấp nhiều lần với các nhà bán lẻ khác.
Không chỉ có doanh nghiệp thương mại điện tử mà các nhà bán lẻ truyền thống cũng ngày càng quan tâm đến dữ liệu khách hàng. Đại diện liên hiệp Hợp tác xã Thương mại TP.HCM (Saigon Co.op) cho biết, bán lẻ là ngành thu thập được số lượng dữ liệu nhiều thứ hai, chỉ sau viễn thông. Do đó, 20 năm qua, Saigon Coop cũng giữ lại mọi dữ liệu từ khách hàng.
Tuy nhiên, công tác bảo mật dữ liệu của các doanh nghiệp luôn gặp khó khăn đối với cơ sở hạ tầng thông tin, đội ngũ nhân sự và cách quản lý. Một lãnh đạo cấp cao của ngân hàng trong top 5 Việt Nam cho hay: “Dữ liệu là nguồn tài nguyên lớn nhất và có giá trị nhất đối với các nhà cung cấp dịch vụ. Nếu mỗi doanh nghiệp có khoảng 20.000 nhân viên thì đồng nghĩa với việc có từng đó số lượng máy tính có quyền truy cập hợp pháp vào trung tâm dữ liệu”.
“Thậm chí, trong thời buổi cách mạng 4.0 như hiện nay, các doanh nghiệp cũng phát triển ứng dụng để các nhân viên làm việc nội bộ trên điện thoại thông minh. Vậy là có thêm hàng chục ngàn thiết bị nữa có quyền truy cập vào dữ liệu khách hàng. Điều đó làm tăng nguy cơ trong công tác bảo mật khi các thiết bị này truy cập vào các trang web độc hại, có nguy cơ nhiễm mã độc, virus”, vị này nói thêm.
Luật sư Nguyễn Ngô Quang Nhật, đoàn Luật sư TP.HCM. (Ảnh: Hà Nhân).
Về mặt pháp lý, luật sư Nguyễn Ngô Quang Nhật, công ty Luật TNHH Chính Nghĩa Luật (đoàn Luật sư TP.HCM) đánh giá: “Đối với danh sách thông tin khách hàng được doanh nghiệp (chủ thể kinh doanh hàng hóa, dịch vụ) lưu trữ thì có 2 vấn đề. Thứ nhất, nếu những thông tin được khách hàng cung cấp cho doanh nghiệp là thông tin riêng tư, bí mật cá nhân, bí mật gia đình,… thì đã được pháp luật bảo vệ bằng quy định chặt chẽ, bất khả xâm phạm. Việc lưu giữ, sử dụng, công khai các thông tin này cần sự cho phép của chủ thể thông tin, trừ những trường hợp có quy định riêng theo điều 38 Bộ luật Dân sự”.
“Thứ 2 là thỏa thuận (hợp đồng) mà khách hàng và doanh nghiệp ký kết khi giao dịch có quy định về thông tin cá nhân, thông tin khách hàng như thế nào. Ví dụ có cho phép doanh nghiệp cung cấp thông tin cho bên thứ 3 hay không, trách nhiệm của doanh nghiệp trong việc lưu trữ thông tin của khách hàng đến đâu, trường hợp rò rỉ thông tin khách hàng thì trách nhiệm của các bên liên quan thế nào... Những hành vi bao gồm việc thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác hoặc lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân thì đều bị xem là vi phạm pháp luật theo luật An toàn thông tin mạng”, ông Nhật cho biết.
Hiện nay, đối với việc bảo vệ thông tin người tiêu dùng thì luật Bảo vệ người tiêu dùng có quy định rõ, người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan Nhà nước có thẩm quyền yêu cầu. Trường hợp thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng thì tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ có trách nhiệm bảo đảm an toàn, chính xác, đầy đủ khi thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng.
Như vậy khi doanh nghiệp để lộ thông tin khách hàng dưới bất kỳ hình thức nào, dù bị tấn công an ninh mạng hay hành vi có chủ đích của nhân viên thì đều phải chịu trách nhiệm.
“Trường hợp việc rò rỉ thông tin gây thiệt hại, khách hàng có thể khởi kiện ra tòa án để yêu cầu bồi thường hoặc tố cáo hành vi vi phạm để cơ quan chức năng xử lý kịp thời, giúp ngăn chặn hậu quả xấu có thể xảy ra. Nhưng trên thực tế tại Việt Nam, chưa ghi nhận trường hợp doanh nghiệp bị kiện vì để lộ thông tin khách hàng do không đảm bảo an toàn thông tin của người tiêu dùng”, luật sư Quang Nhật kết luận.
