Dữ liệu sinh trắc học nếu bị rò rỉ: Ai sẽ là người bảo vệ khách hàng?

Phải sử dụng hình ảnh thực để xác nhận giao dịch trên 10 triệu? Điều gì sẽ xảy ra khi kho dữ liệu này bị tấn công, đường truyền, thiết bị đầu cuối bị đe dọa?
Người dân “chật vật” xác thực sinh trắc học để chuyển tiền trên app ngân hàng TP. Hồ Chí Minh: Nhiều người gặp khó khi áp dụng xác thực sinh trắc học để chuyển tiền Triển khai sinh trắc học, xác định hơn 16 triệu tài khoản sạch

Nếu thua là không còn "vũ khí" nào khác

Giáo sư Phan Dương Hiệu - Viện Bách khoa Paris - chia sẻ, trong kho sinh trắc sẽ có nhiều mức độ, mỗi lần phải sử dụng một mức độ cao hơn là một bước đi “không thể đảo ngược”. Nếu cứ leo thang mức độ dần dần, rồi đến lúc phải sử dụng cả dữ liệu gene, đó sẽ là bước tận cùng, để rồi nếu thua là không còn "vũ khí" nào khác.

Dữ liệu sinh trắc học nếu bị rò rỉ: Ai sẽ là người bảo vệ khách hàng?

Cuộc chiến chống lừa đảo, giả mạo sẽ ngày càng cam go trong tương lai. Mỗi khi kẻ tấn công vượt qua một mức bảo vệ, chúng ta lại buộc phải sử dụng một vũ khí mới để ngăn chặn. Và lần này chúng ta phải vào lấy thêm trong kho “sinh trắc học”.

Bản chất cuộc chiến chống lừa đảo, giả mạo là phải làm sao khi rút một "bảo kiếm" ra, kẻ tấn công phải không vô hiệu được. Hiệu quả tức thì chắc chắn sẽ có tác dụng, nhưng để duy trì được tác dụng lâu dài rất cần một chiến lược cẩn trọng.

Giáo sư Phan Dương Hiệu đề nghị, cần nhìn lại quá khứ. Theo Giáo sư, thực tế chúng ta chưa có giải pháp ứng phó hiệu quả trước kẻ tấn công lừa đảo, giả mạo. Vì sao? Vì chúng ta quá dễ dãi, không coi quyền riêng tư là quan trọng, chúng ta không có cơ chế quy trách nhiệm cho việc để lộ dữ liệu riêng tư. Hệ quả là kho dữ liệu của người dùng bị lộ, thông tin người dùng bị lộ, việc kiểm soát dữ liệu người dùng hời hợt.

Từ đó, kẻ tấn công dễ dàng truy cập thông tin, kiểm soát dữ liệu người dùng, dễ dàng giả mạo và lừa đảo trên quy mô lớn. Không có tầm nhìn về bảo vệ nên kẻ tấn công dễ dàng lập những tài khoản ảo, dễ dàng lừa đảo chuyển khoản lấy tiền người dùng để chuyển qua lại một rừng ảo để xoá dấu vết, dễ dàng rửa tiền trên quy mô cực lớn. Và rồi khi sự lừa đảo quá lớn vượt mọi khả năng kiểm soát, chúng ta hoảng loạn và buộc phải lao vào kho “sinh trắc”, lấy thêm một vũ khí ra để tự vệ.

Giờ đây, chúng ta phải sử dụng hình ảnh thực, tức thời để xác nhận giao dịch. Tất nhiên sẽ phải có kho dữ liệu cực lớn để lưu các hình ảnh, dữ liệu sinh trắc nhằm đối sánh, xác thực. Hình ảnh thực sẽ được truyền qua các kênh thông tin.

Giáo sư Phan Dương Hiệu cũng đặt câu hỏi: Điều gì sẽ xảy ra khi những kho dữ liệu này bị tấn công, đường truyền hay các thiết bị đầu cuối bị truy nhập? Kẻ xấu sẽ lại có toàn bộ dữ liệu người dùng. Và với những công cụ AI ngày càng mạnh, điều gì sẽ đảm bảo kẻ xấu không thể vượt qua bức tường xác thực mới?

Do đó, trong lúc còn chưa thể bảo vệ kho dữ liệu cũ, thì điều gì đảm bảo sẽ bảo vệ tốt những kho dữ liệu đồ sộ mới, đã, đang và sẽ được thu thập? Nguy hiểm hơn, nếu kẻ xấu truy nhập vào kho dữ liệu hình ảnh, sinh trắc, chúng có thể giả mạo ta không chỉ để xác thực ngân hàng mà còn cho nhiều mục đích khác không liên quan đến ngân hàng. Chúng có thể tạo ra một thế giới giả về con người ta mà bản thân không thể kiểm soát và không thể chứng minh là mình bị giả mạo.

