Hàng loạt thông tin cá nhân từ họ tên, ngày sinh, số định danh cá nhân tới nhóm máu, bệnh sử... được yêu cầu cung cấp trên Google Forms. Một lần nữa tôi lại rất băn khoăn.

Băn khoăn là bởi không rõ thông tin của con tôi sau khi thu thập, liệu có được bảo vệ. Giáo viên và nhà trường chỉ là bên thứ ba chuyển tiếp. Bên thu thập và cả phía thực hiện thu thập đều không đưa ra các cam kết, nên thật khó loại trừ khả năng thông tin bị phát tán, thậm chí mua bán sai mục đích.

Rất nhiều cá nhân và tổ chức đã bị ảnh hưởng bởi tình trạng lừa đảo dựa trên việc mạo danh, ăn cắp thông tin; nhẹ là các hình thức vay mượn tiền, chiếm đoạt tài khoản mạng xã hội, nặng hơn là giả mạo khoản vay, giấy tờ tài chính. Các nhóm tội phạm có tổ chức còn có thể dựa trên thông tin cá nhân để lập nên một mạng lưới theo dõi có chủ đích nhằm tấn công mạng vào doanh nghiệp, tổ chức.

Cách đây không lâu, một doanh nghiệp có doanh thu hàng năm hơn 300 triệu USD trở thành nạn nhân của một cuộc tấn công như vậy. Ba giai đoạn tấn công được lên kế hoạch và chuẩn bị trong khoảng 6-12 tháng.

Giai đoạn đầu, nhóm tin tặc tập trung xây dựng mối quan hệ với Tuấn (đã đổi tên) - nhân viên của công ty - thông qua các hội nhóm về tiền mã hóa. Cách giao tiếp có vẻ "không vụ lợi", mang tính cùng trao đổi đam mê, sở thích khiến Tuấn ngày càng thoải mái trong việc chia sẻ thông tin với nhóm tin tặc.

Giai đoạn hai, tin tặc gài mã độc vào file PDF chứa thông tin cáo bạch của một loại tiền mã hóa sắp ra mắt. Tập tin được nén nên Tuấn không thể mở bằng điện thoại mà phải dùng máy tính cơ quan để truy cập. Chủ quan với mối quen biết, Tuấn không thực hiện đầy đủ các bước an toàn và bấm vào đường dẫn khiến máy tính bị nhiễm mã độc. Mã độc nằm trong máy tính của Tuấn, từng bước theo dõi hoạt động, thu thập các địa chỉ nội bộ và mật khẩu hệ thống mà Tuấn có quyền đăng nhập.

Giai đoạn ba diễn ra khi mã độc đã nằm sâu trong hệ thống máy chủ công ty. Đến lúc này, nhóm tin tặc mới kích hoạt mã hóa và thông báo đòi tiền chuộc. Tiếp theo là một quá trình rất vất vả của doanh nghiệp cùng cơ quan chức năng và các đối tác để cô lập, phục hồi dữ liệu và hạn chế tối đa tổn thất trong sản xuất kinh doanh.

Con người luôn là mắt xích trọng yếu (và dễ bị tấn công) trong việc bảo vệ an toàn thông tin. Và yếu tố con người thường bị khai thác thông qua những câu chuyện đời thường, thói quen, dựa trên việc phân tích thông tin cá nhân.

Quay trở lại chuyện điều tra khảo sát thông tin, điều đáng lo là ví dụ ở trường học của con tôi không phải hiếm gặp. Trong nhiều năm qua, hàng loạt phiếu điều tra, khảo sát đã được thu thập qua các kênh như trường học, tổ dân phố, khu dân cư... và các tổ chức xã hội khác.

Mỗi nơi đưa ra một yêu cầu khác nhau nhưng đều liên quan tới dữ liệu cá nhân như họ tên, ngày sinh, địa chỉ, số điện thoại, số định danh... Hình thức rất đa dạng, từ các phiếu giấy cho tới các tờ khai online của các dịch vụ như Google, Microsoft. Điểm chung là tất cả phương thức này đều chỉ quan tâm tới việc lấy thông tin mà không giải tỏa quan ngại về việc lưu trữ, xử lý như thế nào.

