Tháng trước, Văn phòng Ủy viên Thông tin Úc (OAIC) đã ra mắt bảng điều khiển thống kê mới về các vụ rò rỉ dữ liệu phải thông báo cho Chương trình Thông báo Rò rỉ Dữ liệu Bắt buộc của Úc (NDB) nhằm giúp công chúng nắm được số lượng và loại hình các vụ rò rỉ dữ liệu đang xảy ra.
Từ tháng 1 đến tháng 6 năm nay, đã ghi nhận 532 vụ rò rỉ dữ liệu, với hơn một nửa xuất phát từ “tấn công độc hại hoặc tội phạm”.
Dù chưa có dữ liệu cuối cùng cho nửa cuối năm, tình hình dường như còn tệ hơn, khi một người phát ngôn của Văn phòng Ủy viên Thông tin Úc (OAIC) nói với ABC rằng đã có nhiều thông báo hơn được “gửi đến trong nửa cuối năm”.
Nhưng theo bà Vanessa Teague, phó giáo sư tại Trường Kỹ thuật, Máy tính và An ninh mạng của Đại học Quốc gia Úc (ANU), vụ rò rỉ lớn nhất trong năm có thể là vụ mà chúng ta thậm chí còn chưa biết đến.”
“Những cuộc tấn công hiệu quả nhất thường diễn ra một cách lén lút… không có lý do gì để một vụ xâm nhập bị phát hiện. Ngay cả khi nhà cung cấp dịch vụ phát hiện ra, những người bị ảnh hưởng cũng có thể không được thông báo,” bà nói.
Vậy mỗi người có thể làm gì để bảo vệ dữ liệu của họ và giảm khả năng bị rò rỉ thông tin cá nhân?
Không trả tiền chuộc
Khi vụ tấn công mạng vào Qantas xảy ra hồi đầu năm nay, ảnh hưởng đến 5,7 triệu khách hàng, nhóm tin tặc đứng sau vụ việc đã đe dọa sẽ tung dữ liệu cá nhân lên dark web nếu không trả tiền chuộc.
ABC cho rằng trong trường hợp này không có khoản tiền chuộc nào được trả, vì Qantas thông báo họ đã làm việc với cảnh sát về vụ việc. Tiến sĩ Vanessa Teague cũng nói rằng các công ty không nên trả tiền chuộc vì điều đó chỉ khuyến khích tội phạm tiếp tục hành động.
“Ransomware là một thị trường được tổ chức rất chặt chẽ; số tiền chúng thu được từ một cuộc tấn công sẽ được dùng để nâng cao khả năng cho những cuộc tấn công tiếp theo.” Bà nói các công ty không nên “hỗ trợ” tội phạm mạng theo cách này.
“Trả tiền chuộc không giúp bảo vệ dữ liệu; nó chỉ giúp những bên chịu trách nhiệm tránh bị bẽ mặt trước công chúng và cái giá phải trả là tài trợ cho cuộc tấn công tiếp theo.”
Trách nhiệm thuộc về các công ty
Trong bốn năm qua, Úc ghi nhận từ 397 đến 594 báo cáo rò rỉ dữ liệu gửi tới Văn phòng Ủy viên Thông tin Úc (OAIC) mỗi sáu tháng.
Một trong những báo cáo gây lo lắng nhất là vào tháng Hai năm nay, khi một trong những phòng khám hỗ trợ sinh sản lớn nhất của Úc bị tin tặc tấn công.
Đến tháng Bảy, nhà cung cấp IVF Genea Fertility xác nhận rằng hồ sơ y tế của cả bệnh nhân và người hiến tặng đã bị đăng lên dark web, gây tổn thương cho nhiều người Úc đặc biệt là những người luôn giữ kín thông tin này.
“Các cuộc tấn công đang liên tục tinh vi hơn,” Tiến sĩ Vanessa Teague nói, nhưng bà lưu ý rằng khả năng phòng vệ của chúng ta lại không theo kịp.
Bà cho rằng chính phủ và doanh nghiệp có thể làm nhiều hơn để giảm nguy cơ xảy ra hàng trăm vụ rò rỉ dữ liệu trong năm tới, bắt đầu bằng việc bổ sung mã hóa vào bộ khung “Essential Eight” của chính phủ Úc, danh sách các chiến lược căn bản mà các tổ chức nên áp dụng để giữ dữ liệu an toàn.
“Thật đáng tiếc khi chính phủ không đề cập đến việc mã hóa dữ liệu, vì điều đó sẽ giúp giảm đáng kể mức độ thiệt hại khi xảy ra rò rỉ dữ liệu,” bà nói.
Mã hóa là quá trình “làm cho dữ liệu trở nên khó đọc bằng các phương pháp toán học”, để khi dữ liệu được gửi qua internet, chỉ người nhận mới có thể giải mã vì họ sở hữu khóa phù hợp ở phía họ.