Khi điện thoại của bạn liên tục bị làm phiền bởi hàng loạt cuộc gọi hay tin rác mời gọi đầu tư, chào hàng dự án.., đó là chỉ dấu cho thấy kho dữ liệu về tài khoản hay sở hữu của bạn đã bị lộ và người ta ngang nhiên công khai sử dụng nó, quay lại mời chào chính bạn. Vậy nếu dữ liệu hình ảnh, sinh trắc của bạn bị lộ, thì nguy cơ giả mạo còn có độ chính xác cao hơn nhiều. Bạn sẽ không còn có khả năng chủ động kiểm soát cuộc sống của chính mình.

Điều tiên quyết là bạn cần có ý thức đòi hỏi sự bảo vệ cho chính mình. Người ta nói với bạn rằng họ phải thu thập dữ liệu sinh trắc của bạn để bảo vệ bạn tốt hơn. Bạn chí ít cần đòi hỏi: Vậy phải bảo vệ dữ liệu sinh trắc cá nhân như nào để không bị rơi vào tay kẻ xấu?

Người dân đang cài đặt xác thực sinh trắc học theo hướng dẫn trực tiếp của nhân viên ngân hàng Vietcombank
Người dân đang cài đặt xác thực sinh trắc học theo hướng dẫn trực tiếp của nhân viên ngân hàng Vietcombank (Ảnh: Trần Tuấn)

Khi người dân lên tiếng, ngân hàng buộc phải có sự giải thích với các bước đi rõ ràng, cẩn trọng. Khi ngân hàng, nhà nước đi một bước đi không thể đảo ngược, hãy cần có trách nhiệm và luật để bảo vệ người dân. Người dân đã để bị mất dữ liệu, bị lừa đảo quá nhiều do sự yếu kém của hệ thống bảo mật, mà hầu hết mọi sai lầm đều bị quy là do “thiếu cẩn trọng”, do kẻ xấu tinh vi… Bản chất là do các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân quá yếu kém, do các chính sách quy kết trách nhiệm để lộ dữ liệu quá hời hợt. Do đó mà kẻ xấu mới dễ dàng vượt qua các bước bảo vệ và từng bước vô hiệu hoá được sự kiểm soát của hệ thống.

Cần có hành lang pháp lý đồng bộ

Theo Giáo sư Phan Dương Hiệu, để bảo vệ thực sự tốt, trước khi thu thập dữ liệu của cá nhân, nhà nước và ngân hàng cần cam kết và làm rõ: Nếu như dữ liệu sinh trắc bị lộ, trách nhiệm của nhà nước, của ngân hàng thế nào? Ai, đơn vị cụ thể nào sẽ phải chịu trách nhiệm, chế tài xử phạt ra sao?

Hệ thống có phương thức an toàn ra sao để từng mắt xích không thể lấy dữ liệu bảo mật? Hệ thống kỹ thuật cần phải đảm bảo rằng dù nhân viên (kể cả lãnh đạo) ngân hàng có bị thao túng thì vẫn không thể lấy và bán được dữ liệu cá nhân.

Việc bảo mật dữ liệu là chuyện rất lớn và không dễ, những người làm công nghệ thông tin dù rất giỏi cũng không thể lường được mọi lỗ hổng. Với một hạn định áp dụng xác thực khuôn mặt khi chuyển khoản vào ngày 1/7, nếu các ngân hàng chưa chuẩn bị kịp dẫn tới buộc phải sử dụng các hệ thống yếu kém, chưa được kiểm nghiệm đầy đủ, và kẻ xấu có thể dễ dàng thâm nhập thì hậu quả sẽ rất khôn lường. Chúng ta cần hết sức cẩn trọng và thử nghiệm sử dụng từng bước hạn chế để chỉ khi đạt an toàn tối đa mới áp dụng rộng rãi các phương thức mới.

Chúng ta cũng cần học hỏi thế giới, về bảo mật dữ liệu có thể nhìn ngay kinh nghiệm của Trung Quốc. Sau một thời gian thu thập dữ liệu tràn lan, họ đã hiểu sự nghiêm trọng khi để lộ dữ liệu cá nhân và đã có những điều luật rõ ràng để xử lý cực kỳ nghiêm khắc tất cả những đơn vị nào để lộ dữ liệu. Dữ liệu càng quan trọng, trách nhiệm càng cao. Khi trách nhiệm được đẩy lên mức rất cao thì không thể còn ai có thể coi thường. Tất cả các đơn vị sở hữu dữ liệu cá nhân sẽ phải nghiêm túc triển khai các phương án kỹ thuật bảo vệ ở mức cao nhất. Từ nhu cầu đó, các công ty chuyên gia về thẩm định an toàn và triển khai các biện pháp bảo mật được phát triển rất mạnh, nhiều công ty “kỳ lân” được mở ra, thúc đẩy một nền kinh tế bảo mật số năng động, chất lượng ở mức rất cao theo những tiêu chuẩn bảo mật được nhà nước xem xét cẩn trọng.

