Câu chuyện vi phạm dữ liệu là gam màu tối của bức tranh an ninh mạng. Vi phạm dữ liệu làm lộ thông tin nhạy cảm thường khiến người dùng có nguy cơ bị đánh cắp danh tính, hủy hoại danh tiếng của công ty và hầu như luôn khiến các công ty phải chịu trách nhiệm về các vi phạm tuân thủ. Việc bảo vệ chống vi phạm dữ liệu, quyền riêng tư của người dùng là một cuộc chiến dai dẳng và không dễ dàng khi chúng ta chuyển sang nền kinh tế số, chính phủ số. Những rủi ro tiềm ẩn, nguy cơ trộm cắp dữ liệu luôn rình rập trên môi trường mạng. Các vấn đề an ninh liên quan đến lộ lọt dữ liệu đã trở thành cuộc đấu tranh hàngngày của các doanh nghiệp, và là thách thức thường trực cho các chuyên gia an toàn thông tin mạng.
Vi phạm dữ liệu gia tăng quy mô và mức độ nguy hiểm
Ngày càng có nhiều vụ vi phạm quy mô lớn được công khai rộng rãi cho thấy rằng không chỉ số lượng các vụ vi phạm bảo mật đang tăng lên mà mức độ nghiêm trọng của chúng cũng gia tăng. Chúng ta có thể thấy mức độ nguy hiểm của các vụ vi phạm dữ liệu lớn đã diễn ra trong lịch sử Internet. Một trong những vụ vi phạm dữ liệu làm lộ lọt thông tin lớn nhất lịch sử là vụ tấn công vào Yahoo năm 2013, số lượng tài khoản bị đánh cắp lên tới 3 tỷ.
Năm 2016, Uber báo cáo rằng tin tặc đã đánh cắp thông tin của hơn 57 triệu hành khách và tài xế. Uber đã trả khoảng 100.000 đô la cho tin tặc để xóa dữ liệu bị đánh cắp và giữ im lặng vụ vi phạm.
Năm 2017 ghi nhận 3 cuộc tấn công vi phạm dữ liệu lớn:
(1) 100.000 công ty tại ít nhất 150 quốc gia và hơn 400.000 máy bị nhiễm virus Wannacry, gây thiệt hại khoảng 4 tỷ USD; (2) Hơn 412 triệu tài khoản nằm trong cơ sở dữ liệu người dùng đã bị đánh cắp từ các trang web hẹn hò thuộc quản lý của công ty giải trí Friend Finder Networks; và (3) 147,9 triệu người tiêu dùng bị ảnh hưởng bởi vụ tấn công mạng quy mô lớn nhắm vào Equifax. Vụ vi phạm dữ liệu này đã khiến công ty thiệt hại tổng cộng khoảng 4 tỷ đô la. Năm 2018, Under Armor đã báo cáo rằng "My Fitness Pal" đã bị hack, ảnh hưởng đến 150 triệu người dùng. Ngoài ra, đáng chú ý là vụ tấn công Starwood (công ty con của Marriott International) xảy ra từ năm 2014 và đến năm 2018 mới bị phát hiện và khi đó có tới 500 triệu hồ sơ của khách hàng đã bị đánh cắp.
Một ví dụ điển hình về vi phạm dữ liệu năm 2019 chính là vụ rò rỉ dữ liệu của MGM Hotel ảnh hưởng đến 142 triệu khách hàng.
Năm 2020 cũng không phải là ngoại lệ, tin tặc liên tục thực hiện các cuộc tấn công nhằm ăn cắp những dữ liệu, thông tin của các tổ chức/cá nhân. Một khảo sát của Verizon đã chỉ ra 58% các vụ vi phạm dữ liệu trong năm 2020 liên quan đến thông tin cá nhân, trong khi con số này năm 2017 chỉ là 36%.
Nổi bật với số lượng dữ liệu bị rò rỉ và số tiền khổng lồ màgiới hacker thu được trong năm 2020 phải kể đến là: (1) Vụ tấn công xâm phạm dữ liệu chuỗi khách sạn Marriott. Cuộc tấn công này khiến hơn 5,2 triệu khách hàng có nguy cơ bị lộ lọt thông tin; (2) Vụ vi phạm Twitter nhắm vào 130 tài khoản, bao gồm cả các tài khoản của các cựu tổng thống Mỹ và Elon Musk. Những kẻ tấn công đã kiếm được 121.000 đô la Bitcoin từ 300 giao dịch.
