Tìm cách tháo gỡ nút thắt bảo mật dữ liệu cá nhân

0

(SGTT) – Dữ liệu về tài chính và thông tin cá nhân của người tiêu dùng trên các sàn thương mại điện tử (TMĐT) rất nhạy cảm và là đích ngắm trong nhiều hoạt động của tội phạm mạng. Vì vậy, một khung pháp lý đầy đủ cho việc bảo vệ và bồi hoàn khi dữ liệu cá nhân của khách hàng bị rò rỉ là cần thiết.

Máy mPOS nay được dùng khá phổ biến trong thanh toán nhưng cũng bộc lộ nhiều lỗ hổng trong việc bảo mật thông tin.

Nói đến vấn đề bảo mật trong thương mại điện tử, các chuyên gia bảo mật nhắc đến ba nội dung chính, gồm bảo mật thông tin khách hàng; sự an toàn và chính xác trong giao dịch điện tử và tính sẵn sàng, liên tục và ổn định của hệ thống.

Bảo mật dữ liệu chống nạn rò rỉ dữ liệu, đánh cắp dữ liệu trong thương mại điện tử (TMĐT) là câu chuyện chung của những sàn TMĐT, web bán hàng trực tuyến lớn ở Việt Nam và cả trên thế giới. Trong những năm gần đây, các trang web bán hàng, sàn TMĐT trong nước đã đầu tư mạnh về hạ tầng công nghệ thông tin (CNTT) nhằm bảo đảm năng lực hệ thống đáp ứng quá trình phát triển mạnh mẽ của nền tảng TMĐT, trong đó vấn đề bảo mật thông tin cho dữ liệu liên quan đến khách hàng đã được lưu tâm đặc biệt. Các giải pháp phát hiện và phòng chống tin tặc đã được trang bị cho nhiều hệ thống TMĐT.

Cần biện pháp chế tài đủ mạnh và phù hợp
Ông Ngô Vi Đồng, Phó chủ tịch Hiệp hội An toàn Thông tin Việt Nam (VNISA) và Chủ tịch Chi hội VNISA phía Nam, cho rằng vấn đề không phải nằm ở chỗ trang bị thiết bị hay giải pháp nào đó là có thể yên tâm trước tin tặc. Bảo mật là một công việc thường xuyên và lâu dài.

“Các sàn TMĐT không hoạt động độc lập mà phải liên kết với các nhà sản xuất, kho vận, thanh toán, vận chuyển hàng hóa. Thông tin của khách hàng rõ ràng đã đi qua một con đường rất dài với rất nhiều điểm dừng, nghĩa là nếu được an toàn tại một điểm này vẫn chưa chắc được an toàn ở các điểm khác. Đó là chưa kể đến các cuộc tấn công ngày nay không còn ồn ào như 5-10 năm trước mà âm thầm, lặng lẽ để trục lợi hoặc ém nhẹm thông tin để hạ đối thủ khi cần”, ông Ngô Vi Đồng nói.

Bên cạnh dữ liệu về tài chính thì dữ liệu về thông tin cá nhân của người tiêu dùng cũng là đích ngắm trong nhiều hoạt động của tội phạm mạng. Các sàn TMĐT mặc dù đã được trang bị các hệ thống bảo vệ nhưng vẫn tồn tại các lỗ hổng có thể bị khai thác như các lỗ hổng về phân quyền, các lỗ hổng về truy vấn… khiến thông tin khách hàng có thể bị đánh cắp. Một phần do các hệ thống vẫn thường xuyên thay đổi để đáp ứng các hoạt động kinh doanh, cũng như đa phần các sai sót đều có yếu tố con người khiến việc quản lý, giám sát an toàn thông tin cho các sàn TMĐT là ngày càng phức tạp. Nói một cách khác, khi hệ thống bảo mật của doanh nghiệp có rắc rối, có lỗ hổng và bị hack chẳng hạn, dữ liệu cá nhân của khách hàng sẽ bị rò rỉ.

“Chúng ta chưa có khung pháp lý đầy đủ cho việc này, điển hình là một số vụ gây thất thoát thông tin người dùng gần đây (kể cả Việt Nam và quốc tế) nhưng vẫn chưa có chế tài đủ mạnh và phù hợp để xử lý”, ông Ngô Vi Đồng nói và chia sẻ thêm việc quy trách nhiệm, đánh giá thiệt hại cũng hết sức phức tạp.

Có thể hạn chế rủi ro
Theo ông Đồng, trách nhiệm trước tiên trong các vụ doanh nghiệp bị hack khiến thông tin khách hàng bị lộ là thuộc về doanh nghiệp và họ phải có các động thái ngay lập tức xử lý sự cố, cũng như ngăn ngừa sự cố tái diễn. Trong một số trường hợp, có thể tính phương án bồi thường cho khách hàng tùy theo mức độ thiệt hại của khách hàng.
Để có thể hạn chế vấn đề này, vị Phó chủ tịch VNISA “mách nước”, việc các doanh nghiệp TMĐT cần làm là ngay lập tức có các bảng đánh giá bảo mật tổng quan, toàn diện, chi tiết với hệ thống của doanh nghiệp mình. Dựa trên các bảng đánh giá này để tiến hành xây dựng các giải pháp để vá lỗ hổng, ngăn ngừa tấn công. Doanh nghiệp cũng cần phải lựa chọn các đối tác cung cấp dịch vụ đánh giá an toàn thông tin cho mình, các dịch vụ thuê ngoài này cần lựa chọn những đơn vị có uy tín, những đơn vị có đầy đủ nguồn lực đảm bảo an toàn thông tin, có chính sách và tuân thủ các quy trình chuẩn về cung cấp dịch vụ an toàn thông tin và được cấp phép bởi Cục An toàn Thông tin (Bộ Thông tin và Truyền thông). Các doanh nghiệp tránh sử dụng các dịch vụ không bảo đảm chất lượng chỉ vì chúng có giá rẻ dẫn đến hệ thống vẫn còn nhiều lỗ hổng sau khi được đánh giá.

Đồng thời, cần phải thường xuyên theo dõi trước những biến động trong lĩnh vực bảo mật để có phương án xử lý kịp thời, ví dụ có các lỗ hổng mới xuất hiện, có các đợt tấn công theo chiến dịch (trong đó đặc biệt lưu tâm đến các tấn công có chủ đích (APT) vốn ngày càng tinh vi và rất khó phát hiện).

Đại diện của Tiki cũng có chung quan điểm khi cho rằng thường xuyên thực hiện các đợt rà soát và kiểm toán tính bảo mật của hệ thống là điều bắt buộc phải làm. Lấy ví dụ tại công ty mình, đại diện này cho biết Tiki luôn tiến hành nhiều thử nghiệm thâm nhập để tìm ra các lỗ hổng công nghệ, từ đó có các giải pháp phòng chống sự tấn công của hacker như là một phần của quy trình kiểm tra. Đến nay, Tiki đã giải quyết tất cả các lỗ hổng cấp độ quan trọng từ các thử nghiệm thâm nhập.

Nhân Tâm

Mời bạn đóng góp ý kiến

Please enter your comment!
Please enter your name here