Khi hồ sơ y tế, giấy tờ tùy thân, ảnh tự sướng… trở thành “mồi ngon” của tin tặc

Dữ liệu cá nhân đang bị mua bán, thu thập tràn lan

Theo Bộ Công an, hành vi mua bán dữ liệu cá nhân đang diễn ra phổ biến theo 2 hình thức chính. Một là, các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác. Hai là, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý những loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

Việc buôn bán dữ liệu cá nhân diễn ra dưới cả 2 dạng trên, tiến hành kinh doanh dữ liệu cá nhân thô và dữ liệu cá nhân đã qua xử lý.

Các dữ liệu này được mua đi, bán lại nhiều lần, cung cấp dưới dạng dịch vụ như databox.vn, databoxviet.com, laydata.com, laydata.net, khodata.net, databox.biz, fff.com.vn, cokhach.com, vltoolkit.com. Các gói dữ liệu thô được giao bán liên quan tới nhiều lĩnh vực: danh sách cán bộ, danh sách nội bộ (bao gồm cả các đơn vị công an, quốc phòng, thuế...); điện lực; thuê bao Internet; ngân hàng (chi tiết tới cả số dư tài khoản); bảo hiểm; hồ sơ đăng ký kinh doanh; giáo dục (phụ huynh, giáo viên, học sinh sinh viên); bất động sản (kèm theo khả năng tài chính); nhân sự có chọn lọc (mức thu nhập, chức vụ); danh sách khách hàng sử dụng các dịch vụ Internet (danh sách thành viên đăng ký facebook, fpt, vnn.com, yahoo.com, gmail.com, gov.vn, hopthu.com, hotmail.com, saigonnet.vn).

Ngoài ra, còn xuất hiện các công ty cung cấp dịch vụ bán cho khách hàng phần mềm thu thập thông tin cá nhân trái phép, được cài ẩn trong các trang mạng bán hàng. Theo đó, khi người dùng truy cập vào các trang mạng này, doanh nghiệp sẽ thu thập được thông tin cá nhân sâu hơn về phiên truy cập như địa chỉ IP, thời gian, số điện thoại, địa điểm. Các đối tượng sử dụng mã độc, phần mềm có tính năng gián điệp để thu thập dữ liệu cá nhân trong môi trường mạng qua máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và sẵn sàng của máy tính người sử dụng để chiếm đoạt thông tin cá nhân, dữ liệu cá nhân.

Trong khi đó, theo nghiên cứu từ Công ty An ninh mạng toàn cầu Kaspersky, tình trạng đánh cắp và rao bán thông tin cá nhân trên không gian mạng ngày càng phức tạp. Tuy nhiên, Kaspersky chỉ ra rằng, mức độ quan tâm của người dùng về tầm quan trọng của quyền riêng tư vẫn chỉ ở mức cơ bản: 37% người dùng thế hệ Millennial (sinh từ năm 1981 – 1996) cho rằng họ không phải mục tiêu hấp dẫn của tội phạm mạng. Chính sự chủ quan này khiến các hacker có nhiều cơ hội xâm nhập và sử dụng trái phép thông tin cá nhân, thậm chí là thông tin nhạy cảm của người dùng. Tùy thuộc vào số lượng và chất lượng dữ liệu, những “mặt hàng” này bị kẻ xấu rao bán trên các diễn đàn và thị trường chợ đen trực tuyến quốc tế với nhiều mức giá.

Cụ thể, mức giá trung bình đối với thông tin cá nhân cơ bản (tên, email, số điện thoại) rất rẻ, chỉ từ 11.500 đồng/ID. Các thông tin scan từ bằng lái xe có giá khoảng 115.000 – 580.000 đồng, scan từ hộ chiếu có giá 139.000 – 347.000 đồng tùy theo chất lượng. Với thông tin tài khoản ngân hàng, người mua phải chia 1-10% giá trị để sở hữu. Theo báo cáo, đây là những dữ liệu quen thuộc được các hacker rao bán nhiều năm nay, với mức giá hầu như không đổi. Tuy nhiên, gần đây thị trường chợ đen đã xuất hiện những dữ liệu mới như hồ sơ y tế cá nhân, ảnh selfie cùng giấy tờ tùy thân với mức giá lên đến 1 triệu đồng.