Các loại tấn công mạng tinh vi khó lường
Các cuộc tấn công độc hại và tội phạm mạng là nguyên nhân hàng đầu của các vi phạm dữ liệu vào năm 2019 ở mức 51%. Mặc dù nhiều sự chú ý trong thế giới bảo mật được đặt vào các cuộc tấn công độc hại, nhưng điều đáng chú ý là các vi phạm do trục trặc hệ thống và lỗi của con người có thể gây ra hậu quả nghiêm trọng.
Các cuộc tấn công mạng đang trở nên phức tạp hơn – bao gồm các hoạt động chiếm đoạt tài khoản, tạo tài khoản giả và spam, đang cho phép những kẻ tấn công mạng tạo ra hàng triệu đối tượng trực tuyến vàsử dụng chúng để thực hiện một số lượng lớn các vụ lừa đảo. Các biện pháp kỹ thuật sử dụng trong các vụ tấn công được tội phạm mạng khai thác triệt để và cải tiến nâng cấp mức độ tinh vi để nhắm mục tiêu chính xác, thu về nhiều lợi nhuận hơn. Mỗi ngày đều phát hiện các phần mềm độc hại và virus mới. Một số loại hình tấn công phổ biến được sử dụng như phishing, whaling, phần mềm độc hại, social engineering, ransomware và các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Theo Symantec, việc phát hiện ransomware đã chiếm ưu thế hơn ở các quốc gia có số lượng dân số kết nối Internet cao hơn và Hoa Kỳ xếp hạng cao nhất với 18,2% tổng số cuộc tấn công ransomware. Năm 2020, trung bình khoản tiền phải trả cho loại tấn công ransomware là 111.905 đô la, tăng 33% so với năm 2019, theo Fintech News. Năm 2019, tấn công phishing có xu hướng giảm, tuy nhiên năm 2020 lại có sự gia tăng trở lại, số liệu từ Symantec cho biết, cứ
4.200 email thì có 1 phishing email. Trong khi đó, báo cáo của CSO Online chỉ ra, phishing chiếm hơn 80% các sự cố bảo mật được báo cáo; nếu bị tấn công lừa đảo, trung bình mỗi phút nạn nhân mất khoảng 17.700 đô la. Theo dự báo của Cisco, năm 2023, tổng số vụ tấn công DDoS trên toàn cầu sẽ lên tới 15,4 triệu.
Vi phạm dữ liệu gây thiệt hại lớn về chi phí
Chi phí phải trả do vi phạm dữ liệu – bao gồm tiền phạt theo quy định, các chi phí kiện cáo, tích hợp các sản phẩm an ninh mạng để bảo đảm sự an toàn của doanh nghiệp và cả việc đầu tư mạnh mẽ vào các công nghệ mới để ngăn chặn các cuộc tấn công tiếp theo - tăng lên nhanh chóng và có thể gây ra nhiều bất lợi cho doanh nghiệp. Theo Ponemon, chi phí trung bình toàn cầu của vi phạm dữ liệu theo nghiên cứu năm 2019 là 3,92 triệu đô la, tăng 1,5% so với nghiên cứu năm 2018. Tổng chi phí trung bình của vi phạm dữ liệu đã tăng từ 3,5 triệu đô la trong năm 2014, cho thấy mức tăng trưởng 12% trong giai đoạn 2014 - 2019
Chi phí của một vụ vi phạm dữ liệu trung bình là 3,86 triệu USD trong nghiên cứu năm 2020, giảm khoảng 1,5% so với nghiên cứu năm 2019. Tuy nhiên, do ảnh hưởng của đại dịch COVID-19, chi phí vi phạm dữ liệu năm 2020 cao hơn đối với các công ty làm việc từ xa. Trong trường hợp này, mức trung bình 3,86 triệu USD cho mỗi sự cố tăng lên hơn 4 triệu USD.
