Doanh nghiệp cần làm gì trước cơn bão lộ thông tin khách hàng?

“Lộ thông tin người dùng/khách hàng” trở thành từ khóa nóng trong thời gian gần đây khi hàng loạt doanh nghiệp lớn dính scandal để lộ thông tin người dùng như Facebook, Vietnam Airline… Người dùng càng mất niềm tin vào giao dịch trực tuyến và cẩn trọng hơn trong việc lựa chọn nhà cung cấp. Đứng trước thử thách này, doanh nghiệp cần làm gì để bảo vệ an toàn thông tin cho khách hàng cũng như củng cố uy tín thương hiệu?

Lộ thông tin người dùng, doanh nghiệp lớn "dính chưởng", doanh nghiệp nhỏ liệu có thoát?

Tháng 3/2018 vừa qua dường như là một tháng đầy chấn động cho người dùng Internet khi mạng xã hội lớn nhất hành tinh - Facebook khẳng định có ít nhất 50 triệu tài khoản người dùng bị rò rỉ thông tin. Nguyên nhân của sự cố này là do các nhà phát triển ứng dụng lợi dụng lỗ hổng bảo mật của Facebook, tạo ra ứng dụng test tính cách mà người dùng phải cung cấp dữ liệu cá nhân trên Facebook để có thể sử dụng. Sau đó các nhà phát triển đã bán thông tin người dùng cho công ty Cambridge Analytica. Điều này đã diễn ra từ nhiều năm trước cho đến khi Christopher Wylie, một cựu nhân viên của Cambridge Analytica, đã nghỉ việc tại đây từ năm 2014, phanh phui vụ việc.

Bê bối về thông tin của Facebook gây chấn động toàn cầu

Cũng dính phải scandal bê bối thông tin, cách đây không lâu, vào cuối năm 2016, Vietnam Airlines từng phải công khai xin lỗi 400.000 khách hàng trong vụ tin tặc tấn công hệ thống mạng nhiều sân bay tại Việt Nam, khiến thông tin cá nhân của số khách hàng trên (gồm họ tên, ngày sinh, địa chỉ, chức vụ, cơ quan công tác, số điện thoại...) bị rò rỉ.

Lùi lại cách đó 1 năm, vào khoảng tháng 3/2015, nhóm hacker DIE Group đã tấn công, khai thác lỗ hổng trên website của VNPT Sóc Trăng và lấy đi thông tin của 10.000 khách hàng. Nguyên nhân vụ việc là do trong quá trình nâng cấp phần mềm đã có lỗ hổng an toàn bảo mật trên website soctrang.vnpt.vn. Hacker đã khai thác lỗ hổng này để lấy thông tin.

Không chỉ có các website lớn, các website TMĐT có giá trị giao dịch cao hay các tổ chức chính phủ mới lo việc bị tin tặc tấn công; các website nhỏ cũng không tránh khỏi nguy cơ tương tự. Theo thống kê và tính toán của Cục An toàn thông tin và Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) – Bộ TT&TT, riêng trong nửa đầu năm 2017 đã ghi nhận 6.303 cuộc tấn công mạng vào Việt Nam, bao gồm 1.522 cuộc tấn công lừa đảo, 3.792 cuộc tấn công cài đặt phần mềm độc hại và 989 cuộc tấn công thay đổi giao diện.

Những tin tức đó không chỉ gây chấn động ngành CNTT mà còn gây hoang mang cho người dùng, người kinh doanh, doanh nghiệp khi phải sử dụng các nền tảng trực tuyến để giao dịch hàng ngày.

Nguyên nhân nhìn từ góc độ doanh nghiệp và người dùng

Nhịp Sống Số có cuộc trao đổi với ông Huỳnh Ngọc Duy – CEO công ty Mắt Bão, đơn vị có nhiều năm kinh nghiệm trong lĩnh vực cung cấp hạ tầng Internet - về vấn đề an toàn và bảo mật thông tin cho website. Ông Duy chia sẻ, khi sự cố lộ thông tin xảy ra, nhìn từ phía doanh nghiệp nguyên nhân có thể xuất phát từ 2 hướng: Kỹ thuật(Tồn tại lỗ hổng bảo mật trên hệ thống khiến các tin tặc dễ dàng xâm nhập và kiểm soát toàn bộ thông tin trên hệ thống) và Quy trình quản lý thông tin (DN không có điều kiện ràng buộc chặt chẽ và chế tài cho bên thứ 3 kiểm soát thông tin như nhân viên, đối tác,… làm rò rỉ thông tin khách hàng).