Tháng 7/2023, Chính phủ đã ban hành Nghị định 13 về Bảo vệ dữ liệu cá nhân nhưng khoảng cách giữa chính sách và đời sống vẫn còn khá xa. Các doanh nghiệp vẫn lúng túng tìm lời giải để cân bằng giữa việc nâng cao trải nghiệm khách hàng, cải thiện khả năng kinh doanh mà vẫn đảm bảo yêu cầu pháp luật, khi thu thập thông tin.

Với người dân, nhận thức về việc tự bảo vệ thông tin cá nhân vẫn ở mức thấp. Hơn nữa, khả năng thực hiện quyền bảo vệ dữ liệu của cá nhân còn yếu. Sau khi có Nghị định 13, các tổ chức, doanh nghiệp đều cập nhật điều khoản bảo vệ dữ liệu cá nhân nhưng ở góc độ người dùng, thật khó để biết và giám sát việc thực hiện của doanh nghiệp, tổ chức. Mức độ minh bạch về quản lý dữ liệu cá nhân sẽ còn là vấn đề nhức nhối trong thời gian dài phía trước.

Nên tôi vẫn sẽ phải băn khoăn về các phiếu điều tra thông tin của con. Nếu không điền sẽ ảnh hưởng tới con, giáo viên, nhà trường, ảnh hưởng tới cả tiến độ hoàn thành hồ sơ sức khỏe điện tử của quận. Nếu điền sẽ ảnh hưởng tới mình và tạo ra rủi ro tiềm ẩn. Câu hỏi lúc này có lẽ là chọn điền thông tin gì, bỏ trống thông tin gì để giảm thiểu tối đa rủi ro, trong khi chờ sự cải thiện trong tương lai.

Câu hỏi không dễ trả lời và không có đáp án chung cho mọi trường hợp. Tuy nhiên, có hai hành động giúp giảm thiểu rủi ro lộ thông tin cá nhân, là phân loại dữ liệu và xác định mức độ an toàn trong mỗi lần chia sẻ.

Đầu tiên là phân loại dữ liệu. Các tổ chức trong nước và quốc tế có nhiều hướng dẫn phân loại dữ liệu cá nhân: theo mức độ bảo mật (dữ liệu chung, dữ liệu nhạy cảm), theo tính chất (dữ liệu tài chính, dữ liệu về mối quan hệ xã hội...). Nếu không muốn mọi thứ trở nên quá phức tạp, bạn có thể chia dữ liệu thành hai loại: loại dành để giao tiếp - có thể chia sẻ với bên ngoài, và loại dành để giao dịch - chỉ dùng khi cần xác minh với các cơ quan hành chính, ngân hàng... Có những người thận trọng dành một số điện thoại cho việc đăng nhập vào các hệ thống công, nhận OTP ngân hàng... và một số riêng cho giao tiếp thông thường.

Bên cạnh việc phân loại, xác định mức độ rủi ro của việc chia sẻ dữ liệu thông qua ba câu hỏi: Tại sao - Cái gì - Như thế nào cũng rất quan trọng. Tại sao thông tin này cần được chia sẻ? Thông tin nào đang được yêu cầu, có phù hợp với lý do thu thập không? Thông tin thu thập sẽ được xử lý, lưu trữ như thế nào, có thể thu hồi không? Nếu ba câu hỏi này được các bên thu thập cung cấp rõ ràng và minh bạch thì có thể coi mức độ rủi ro tương đối thấp. Còn ngược lại, lời khuyên của tôi là hãy từ chối chia sẻ nếu bạn không cảm thấy an toàn.

Dữ liệu cá nhân là tài sản của riêng bạn. Tham gia vào cuộc sống số hiện nay, trao đổi dữ liệu cá nhân cũng không khác mấy với việc tham gia các giao dịch tài sản. Trao đổi có thể mang lại những cơ hội mới nhưng cũng tiềm ẩn vô số rủi ro. Vậy nên, trong mọi trường hợp, phương án tốt nhất là chia sẻ ở mức tối thiểu dựa theo sự cần thiết của thông tin.

Levuminh.vnexpress