Nghiên cứu cũng chỉ ra vi phạm có vòng đời (thời gian để xác định cộng với thời gian để ngăn chặn vi phạm) hơn 200 ngày có chi phí cao hơn nhiều so với vi phạm có vòng đời dưới 200 ngày. Như Hình 2, các vi phạm năm 2020 với vòng đời dài hơn 200 ngày chi phí trung bình tăng thêm 1,12 triệu đô la so với vi phạm có vòng đời dưới 200 ngày (dài hơn 200 ngày: 4,33 triệu đô la; dưới 200 ngày: 3,21 triệu đô la).
Một điều đáng chú ý là, tổn thất do vi phạm dữ liệu sẽ không dừng lại trong một năm. Các nhà nghiên cứu nhận ra rằng: Mặc dù phần lớn chi phí vi phạm xảy ra trong năm đầu tiên sau khi vi phạm dữ liệu, khoảng một phần ba chi phí phát sinh hơn một năm sau khi vi phạm (Hình 3). Chi phí dài hạn của vi phạm tại các tổ chức trong môi trường có quy định cao – những người trong ngành y tế, tài chính và năng lượng – với những người trong môi trường có mức độ điều tiết thấp hơn. Chi phí vi phạm dữ liệu ít tập trung hơn nhiều trong năm đầu tiên đối với các tổ chức trong các ngành được kiểm soát chặt chẽ này, với 47% chi phí vi phạm xảy ra hơn một năm sau sự cố vi phạm dữ liệu. Ngoài ra, sự tổn hại về thương hiệu và lòng tin cả khách hàng là một vấn đề rất quan trọng – tuy nhiên những tổn hại này không thể đo lường được bằng tiền.
Không có "vùng cấm" cho những tấn công vi phạm dữ liệu
Các cuộc tấn công lấy cắp dữ liệu xuất hiện ở mọi ngành nghề, mọi lĩnh vực. Trong đó, có một số mục tiêu ở mức tiềm năng cao, ví dụ như: chăm sóc sức khỏe và tài chính. Ngành công nghiệp chăm sóc sức khỏe đã thiệt hại ước tính 25 tỷ đô la vì các cuộc tấn công ransomware vào năm 2019 (theo SafeAtLast); Hơn 93% các tổ chức chăm sóc sức khỏe đã gặp phải sự cố vi phạm dữ liệu trong ba năm qua (theo Herjavec Group). Trong khi ngành tài chính cũng không mấy khả quan: Dịch vụ tài chính có trung bình 352.771 tệp tin nhạy cảm bị lộ trong khi y tế, dược phẩm và công nghệ sinh học có trung bình 113.491 tệp tin - cao nhất khi so sánh các ngành (theo Varonis); Ngành ngân hàng phải gánh chịu thiệt hại tấn công mạng nhiều nhất trong năm 2018 với 18,3 triệu đô la (theo Accenture); Virus Trojan horse Ramnit ảnh hưởng phần lớn đến lĩnh vực tài chính trong năm 2017, chiếm 53% các cuộc tấn công (theo Cisco); Chi phí trung bình của một vụ vi phạm dữ liệu dịch vụ tài chính là 5,85 triệu đô la và phải mất trung bình 233 ngày để phát hiện và ngăn chặn một vi phạm dữ liệu (theo Varonis)…
Ở những ngành nghề, lĩnh vực khác cũng luôn tiềm ẩn nguy cơ bị tấn công. Vì thế chúng ta không nên chủ quan, bởi những ngành có rủi ro thấp hơn chưa hẳn không là mục tiêu của tội phạm mạng. Bởi rủi ro càng ít thì được hiểu là sẽ có ít biện pháp an ninh hơn và do đó tin tặc dễ dàng thực hiện các cuộc tấn công.
Ngân sách an ninh mạng cần phải bổ sung liên tục
Vi phạm dữ liệu rất tốn kém. Thông thường, một công ty bị vi phạm dữ liệu chi khoảng 4 triệu đô để phục hồi thông tin bị mất và củng cố lại hệ thống phòng thủ của họ. Không chỉ tổn thất về tiền bạc, danh tiếng của công ty cũng bị ảnh hưởng ít nhiều sau những vụ rò rỉ dữ liệu. Chính vì thế các khoản chi tiêu trung bình cho tội phạm mạng đang tăng lên đáng kể và chi phí liên quan đến những cuộc tấn công mạng có thể làm tê liệt các công ty không coi an ninh mạng là một phần trong ngân sách thường xuyên của họ. Với tình hình an ninh mạng ngày càng phức tạp, sẽ không có gì là ngạc nhiên khi tổng ngân sách chi tiêu cho ngành an ninh mạng đã tăng dần qua các năm (Hình 4).
