Bảo mật thông tin khách hàng, tử huyệt của doanh nghiệp Việt thời đại số?
(NB&CL) Sự cố lộ thông tin khách hàng của Công ty CP Thế Giới Di Động (TGDĐ), nhà bán lẻ hàng đầu Việt Nam đã được doanh nghiệp khẳng định là thông tin giả. Cục An toàn thông tin (Bộ TT&TT) cũng đồng quan điểm,… Tuy vậy, không ít chuyên gia vẫn tỏ ra lo ngại về việc hacker có thể nắm giữ nhiều hơn những gì đăng tải. Và hậu quả xảy ra, rất nặng nề và không có dấu hiệu dừng lại.
1. Sau sự cố, TGDĐ đã lập tức thông tin: “Chúng tôi không lưu thông tin thẻ của khách hàng”, và “chúng tôi đã kiểm tra các thông tin được phản ảnh và khẳng định hệ thống công nghệ thông tin của TGDĐ vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng. Mọi thông tin của khách hàng vẫn được bảo mật…”
Theo lý giải của TGDĐ, khi khách hàng mua hàng và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách và là máy của ngân hàng. Như vậy bản chất là ngân hàng đang đọc thẻ của khách và chuyển dữ liệu về ngân hàng, hệ thống của TGDĐ không can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng.
Cũng tương tự, nếu khách hàng thanh toán online qua website, khi thanh toán sẽ nhảy sang cổng thanh toán của một bên thứ ba, nên website TGDĐ không thể lưu các thông tin của khách.
Sự khẳng định của TGDĐ nhận được sự tin tưởng tương đối, bởi ngoài là một nhà bán lẻ hàng đầu Việt Nam, các cơ quan quản lý nhà nước, các hãng bảo mật,… cũng đã và đang vào cuộc. Cục An toàn thông tin đã khẳng định các thông tin quan trọng của thẻ tín dụng khách hàng không được lưu trữ trên hệ thống do TGDD quản lý.
Nhưng “được vạ má sưng”. Sau sự cố nói trên, cổ phiếu của TGDĐ liên tục rớt giá, khiến doanh nghiệp bị thổi bay hàng ngàn tỷ đồng vốn hóa trên thị trường.
Người ta đang lo lắng, rằng có một “bàn tay đen” nào đó đang tấn công các nhà bán lẻ Việt Nam, và TGDĐ chỉ là nạn nhân khởi đầu.
Các doanh nghiệp Việt vẫn mất bò mới lo làm chuồng.
2. Thực tế, trước khi TGDĐ vướng nghi án hack thông tin người dùng, đã có nhiều doanh nghiệp bị tin tặc hành hạ.Cụ thể, ngày 19/7/2016, website www.vietnamairlines.com đã bị tin tặc tấn công, thay đổi giao diện, phát tán bảng danh sách ước tính hơn 400.000 tài khoản hội viên Vietnam Airlines lên mạng. Sau đó, trong 2 ngày 8 và 9/3/2017, cảng hàng không Tân Sơn Nhất (TP.HCM), Rạch Giá (Kiên Giang), Tuy Hòa (Phú Yên) bị hacker xâm nhập, thay đổi giao diện, để lại lời nhắn cảnh báo,…
Hay tối 13/10/2018 mới đây, website Ngân hàng Hợp tác xã Việt Nam bị tấn công, hiển thị nội dung “Tôi có toàn bộ cơ sở dữ liệu của 275.000 người dùng” và đòi 100.000 USD tiền chuộc. Sau đó, ngân hàng khẳng định: “Toàn bộ thông tin dữ liệu khách hàng hoàn toàn an toàn”.
Thông tin khách hàng có an toàn thật không? Và tin tặc sẽ làm gì với nó, nếu có?