Để bảo vệ dữ liệu cá nhân, quan trọng nhất là nâng cao ý thức người dùng về phương pháp bảo mật. Các chuyên gia khuyến nghị, người dùng cần thường xuyên kiểm tra cài đặt quyền trên ứng dụng, nhằm giảm thiểu khả năng dữ liệu tự ý bị chia sẻ hoặc lưu trữ bởi ứng dụng bên thứ ba. Nên sử dụng xác thực hai yếu tố để tăng độ an toàn khi đăng nhập tài khoản, sử dụng những giải pháp bảo mật uy tín, đáng tin cậy. Tuyệt đối không sử dụng một mật khẩu cho nhiều tài khoản, đồng thời xem xét nội dung cá nhân trước khi chia sẻ lên môi trường trực tuyến để không bị kẻ xấu đánh cắp.

Dữ liệu y tế đòi hỏi những biện pháp bảo mật cao

Dữ liệu y tế là một trong những thông tin riêng tư, đòi hỏi tính bảo mật cao. Thời gian diễn ra dịch bệnh Covid-19 càng chứng tỏ vai trò quan trọng của Chính phủ điện tử nói chung và chuyển đổi số về y tế nói riêng. Ngay trong hoàn cảnh khó khăn, Nhà nước vẫn cung cấp các dịch vụ trực tuyến, duy trì sự lãnh đạo của Chính phủ, tạo sự gắn kết xã hội và theo đuổi sự phát triển bền vững. Tuy nhiên cũng trong thời gian này dữ liệu cá nhân nói chung và thông tin sức khỏe nói riêng bị rò rỉ, tiết lộ, công khai trên không gian mạng nhưng chưa có quy định quản lý, bảo vệ hay chế tài xử phạt cụ thể dẫn đến không bảo đảm quyền riêng tư.

Dữ liệu y tế là một trong những thông tin riêng tư, đòi hỏi tính bảo mật cao. (Ảnh minh họa: Internet)

Mặt khác, xu hướng số hóa dịch vụ khám chữa bệnh, điển hình như triển khai y bạ điện tử, khám chữa bệnh từ xa và số hóa dữ liệu y tế đặt ra yêu cầu cấp thiết cho nghiên cứu, thảo luận để sớm có chính sách về quản trị dữ liệu nói chung và dữ liệu sức khỏe nói riêng. Đây là nhóm dữ liệu có độ nhạy cảm cao, cần được quản trị tốt để tạo nền tảng chuyển đổi số bền vững.

Tại tọa đàm “Chuyển đổi số và Quản trị dữ liệu trong lĩnh vực y tế”, ông Nguyễn Trường Nam - Phó Cục trưởng Cục Công nghệ thông tin, Bộ Y tế nhấn mạnh, trong thời đại bùng nổ công nghệ thông tin, vấn đề bảo vệ thông tin riêng tư của người dân phải đặt lên hàng đầu. “Dữ liệu y tế là một lĩnh vực rộng lớn, có liên quan tới hơn 95 triệu người dân Việt Nam. Tất cả vấn đề sức khoẻ của người dân đều được quản lý theo 4 cấp (Trung ương, tỉnh, huyện, trạm y tế). Vì thế, khối lượng dữ liệu y tế của người dân là vô cùng khổng lồ. Điều này đặt ra bài toán về quản trị dữ liệu y tế”.

Để quản lý dữ liệu y tế, Bộ Y tế chủ yếu tập trung vào vấn đề dân số, khám chữa bệnh, tiêm chủng, tai nạn thương tích, sức khoẻ sinh sản, HIV/AIDS, môi trường… điển hình là việc triển khai hồ sơ sức khoẻ điện tử. Với hồ sơ sức khoẻ điện tử, bác sĩ sẽ nắm được thông tin sức khoẻ của người dân cũng như các lần khám bệnh trước đó khi đi khám, chữa bệnh ở các cơ sở y tế. Không chỉ vậy, người dân còn chủ động theo dõi tình hình sức khoẻ của bản thân để tăng độ chính xác, đảm bảo tính tiền sử khi các bác sĩ tiến hành khám bệnh.