Năm 2020, dịch vụ bảo mật chiếm khoảng 50% ngân sách an ninh mạng (theo Gartner); Chi tiêu an ninh trung bình hàng năm cho mỗi nhân viên tăng từ 2,337 đô la năm 2019 lên 2,691 đô la năm 2020 (theo Deloitte). Báo cáo của Cisco chỉ ra, đầu tư cho an ninh mạng hàng năm trên 1 triệu đô la có khoảng 50% doanh nghiệp lớn (với hơn 10.000 nhân viên); mức 250.000 đến 999.999 đô la chiếm 43% và chỉ 7% chi dưới 250.000 đô la.
Dự kiến năm 2021, ngân sách dành cho ngành an ninh mạng toàn cầu là 60,2 tỷ đô la, tăng hơn so với năm 2020 khoảng 10% (Hình 5). Con số này được ước tính dựa trên dự đoán sẽ xuất hiện một loạt các mối đe dọa mới cùng với số lượng các cuộc tấn công ngày càng gia tăng; các doanh nghiệp thích ứng cơ sở hạ tầng với kiến trúc đám mây mới, cùng với đó là những công việc mới và nhu cầu giải quyết những lỗ hổng tiềm ẩn trở nên cấp thiết hơn.
Và câu chuyện của Việt Nam
Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao nhất thế giới. Số lượng người sử dụng Internet của Việt Nam đã đạt hơn 64 triệu người, chiếm hơn 2/3 dân số, xếp thứ 13 trên thế giới về số người dùng, trong đó có 58 triệu tài khoản Facebook, 62 triệu tài khoản Google. Cơ sở hạ tầng số phát triển nhanh và cơ sở hạ tầng dữ liệu đang được cải thiện. Chính phủ đang quyết liệt chỉ đạo đẩy mạnh xây dựng Chính phủ điện tử, hướng tới chính phủ số, nền kinh tế số và đã đạt được nhiều kết quả quan trọng. Đồng thời, hiện nay, không ít doanh nghiệp đang hoạt động trong lĩnh vực Internet, cung cấp các dịch vụ trực tuyến hoặc O2O (Online to Offline),… doanh thu hàng năm từ 100 triệu USD đến vài trăm triệu USD, đồng thời sở hữu lượng dữ liệu cá nhân người dùng lên đến hàng chục triệu người. Tuy nhiên, mức độ ứng dụng công nghệ càng nhiều thì việc cung cấp, sử dụng thông tin cá nhân lại càng lớn – đồng thời nguy cơ làm mất, lộ, lọt, thậm chí mua bán, chiếm đoạt thông tin cá nhân cũng cao.
Mặc dù chưa có một con số thống kê cụ thể về tổn thất vi phạm dữ liệu trong các doanh nghiệp, nhưng Việt Nam cũng từng ghi nhận những vụ tấn công công nghệ cao gây chấn động dư luận. Một số vụ việc điển hình như, việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Th giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; Tháng 9/2019, một máy chủ chứa dữ liệu của hơn 419 triệu hồ sơ người dùng Facebook trên toàn thế giới từng bị rò rỉ trên mạng - trong số này, có hơn 50 triệu người dùng Việt Nam; Tháng 3/2020, thông tin hơn 41 triệu tài khoản Facebook của người dùng tại Việt Nam được tung lên trên diễn đàn Rxxx Forum, trong đó gồm những thông tin như tên tài khoản, quê quán, nơi làm việc, thông tin về gia đình, người thân cũng như sở thích của chủ tài khoản Facebook…; Tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SM; Dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng. Ngoài ra, năm 2020 chỉ tính riêng thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã đạt kỷ lục mới 2020, vượt mốc 1 tỷ USD (23,9 nghìn tỷ đồng), theo BKAV.