Một hệ thống vận hành tốt là một hệ thống bảo vệ tối đa dữ liệu cá nhân cho người dân, đồng thời chỉ cần thu thập tối thiểu dữ liệu cá nhân của người dân. Ở đó, con người vừa được an toàn, vừa có tự do.

Dữ liệu sinh trắc học nếu bị rò rỉ: Ai sẽ là người bảo vệ bạn ?
GS Phan Dương Hiệu -Viện Bách khoa Paris (Pháp)

GS Phan Dương Hiệu cho hay, hiện nay, ở châu Âu đã có những quy định, quy chuẩn về việc bảo mật cá nhân, và cùng với đó, có những cơ quan độc lập để kiểm soát. Tuy nhiên, ở Việt Nam hiện vẫn còn khá tự do trong việc khai thác thông tin cá nhân. Đặc biệt, hiện chưa có những cơ quan độc lập để kiểm soát việc này.

Những thông tin về lỗ hổng bảo mật trong ngân hàng, hoặc những lỗ hổng bảo mật trong nhiều cơ quan hiện nay theo tôi là đáng ngại cho người dân. Những thông tin về cá nhân bị khai thác khá bừa bãi. Cần có những thảo luận rộng về vấn đề này, để nâng cao ý thức của từng cá nhân người dân về bảo vệ quyền riêng tư và vai trò của nhà nước, trong việc kiểm soát của các tổ chức độc lập” - Giáo sư Hiệu nói.

Theo GS Phan Dương Hiệu, cần có sự minh bạch. Chẳng hạn, Chính phủ cần phải nói rõ sẽ thu thập những thông tin gì và phương án giải quyết về mặt kỹ thuật cần được mở để cộng đồng đánh giá.

Đơn cử như ứng dụng Bluezone vừa qua phải đưa ra giải pháp kỹ thuật và phần mềm mở để cộng đồng đánh giá được lỗ hổng và các nguyên lý sử dụng trong đó. Vì nó không chỉ liên quan đến những thông tin tĩnh, mà cả thông tin động theo thời gian thực, rất nguy hiểm. Khi đưa ra cho cộng đồng đánh giá thì nhiều lỗ hổng bảo mật có thể được khắc phục và việc thu thập thông tin cá nhân cũng được gỡ bỏ.

Theo Giáo sư Hiệu, tất cả những phát triển trên diện rộng cần phải có sự cẩn trọng ở mức rất cao. Trong khi chúng ta chưa có những quy định cụ thể thì cần phải nâng cao nhận thức của người dân về việc bảo mật thông tin cá nhân và cả phía Chính phủ cũng không nên tự cho mình quyền quá nhiều trong việc thu thập thông tin cá nhân của người dân.

"Khi người dân nâng cao ý thức thì sẽ có sự đòi hỏi về việc được bảo vệ thông tin cá nhân và đồng thời Chính phủ cũng cần có sự tôn trọng điều đó. Bảo vệ quyền riêng tư của mỗi cá nhân cũng là để đảm bảo sự tự do theo nghĩa rộng”, GS Phan Dương Hiệu cho hay.

Giáo sư Phan Dương Hiệu hiện công tác tại Viện Bách khoa Paris (Institut Polytechnique de Paris) và là trưởng nhóm An ninh mạng - Mật mã tại Trường Viễn thông Paris (Télécom Paris).

Giáo sư Phan Dương Hiệu nhận bằng Tiến sĩ năm 2005 và Tiến sĩ khoa học năm 2014 về Mật mã tại trường Đại học hàng đầu nước Pháp Ecole Normale Supérieure (ENS). Năm 36 tuổi, ông là Giáo sư tại Viện nghiên cứu XLIM, ĐH Limoges, Pháp. Từ năm 2013, GS. Phan Dương Hiệu là thành viên của Ủy ban điều hành hội nghị mật mã Asiacrypt. Các nghiên cứu của GS. Phan Dương Hiệu tập trung vào mật mã, đặc biệt là mã hóa công khai, chữ kí số, mã hóa phát sóng, mã hóa chức năng và hệ thống mật mã phân cấp.

Thu Hường
Bạn thấy bài viết này thế nào?
Kém Bình thường ★ ★ Hứa hẹn ★★★ Tốt ★★★★ Rất tốt ★★★★★
Bài viết cùng chủ đề: sinh trắc học

Tin cùng chuyên mục

“Cấm” thuốc lá điện tử, thuốc lá nung nóng: Có khả thi?