Nhìn từ phía người dùng, nguyên nhân là do người dùng khá hời hợt với thông tin của mình, vội vàng cung cấp dữ liệu cá nhân cho bên thứ 3 mà không đọc kỹ các điều khoản (như trường hợp của Facebook). Hoặc người dùng không cẩn trọng bị lừa bởi các email, tin nhắn, website giả danh thương hiệu lớn dẫn đến mất thông tin, mất tiền.

Các doanh nghiệp cần làm gì để bảo vệ an toàn thông tin cho khách hàng?

Điều đầu tiên và trên hết là yếu tố con người. Doanh nghiệp cần rà soát lại quy trình quản lý thông tin của mình, có các quy định ràng buộc và chế tài cho các bên có khả năng tiếp cận với thông tin như nhân viên, đối tác… để hạn chế việc chia sẻ và sử dụng thông tin không đúng mục đích của khách hàng. Đồng thời doanh nghiệp cũng cần công bố rõ ràng điều này cũng như có thỏa thuận bảo mật chặt chẽ để khách hàng an tâm khi lựa chọn doanh nghiệp để giao dịch.

Doanh nghiệp cần có những quy định rõ ràng trong việc quản lý thông tin

Về mặt kỹ thuật, ông Huỳnh Ngọc Duy chia sẻ thêm rằng các doanh nghiệp cần nâng cao tinh thần trách nhiệm và có ngân sách đầu tư bài bản cho hệ thống kỹ thuật của mình. Cụ thể, doanh nghiệp nên tổ chức an ninh bảo mật mạng nội bộ (Intranet) nghiêm ngặt (có thể bố trí các loại tường lửa; hệ thống chống xâm nhập trái phép; thực hiện các biện pháp phòng và chống virus, mã độc, phần mềm gián điệp, phần mềm ăn cắp thông tin, phishing...; thường xuyên đánh giá an ninh bảo mật, phát hiện lỗ hổng bảo mật và có biện pháp khắc phục kịp thời; áp dụng các biện pháp xác thực đa yếu tố trong giao dịch khách hàng; đồng thời doanh nghiệp nên xây dựng hệ thống dự phòng (bao gồm cả dự phòng nóng và dự phòng thảm họa).

Đối với các doanh nghiệp nhỏ không có đủ chi phí để đầu tư riêng hạ tầng, phải phụ thuộc vào đơn vị bên ngoài thì cần chú trọng lựa chọn nhà cung cấp. Đặc biệt là website thường sử dụng hosting chung máy chủ với các website khác, nhà cung cấp hạ tầng hosting cần phải đủ uy tín để đảm bảo các hosting không bị ảnh hưởng với nhau. Vì thông thường, một website trên máy chủ bị lỗi bảo mật, hacker xâm nhập vào có thể gây ảnh hưởng tới các website khác trên cùng một máy chủ nếu hệ thống của nhà cung cấp không tốt.

Bên cạnh đó, doanh nghiệp cần mua hosting từ nhà cung cấp sử dụng phần mềm quản lý có bản quyền. Một số nhà cung cấp sử dụng phần mềm lậu, crack sẽ không kịp cập nhật bản vá lỗi khi xảy ra sự cố, dễ bị virus tấn công.

Chiến lược an toàn thông tin có thể coi là một cuộc đua về an toàn bảo mật mà không bao giờ có đích đến. Đó là cuộc đua mãi mãi giữa những người sở hữu thông tin và các thế lực tấn công. Vấn đề chính là chúng ta tham gia cuộc đua đó với những hỗ trợ thế nào, tâm thế và khả năng chủ động ra sao để luôn giành phần thắng trên từng chặng đua.