Qua rà soát sơ bộ về thực trạng lấy cắp, tiết lộ dữ liệu cá nhân trái phép, Bộ Công an phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm: các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện...
Một số đơn vị thu thập thông tin khách hàng, sau đó cho đối tác thứ ba tiếp cận các thông tin này và chuyển giao cho các đối tác khác. Một số doanh nghiệp khác thì chủ động thu thập thông tin của khách hàng để phân tích và tiếp tục buôn bán. Các dữ liệu này được cung cấp dưới dạng dịch vụ như: databox.vn, databoxviet.com... Đáng chú ý là có các gói dữ liệu được bán liên quan danh sách cán bộ, danh sách nội bộ (gồm cả các đơn vị công an, quốc phòng, thuế, điện lực, thuê bao Internet, ngân hàng (chi tiết tới cả số dư tài khoản)... Các dữ liệu được mua bán trong thời gian dài, thậm chí có cam kết về độ chính xác, cập nhật dữ liệu, hỗ trợ xuất dữ liệu theo yêu cầu người mua.
Dữ liệu được xem là tài nguyên quý giá và là nền tảng cho chuyển đổi số, cùng với nhiệm vụ bảo vệ dữ liệu cá nhân người dùng thì việc xây dựng cơ sở dữ liệu quốc gia để phục vụ chia sẻ, kết nối liên thông các hệ thống thông tin cần được xem là vấn đề quan trọng trong quá
trình thực hiện khát vọng chuyển đổi số. Việt Nam đang cập nhật thông tin cá nhân để lập các dữ liệu điện tử, đây là một bước cải cách thủ tục hành chính quan trọng giúp cơ quan nhà nước có thể quản lý cá nhân một cách dễ dàng, thuận tiện hơn trong việc thực hiện các thủ tục hành chính. Bởi vậy, việc đề ra những quy định về bảo vệ dữ liệu cá nhân là cần thiết: Với những hành vi vi phạm pháp luật, kể cả là của cơ quan quản lý dữ liệu hoặc của bất kỳ tổ chức cá nhân nào làm lộ lọt, chia sẻ trái phép, chiếm đoạt, thiếu trách nhiệm trong việc quản lý dữ liệu hoặc sử dụng trái phép dữ liệu, thì tùy vào tính chất mức độ đều bị xử lý hành chính hoặc truy cứu trách nhiệm hình sự.
Việc Bộ Công an vừa hoàn thiện dự thảo Nghị định quy định bảo vệ dữ liệu cá nhân để lấy ý kiến cá nhân, tổ chức đã nhận được sự quan tâm rất lớn của dư luận. Mong rằng Nghị định về bảo vệ dữ liệu cá nhân ra đời trong bối cảnh dữ liệu cá nhân đang bị xâm phạm nghiêm trọng như hiện nay là sẽ công cụ pháp lý hữu hiệu để bảo hộ dữ liệu tốt nhất cho mỗi cá nhân, và xử phạt nghiêm các hành vi vi phạm.
Đồng thời. trong bối cảnh các doanh nghiệp chuyển đổi mô hình kinh doanh và tăng cường áp dụng công nghệ số trước tác động của dịch COVID-19 và cuộc Cách mạng Công nghiệp lần thứ tư, bảo đảm an toàn, an ninh mạng được coi là yếu tố then chốt để chuyển đổi số thành công và bền vững, đồng thời là phần xuyên suốt, không thể tách rời của chuyển đổi số. Bảo đảm an toàn, an ninh mạng theo mô hình 4 lớp thống nhất từ Trung ương đến địa phương là một trong những nhiệm vụ quan trọng để bảo đảm an toàn, an ninh mạng Việt Nam cho giai đoạn tiếp theo. Việc triển khai mô hình 4 lớp đáp ứng yêu cầu hệ thống CNTT trước khi đưa vào vận hành đã được kiểm tra, đồng thời đảm bảo rằng có đội ngũ chuyên nghiệp để đánh giá thường xuyên các hệ thống. Cùng với đó, mô hình bảo vệ chuyên nghiệp 4 lớp còn đưa đến sự liên thông, kết nối dữ liệu nhằm chung tay đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức nhà nước.