(Thanh tra) - Thu thập trái phép dữ liệu khách hàng, mua bán thông tin phụ huynh, học sinh, doanh nghiệp, hộ kinh doanh trên mạng xã hội, các đối tượng đã bị tuyên án tù. Chuyên gia hướng dẫn biện pháp phòng tránh.
Ngày 27/9, Tòa án Nhân dân TP Hà Nội xét xử sơ thẩm, tuyên án đối với ba bị cáo về tội “Sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”.
Cụ thể, Vũ Thanh Tùng (sinh năm 1992, trú tại tỉnh Ninh Bình) 30 tháng tù; Lại Thị Uyên (1990, Hà Nội) 24 tháng tù; Nguyễn Mạnh Linh (1990, Hà Nội) 12 tháng tù. Cả ba đều được hưởng án treo.
Theo cáo trạng, giai đoạn 2014 - 2017, Tùng là nhân viên Công ty Cổ phần Thương mại công nghệ thông tin di động Onesms, đơn vị cung cấp sổ liên lạc điện tử cho trường học.
Được cấp tài khoản quản trị để thu thập, quản lý thông tin phụ huynh, học sinh, Tùng đã sử dụng trái phép quyền truy cập, trích xuất khoảng 15 nghìn dữ liệu gồm tên, số điện thoại phụ huynh của một số trường liên kết.
Sau khi nghỉ việc (đầu năm 2018), Tùng rao bán các “gói data” qua tài khoản mạng xã hội Facebook “Vũ Data”, giao dịch theo dung lượng, đồng thời gom thêm dữ liệu cá nhân từ nguồn công khai hoặc mua lại.
Kết quả điều tra xác định hơn 520 giao dịch bán trái phép dữ liệu trong giai đoạn 2018 - 2021, thu lợi bất chính hơn 759 triệu đồng.
Từ giữa năm 2017, Linh (nhân viên kỹ thuật của Công ty Cổ phần Đầu tư công nghệ và thương mại Hợp Thành) được thuê bảo trì máy tính, máy in tại Sở Kế hoạch và Đầu tư Hà Nội.
Trong quá trình hỗ trợ, đầu năm 2019, Linh được một số cán bộ nhờ đăng nhập, trích xuất dữ liệu từ “Hệ thống quản lý doanh nghiệp và hộ cá thể”, “Hệ thống quản lý báo cáo doanh nghiệp”, “Hệ thống quản lý doanh nghiệp sau đăng ký” (hậu kiểm) và “Hệ thống Thông tin đăng ký doanh nghiệp Quốc gia”.
Nắm được mật khẩu truy cập, Linh sử dụng máy tính cá nhân để tải toàn bộ dữ liệu doanh nghiệp, hộ kinh doanh (tên, địa chỉ, số điện thoại, người đại diện pháp luật, số tài khoản, mã số thuế…) phạm vi Hà Nội và toàn quốc, với dung lượng 21,99 GB, lưu trên máy và Google Drive.
Linh sau đó lập tài khoản ẩn danh, rao bán trên nhóm “Data khách hàng tiềm năng”; từ 9/2019 đến 2/2021 đã thực hiện hơn 60 giao dịch, thu lợi bất chính hơn 110 triệu đồng.
Luật sư Hoàng Việt Hùng (Công ty Luật Uplaw) nhận định, các vụ mua bán thông tin phụ huynh, học sinh, doanh nghiệp, hộ kinh doanh sẽ gây ra một số hệ lụy sau:
Một là, dữ liệu bị rao bán sẽ trở thành “nguyên liệu” cho lừa đảo công nghệ cao (giả danh giáo viên, nhân viên trường; giả mạo cán bộ thuế, ngân hàng; nhắm mục tiêu theo ngành nghề, quy mô doanh thu).
Hai là, xâm hại đời tư và an toàn trẻ em khi thông tin liên lạc của phụ huynh, học sinh bị khai thác để dụ dỗ, đe dọa, tống tiền.
Ba là, rủi ro tấn công chuỗi cung ứng, từ thông tin hệ thống, cơ sở dữ liệu nội bộ bị lộ, đối tượng có thể cài mã độc, chiếm quyền tài khoản, mở rộng xâm nhập sang các cơ quan, doanh nghiệp liên thông..
Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm tư vấn và đào tạo an ninh mạng Athena, để bảo vệ dữ liệu cá nhân cũng như hạn chế tối đa những hệ lụy từ rò rỉ thông tin, các tổ chức và doanh nghiệp cần nhìn nhận bảo mật như một quy trình khép kín, đồng bộ từ con người đến công nghệ.
Trước hết, việc rà soát phân quyền truy cập, đánh giá rủi ro theo vị trí “quản trị hệ thống” phải được thực hiện thường xuyên. Cùng với đó, bắt buộc ghi nhật ký truy cập, trích xuất dữ liệu và cơ chế cảnh báo bất thường.
Cần coi đào tạo về bảo vệ dữ liệu cá nhân cho cán bộ/nhân viên là bắt buộc, đặc biệt ở những đơn vị trực tiếp quản lý cơ sở dữ liệu hay môi trường giáo dục. Mọi quy trình xử lý, chia sẻ thông tin khách hàng phải được chuẩn hóa, chỉ diễn ra khi có sự đồng ý minh bạch từ người dùng. Với các nhà thầu công nghệ thông tin, điều khoản trách nhiệm và thỏa thuận bảo mật phải được ràng buộc chặt chẽ ngay từ đầu để tránh kẽ hở pháp lý.
Bên cạnh đó, phải lập kế hoạch ứng phó sự cố dữ liệu, phối hợp chặt chẽ với lực lượng công an để tiếp nhận, xử lý tố giác khi có dấu hiệu sử dụng trái phép dữ liệu. Nhân viên làm việc với dữ liệu phải hiểu rõ quy định về bảo mật, an ninh mạng và ký cam kết tuân thủ pháp luật liên quan.
Cũng từ vụ án trên cho thấy, hành vi sử dụng trái phép dữ liệu cá nhân, mua bán thông tin trên mạng xã hội, dù xuất phát từ “quyền quản trị” hay sự chủ quan trong quản lý hệ thống đều là lời nhắc nhở khẩn thiết về việc tăng cường các biện pháp phòng tránh, để không xảy ra vụ việc tương tự.