Theo Luật Khám, chữa bệnh, hồ sơ sức khoẻ của bệnh nhân phải đảm bảo tính bảo mật, không được khai thác, cung cấp (trừ trường hợp người dân đồng ý hoặc có sự can thiệp của cơ quan chức năng). Hồ sơ sức khoẻ điện tử của người dân có thể được chia sẻ ở tất cả các bệnh viện. Bệnh án điện tử của người dân sẽ được bảo vệ ở bệnh viện và cơ sở y tế, thông tin của mỗi lượt điều trị đều được cập nhật rõ. Bộ Y tế đang thiết lập hành lang pháp lý để đảm bảo tính bảo mật của thông tin cho người dân cùng với những quy định trong Luật An toàn thông tin.

Trong thực tế, những quy định trong Luật An toàn thông tin chưa đầy đủ và bao phủ hết các vấn đề của người dân. Vì thế, Cục Công nghệ thông tin, Bộ Y tế sẽ đẩy mạnh việc nghiên cứu những vấn đề pháp lý và áp dụng một số biện pháp bảo mật của nước ngoài. Ví dụ như tiêu chuẩn HIPAA của Mỹ nhằm bảo vệ dữ liệu riêng tư cho người dân; hệ thống bảo vệ thông tin trong y tế; bộ ISO 27799 giúp bảo mật thông tin trong y tế…

Theo ông Nguyễn Trọng Đường - Phó Cục trưởng Cục Tin học hóa (Bộ TT&TT), Bộ TT&TT đang triển khai xây dựng chiến lược quốc gia về dữ liệu… Các dữ liệu về y tế, hồ sơ sức khoẻ như khám bệnh, chữa bệnh, phòng bệnh... là những dữ liệu mang tính riêng tư, phải có biện pháp để bảo vệ thông tin cá nhân, bảo vệ an toàn thông tin thoả đáng thì các bên liên quan mới dám chia sẻ dữ liệu.

Trên cơ sở tham khảo tiêu chuẩn của các mô hình đạo luật khung - Quy định chung về bảo vệ dữ liệu cá nhân của một số quốc gia đi trước như Liên minh Châu Âu (GDPR) và hướng dẫn ngành như Hàn Quốc, Singapore, New Zealand, Úc, Ban tổ chức của Tọa đàm đã đưa ra bốn khuyến nghị:

Thứ nhất, ưu tiên khai thác dữ liệu y tế của người bệnh đang được giao cho các bệnh viện quản lý.

Thứ hai, Bộ Y tế và Bộ TT&TT nên tập trung vào hai việc: Xây dựng chuẩn dữ liệu để phục vụ kết nối và thu thập dữ liệu; làm nền tảng cho phân loại, khai thác, chia sẻ; Hướng dẫn và giám sát thực thi về quản trị nhà thầu; về kiểm toán an ninh mạng, an toàn dữ liệu - trong tiến trình các bệnh viện, cơ sở y tế xây dựng phần mềm quản lý bệnh viện điện tử, hồ sơ bệnh án điện tử và tiến trình xây dựng các hệ thống thông tin quản lý hành chính về y tế các địa phương đang thực thi.

Thứ ba, cần ban hành Luật về dữ liệu cá nhân, làm nền tảng pháp lý cho việc xác định các quyền và xác lập nghĩa vụ của các chủ thể trong tiến trình thu thập, xử lý, khai thác thông tin, dữ liệu liên quan đến cá nhân. Trên cơ sở này, ngành y tế sẽ ban hành các quy định, tiêu chuẩn riêng cho lĩnh vực y tế và chăm sóc sức khoẻ.

Thứ tư,Chính phủ cần có chiến lược quốc gia về dữ liệu nói chung, chiến lược dữ liệu cho lĩnh vực y tế nói riêng, để khai thác được giá trị dữ liệu y tế, đảm bảo lợi ích tối ưu lợi ích quốc gia, đặc biệt là khi Việt Nam bước vào ngưỡng già hóa dân số, chi phí chăm sóc y tế cho người dân tăng cao.