Bảo mật thông tin cá nhân: Luật có cũng như không

(ĐTTCO)-Trong tuần qua, vụ việc lộ thông tin thẻ thanh toán và email khách hàng, được cho là của chuỗi bán lẻ TGDĐ, đã gây xôn xao dư luận. Bộ TT-TT và NHNN cũng đã lên tiếng về vụ việc này. Trao đổi với ĐTTC về sự việc này, ông NGUYỄN HỮU CƯỜNG (ảnh), chuyên gia bảo mật của Bkav, người đang điều hành Diễn đàn an ninh mạng whitehat.vn, cho biết:

Bảo mật thông tin cá nhân: Luật có cũng như không
Sau khi tung dữ liệu về 31.000 bản ghi liệt kê số thẻ NH được cho của khách hàng từ hệ thống TGDĐ, hacker tiếp tục đăng tải 32 hàng dữ liệu có đầy đủ 16 chữ số thẻ NH trên RaidForums. Tuy nhiên, chúng tôi chưa thể khẳng định các thông tin thẻ tín dụng này có chính xác hay không.
Hơn nữa, có vẻ như hacker đang muốn làm trầm trọng thêm vụ việc theo cách lộ lọt nhỏ giọt nhằm thu hút sự chú ý của truyền thông. Đến nay, vẫn chưa có bằng chứng khẳng định đây là thông tin khách hàng của TGDĐ. Cùng với đó, nếu giả sử đây đúng là khách hàng của TGDĐ, cũng chưa thể xác định việc lộ lọt thông tin ở đâu, thuộc trách nhiệm của ai. Nếu đó là thông tin giả mà hacker tung ra với mục đích nào khác thì sao? 
Bộ TT-TT và NHNN cũng đã vào cuộc nhưng chưa có kết luận cuối cùng và trách nhiệm thuộc về ai. Tuy nhiên, chúng tôi vẫn khuyến cáo người dùng nên chủ động kiểm tra xem địa chỉ email và tài khoản của mình có nằm trong các tập tin đã đăng tải trên RaidForums.
Đồng thời, doanh nghiệp và khách hàng cần hết sức cảnh giác, thận trọng khi thực hiện các giao dịch online, nhằm đảm bảo các quyền lợi hợp pháp của mình. 
PHÓNG VIÊN: - Như vậy, có cần phải thực hiện cuộc điều tra để làm rõ vụ việc này, thưa ông?
Ông NGUYỄN HỮU CƯỜNG: - Về phía TGDĐ đã phát đi thông cáo phủ nhận mình bị lộ thông tin thanh toán của khách hàng. Theo giải thích từ TGDĐ, khi khách hàng thanh toán bằng cách cà thẻ tại máy POS, dữ liệu mã hóa được chuyển về NH. Hay khi khách hàng thanh toán trực tuyến qua trang web của công ty, thông tin thẻ sẽ được chuyển qua cổng thanh toán của TCTD cung cấp dịch vụ thanh toán trung gian.
Do đó, công ty không lưu trữ những thông tin như số thẻ, ngày hết hạn, ngày giờ mua hàng... của khách, nên không thể có việc những thông tin này bị lộ từ hệ thống của họ. 
Tuy nhiên, theo tôi việc TGDĐ có bị tấn công và lộ thông tin khách hàng hay không, cần phải điều tra thực tế và có đánh giá của các chuyên gia.
Cùng với đó, nếu “bị oan”, phía TGDĐ cần có những minh chứng rõ ràng, cụ thể hơn về những dữ liệu được công bố là không chính xác để trấn an khách hàng. Thậm chí TGDĐ có thể trực tiếp mở cuộc điều tra với sự tham gia của các cơ quan chức năng có chuyên môn.
- Thực tế đây không phải là vụ lộ, lọt thông tin cá nhân lần đầu ở Việt Nam khi tham gia các giao dịch online. Theo ông, vấn đề này đã đến mức nguy hiểm như thế nào?
- Việc đánh cắp thông tin khách hàng rồi rao bán hay sử dụng vào mục đích gì cũng đều là vi phạm pháp luật. Ở Việt Nam đã có nhiều vụ việc tương tự bị cơ quan chức năng truy cứu, xử lý.
Tuy nhiên, trong bối cảnh thương mại điện tử, thanh toán online, sử dụng tài khoản NH, ví điện tử… phát triển mạnh mẽ như hiện nay, người tiêu dùng cần hết sức cẩn trọng để bảo vệ thông tin cá nhân của mình. Không nên thực hiện giao dịch, mua bán online trên những trang không có chức năng bảo mật, không rõ nguồn gốc, xuất xứ, đơn vị chủ quản; không đăng nhập thông tin cá nhân, số tài khoản, số thẻ ATM vào những trang website, đường link lạ do người khác gửi, thiếu kiểm chứng.
Khi đã giao dịch xong nhưng nghi ngờ, phương án đảm bảo an toàn tốt nhất là người dùng khóa ngay thẻ thanh toán đó lại và thay đổi các thông tin về bảo mật; hoặc tiến hành đổi thẻ thanh toán mới. Bởi không chỉ riêng trường hợp nói trên được cho là của TGDĐ, bất kỳ trường hợp tấn công nào khi hacker lấy được thông tin số thẻ thanh toán ở các NH, thiệt hại rất khó lường. 
- Với các doanh nghiệp, những nhà cung cấp dịch vụ thì sao, thưa ông?
- Dữ liệu cá nhân người dùng có thể coi là một trong những tài sản quý giá nhất của doanh nghiệp ngày nay. Khi giao dịch qua mạng đã trở thành phương thức giao dịch phổ thông, dữ liệu người dùng cần được bảo vệ an toàn, giảm thiểu tối đa việc lộ, lọt dữ liệu trên môi trường mạng.
Vì vậy, các tổ chức, doanh nghiệp phải tăng cường các biện pháp quản lý và kỹ thuật nhằm bảo đảm an toàn thông tin cho hệ thống thông tin phục vụ hoạt động nội bộ, cũng như cung cấp dịch vụ trên mạng cho người sử dụng.
Theo đó, chủ động rà soát các điểm yếu, lỗ hổng trên hệ thống thông tin; theo dõi, giám sát, phát hiện sớm nguy cơ, dấu hiệu tấn công mạng, kịp thời xử lý các vấn đề phát sinh. Với những doanh nghiệp không chuyên, hoặc chưa có đội ngũ cán bộ chuyên trách về an ninh mạng, an toàn thông tin, nên sử dụng dịch vụ bảo đảm an toàn thông tin chuyên nghiệp do doanh nghiệp chuyên về lĩnh vực này cung cấp, như Viettel, VNPT, CMC, BKAV, FPT...
- Xin cảm ơn ông.
Điều 38, Bộ luật Dân sự 2015, quy định về quyền về đời sống riêng tư, bí mật cá nhân, bí mật gia đình:
1. Đời sống riêng tư, bí mật cá nhân, bí mật gia đình là bất khả xâm phạm và được pháp luật bảo vệ.
2. Việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến đời sống riêng tư, bí mật cá nhân phải được người đó đồng ý, việc thu thập, lưu giữ, sử dụng, công khai thông tin liên quan đến bí mật gia đình phải được các thành viên gia đình đồng ý, trừ trường hợp luật có quy định khác.
3. Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật. Việc bóc mở, kiểm soát, thu giữ thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của người khác chỉ được thực hiện trong trường hợp luật quy định.
4. Các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác.

Các tin khác