Thực tế, các dữ liệu người dùng là tài sản vô giá, giúp các doanh nghiệp ở mọi lĩnh vực hiểu rõ hơn về khách hàng, hành vi và sở thích tiêu dùng của họ để đưa ra các chiến lược kinh doanh,… Với các tổ chức nhà nước, nguồn dữ liệu cá nhân còn được sử dụng vào rất nhiều mục đích về phát triển kinh tế, quản lý xã hội, chống tội phạm, khủng bố,…
Tuy nhiên, nếu rơi vào tay tin tặc, các dữ liệu trên sẽ bị sử dụng một cách bất hợp pháp, như bán cho các công ty tiếp thị hoặc công ty chuyên về các chiến dịch spam. Với các thông tin tài khoản ngân hàng, tin tặc có thể thực hiện các giao dịch trực tuyến lừa đảo, thậm chí sử dụng để làm thẻ tín dụng giả, lấy cắp tiền của chủ tài khoản…
Trước động thái này, một chuyên gia tài chính cho biết, hacker cũng sẽ không dễ dàng để lấy cắp tài khoản ngân hàng, vì chúng cần nhiều thông tin, qua nhiều bước xác nhận chủ sở hữu. Tuy nhiên, cũng không loại trừ việc hacker nắm giữ nhiều thông tin hơn so với những gì đã đăng tải.
3. Bình luận về vụ việc, ông Võ Đỗ Thắng - Giám đốc Athena cho rằng, hệ thống của TGDĐ rất lớn, do đó, việc quản lý, bảo mật một hệ thống như vậy không phải là điều đơn giản, song đến lúc này chưa thể khẳng định điều gì. “Hệ thống cũng giống như cơ thể người, hoạt động một thời gian thì sẽ có những bệnh phát sinh hay các lỗ hổng. Vấn đề là họ có kiểm soát, giám sát, bảo trì thường xuyên để đề phòng những rủi ro hay không?”, ông Thắng đặt vấn đề.
Trước mắt, theo ông Ngô Trần Vũ, Giám đốc NTS, người dùng thì nên đổi mật khẩu email cá nhân, mật khẩu giao dịch ngân hàng online và theo dõi hoặc đóng băng giao dịch bằng thẻ tín dụng chờ xác minh,… Một Admin diễn đàn công nghệ thì nói thẳng thực tế: “Ở Việt Nam, các công ty thường bị “giang hồ mạng” tấn công rồi mới đầu tư cho bảo mật”.
Về giải pháp, ý kiến của ông Trần Minh Quảng, Trung tâm An ninh mạng Viettel đang nhận được nhiều sự ủng hộ. Theo ông Quảng, trong lĩnh vực tài chính ngân hàng, dữ liệu người dùng được bảo mật bởi các hệ thống tuân thủ theo các tiêu chuẩn riêng trong ngành. Đối với các lĩnh vực chưa có tiêu chuẩn cụ thể, các doanh nghiệp có thể tham khảo các tiêu chuẩn của các doanh nghiệp cùng ngành trên thế giới, hoặc nhờ sự hỗ trợ tư vấn của các nhà cung cấp dịch vụ bảo mật.
Việt Nam đang bước vào cuộc Cách mạng công nghiệp 4.0 dựa trên nền tảng của sự phát triển CNTT và truyền thông, mang đến nhiều cơ hội cho các doanh nghiệp khởi nghiệp sáng tạo, giảm đáng kể chi phí giao dịch, vận chuyển,… Tuy vậy, khi các chính sách, giải pháp về bảo vệ tài sản dữ liệu, an toàn thông tin chưa được đặt nặng, thì đó là tử huyệt không chỉ với các doanh nghiệp, mà còn với cả nền kinh tế đất nước. Cuộc khủng hoảng thực sự cả về tài chính, truyền thông và niềm tin khách hàng mà TGDĐ gặp phải liệu có là bài học đau đớn, nhãn tiền cho các doanh nghiệp, các cơ quan quản lý về an toàn thông tin?
Kiên Giang