Từ chuyện đặt vé máy bay bị spam quảng cáo taxi đến vụ lộ thông tin Zing ID và Thế giới di động: Ở Việt Nam, người ta chỉ quan tâm doanh nghiệp có bị hack không, chẳng ai để ý đến khách hàng?

Câu chuyện dưới đây của anh Nguyễn Minh Đức, nhà sáng lập, CEO CyRadar, một startup chuyên về an toàn thông tin, là câu chuyện mà nhiều người có thể đã bắt gặp.

Anh Đức kể rằng trong một lần công tác, cần đặt vé máy bay nên anh có cung cấp số điện thoại trên trang web của hãng. Mục đích là để nhận thông tin nếu chuyến bay bị trễ hay hãng có gửi thêm thông báo bổ sung. Nhưng ngay sau đó, anh nhận được các tin nhắn quảng cáo về dịch vụ taxi giá rẻ, từ cả địa điểm xuất phát lẫn địa điểm hạ cánh.

"Như vậy là toàn bộ thông tin cá nhân của tôi đã bị rò rỉ. Tự nhiên nhiều người biết tôi đang đi đâu dù đây là thông tin tôi không muốn bị lộ. Khi gặp tình huống này, dù rất giận dữ nhưng tôi cũng không biết phải xử lý thế nào", CEO CyRadar thừa nhận.

CEO CyRadar Nguyễn Minh Đức

Đó chỉ là câu chuyện riêng của cá nhân anh Nguyễn Minh Đức, nhưng trong năm 2018, đã có những vụ lộ thông tin khách hàng bị lộ ra trên quy mô lớn hơn, ảnh hưởng tới nhiều cá nhân hơn.

Điển hình là tháng 4 năm ngoái, hơn 160 triệu tài khoản Zing ID bị lộ thông tin trên diễn đàn Raidforums. Dữ liệu bị tung lên mạng khá chi tiết, bao gồm tên tài khoản, mật khẩu, email, số điện thoại, ngày sinh, địa chỉ, số CMND - hộ chiếu... Vấn đề đáng nói là phía VNG nhận biết nguy cơ này từ 2015 nhưng người sử dụng không được biết hay thông báo gì về điều này, từ đó không có biện pháp để tự bảo vệ mình.

Hay vào tháng 11/2018, cũng trên diễn đàn này, các tập tin chưa email và thông tin thẻ ngân hàng của các khách hàng Thế Giới Di Động đã bị một tài khoản phát tán. Sự việc khiến cổ phiếu MWG của Thế giới Di động giảm hơn 1,8% trong ngày hôm sau, tương đương với gần 650 tỷ đồng vốn hóa bị "thổi bay".

Theo CEO CyRadar, trong những vụ rò rỉ thông tin nói trên, thường có 2 nguyên nhân phía sau:

1. Bị tấn công: Ví dụ có lỗ hổng trong phần mềm mới đưa ra, hoặc nhà cung cấp chưa đạt tiêu chuẩn an toàn, hoặc máy tính của nhân viên quan trọng trong tổ chức bị cài đặt phần mềm gián điệp.

2. Tự nhân viên lấy quyền bên trong để đưa thông tin ra bên ngoài.

Tuy nhiên khi vụ việc xảy ra, các nhà cung cấp mới chỉ tập trung đi tìm nguyên nhân phía sau chứ chưa nghĩ đến quyền lợi của khách hàng.

"Người ta nói nhiều đến việc có phải tấn công hay không nhưng lại không để ý đến khía cạnh quan trọng hơn là dữ liệu của khách hàng có bị lộ không và cách giải quyết cho khách hàng thế nào. Đây là góc nhìn chưa đứng từ phía người sử dụng", anh Đức nhấn mạnh.

"Có một vấn đề có thể các nhà cung cấp chưa để ý, rằng nếu họ không thể bảo vệ dữ liệu khách hàng tốt thì khách hàng sẽ không dám tham gia dùng dịch vụ nữa. Khi ấy, hoạt động kinh doanh của nhà cung cấp sẽ bị ảnh hưởng".

CEO CyRadar cho biết ở Châu Âu, để bảo vệ dữ liệu người dùng, Liên minh Châu Âu đã chính thức nâng lên thành luật vào tháng 5/2018 vừa qua.

Theo như luật này, các tổ chức và doanh nghiệp có thu thập thông tin cá nhân bắt buộc phải giữ bí mật thông tin của khách hàng, phải công khai việc dùng thông tin đó để làm gì hay chuyển cho ai khác; khi có sự cố thất thoát thông tin thì phải báo cáo muộn nhất 72 tiếng kể từ khi sự cố xảy ra. Công ty vi phạm có thể chịu mức phạt 20 triệu Euro, hoặc 4% doanh số toàn cầu của công ty.

"Mức phạt cao nên các nhà cung cấp sẽ tự tìm cách để bảo vệ dữ liệu khách, đây là câu chuyện chúng ta cần tham khảo", anh Đức cho biết.

Từ trường hợp của Châu Âu, CEO CyRadar hy vọng Việt Nam có thể sớm đưa ra các tiêu chuẩn tương tự để doanh nghiệp đi theo, khiến các khách hàng cảm thấy tin tưởng và tiếp tục sử dụng dịch vụ. Bởi "nếu không có sự thay đổi, trong thời gian tới đây, sẽ có nhiều vụ rò rỉ thông tin khách hàng xảy ra tiếp theo".