“Cấm” thuốc lá điện tử, thuốc lá nung nóng: Có khả thi?

Bộ Công Thương làm việc cùng Hội đồng ngũ cốc Hoa Kỳ về hợp tác phát triển nhiên liệu sinh học

Bộ Công Thương làm việc cùng Hội đồng ngũ cốc Hoa Kỳ về hợp tác phát triển nhiên liệu sinh học

Nhà giáo trong kỷ nguyên số cần biến thách thức thành cơ hội để ngành giáo dục vươn mình

Nhà giáo trong kỷ nguyên số cần biến thách thức thành cơ hội để ngành giáo dục vươn mình

Trường Đào tạo, bồi dưỡng cán bộ Công Thương Trung ương tổ chức Lễ kỷ niệm truyền thống 50 năm

Trường Đào tạo, bồi dưỡng cán bộ Công Thương Trung ương tổ chức Lễ kỷ niệm truyền thống 50 năm

Gia Lai: Hỗ trợ cô giáo nghèo vượt qua gia cảnh khó khăn vươn lên trong cuộc sống

Gia Lai: Hỗ trợ cô giáo nghèo vượt qua gia cảnh khó khăn vươn lên trong cuộc sống

Tiếp tục đề xuất giảm 2% thuế: Trợ lực

Tiếp tục đề xuất giảm 2% thuế: Trợ lực 'tiếp sức' cho doanh nghiệp, kích cầu nền kinh tế

Bí quyết ‘cơ động’ của thầy Cường ‘động cơ’

Bí quyết ‘cơ động’ của thầy Cường ‘động cơ’

Bộ Công Thương ban hành công điện về việc chủ động ứng phó với bão số 9 (bão Man-yi)

Bộ Công Thương ban hành công điện về việc chủ động ứng phó với bão số 9 (bão Man-yi)

Từ thông điệp chống lãng phí của Tổng Bí thư suy ngẫm về việc xử lý thành công các dự án tồn đọng

Từ thông điệp chống lãng phí của Tổng Bí thư suy ngẫm về việc xử lý thành công các dự án tồn đọng

Tặng quà nhân Ngày Nhà giáo Việt Nam: Tôn vinh thực sự hay áp lực hình thức?

Tặng quà nhân Ngày Nhà giáo Việt Nam: Tôn vinh thực sự hay áp lực hình thức?

Khu thương mại tự do Đà Nẵng: Đâu là lời giải cho "bài toán" thu hút đầu tư?

Khu thương mại tự do Đà Nẵng: Đâu là lời giải cho "bài toán" thu hút đầu tư?

TP. Hồ Chí Minh: Tiệm mì 0 đồng lan tỏa yêu thương của những chàng trai Hóc Môn

TP. Hồ Chí Minh: Tiệm mì 0 đồng lan tỏa yêu thương của những chàng trai Hóc Môn

Trách nhiệm thi hành Thông tư quy định về quản lý, sử dụng vật liệu nổ công nghiệp, tiền chất thuốc nổ

Trách nhiệm thi hành Thông tư quy định về quản lý, sử dụng vật liệu nổ công nghiệp, tiền chất thuốc nổ

Giải ngân vốn đầu tư công bứt tốc cuối năm để về đích

Giải ngân vốn đầu tư công bứt tốc cuối năm để về đích

Bộ Công Thương ban hành Thông tư về quản lý, sử dụng vật liệu nổ công nghiệp, tiền chất thuốc nổ

Bộ Công Thương ban hành Thông tư về quản lý, sử dụng vật liệu nổ công nghiệp, tiền chất thuốc nổ

Bộ Công Thương đề xuất nghiên cứu đầu mối quản lý về công nghiệp thực phẩm

Bộ Công Thương đề xuất nghiên cứu đầu mối quản lý về công nghiệp thực phẩm

Bộ Công Thương rà soát, đánh giá kết quả thực hiện lộ trình phối trộn nhiên liệu sinh học

Bộ Công Thương rà soát, đánh giá kết quả thực hiện lộ trình phối trộn nhiên liệu sinh học

Cấm phân lô, bán nền có kiểm soát được thị trường bất động sản?

Cấm phân lô, bán nền có kiểm soát được thị trường bất động sản?

Bộ Công Thương làm việc với Trung tâm Nhiên liệu Xanh Toàn cầu về phát triển nhiên liệu sinh học

Bộ Công Thương làm việc với Trung tâm Nhiên liệu Xanh Toàn cầu về phát triển nhiên liệu sinh học

Bộ Công Thương kiểm tra công tác quản lý nhà nước về an toàn thực phẩm tại Hải Dương

Bộ Công Thương kiểm tra công tác quản lý nhà nước về an toàn thực phẩm tại Hải Dương

Xem thêm