“Nó cũng cực kỳ hữu ích đối với dữ liệu bạn đang lưu trữ, vì ngay cả khi kẻ tấn công lấy được dữ liệu đã mã hóa, họ cũng không thể đọc được trừ khi họ có được cả khóa giải mã,” Tiến sĩ Vanessa Teague nói.
Bà cũng cho rằng Đạo luật Quyền riêng tư nên được cập nhật để buộc cả “các cơ quan công và tư phải chịu trách nhiệm trong việc bảo vệ an ninh và quyền riêng tư của dữ liệu được giao phó cho họ.”
“Mọi biện pháp chúng ta thực hiện để bảo vệ dữ liệu đều giúp giảm nguy cơ bị tấn công mạng. Nhưng chúng ta lại không làm những điều đó.”
Ủy viên quyền riêng tư Carly Kind cũng nói rằng các tổ chức phải thực hiện “mọi bước hợp lý để bảo mật thông tin và bảo vệ trước các vụ rò rỉ và tấn công mạng.
“Những biện pháp này trải rộng từ các giải pháp kỹ thuật, như đầu tư vào an ninh mạng, đến các biện pháp quản trị, như đào tạo nhân viên về quyền riêng tư, xây dựng chính sách và quy trình chặt chẽ, và sự tham gia của ban lãnh đạo trong việc quản lý rủi ro về quyền riêng tư.”
Bà cũng nói rằng điều quan trọng là các công ty phải rà soát quy trình thu thập dữ liệu và không lưu giữ dữ liệu quá mức cần thiết.
Việc lưu trữ dữ liệu quá lâu, vượt quá mức hợp lý, tiếp tục là yếu tố làm trầm trọng thêm các vụ rò rỉ dữ liệu.Ủy viên quyền riêng tư Carly Kind
Những bước bạn có thể thực hiện để bảo vệ dữ liệu cá nhân
Khi mọi người đầu tư tiền vào các quỹ hưu trí (superannuation fund), họ không mong rằng hàng nghìn đô la sẽ bị tin tặc đánh cắp.
Nhưng vào tháng Tư năm nay, cơ quan đại diện cho các quỹ hưu trí, Hiệp hội Các Quỹ Hưu Trí Úc (Association of Superannuation Funds of Australia) cho biết nhiều quỹ đã bị tin tặc cố gắng tấn công.
Quỹ hưu trí lớn nhất, AustralianSuper, đã bị 600 cuộc tấn công mạng trong một tháng, với bốn thành viên của quỹ bị mất tổng cộng 500.000 đô la.
Mặc dù Tiến sĩ Vanessa Teague nói rằng ‘bạn không thể làm gì để bảo vệ dữ liệu của mình sau khi đã giao nó đi’, vẫn có một số biện pháp phòng ngừa mà bạn có thể thực hiện để giảm khả năng bị liên quan đến một vụ rò rỉ dữ liệu trong tương lai.”
Biện pháp đầu tiên là “tránh cung cấp những dữ liệu mà bạn không muốn chia sẻ”, bằng cách sử dụng các công cụ mã hóa đầu cuối cho tin nhắn, cuộc gọi và video, bao gồm Signal, iMessage, Facetime và WhatsApp.
Bà cho biết tin nhắn SMS thông thường không an toàn bằng, vì việc mã hóa diễn ra giữa người dùng và công ty viễn thông “thường theo cách mà công ty viễn thông vẫn có thể đọc được”, do họ “mã hóa lại trước khi gửi đến người nhận”.
Điều này cũng tương tự với các cuộc gọi điện thoại thông thường, và cả khi gửi email từ các nền tảng như Outlook và Gmail, vì tin nhắn được mã hóa giữa bạn và nhà cung cấp email, nghĩa là họ vẫn có thể đọc email của bạn.
“Trong tất cả những trường hợp này, tin tặc trên Internet không thể đọc được tin nhắn, nhưng nền tảng hoặc nhà cung cấp dịch vụ thì có thể,” Tiến sĩ Vanessa Teague nói.
Bà cũng cho biết việc sử dụng “một trình duyệt bảo vệ quyền riêng tư như Firefox hoặc Safari, kèm theo một trình chặn quảng cáo tốt” có thể giúp bảo vệ dữ liệu của bạn.
Tiến sĩ nói thêm rằng người dùng không phải lúc nào cũng cần đồng ý tải lên dữ liệu. Ví dụ như ảnh cận mặt của bạn hoặc bản sao bằng lái xe.
“Đừng cung cấp ngày sinh thật nếu không cần thiết, và đừng tải lên những thông tin mà dịch vụ không yêu cầu.”
Đồng hành cùng chúng tôi tại SBS Vietnamese Facebook & SBS Vietnamese Instagram, và cập nhật tin tức ở sbs.com.au/vietnamese
