ปกป้องข้อมูลส่วนบุคคลและองค์กรจากช่องโหว่ด้านความปลอดภัย

พลโทเหงียน มินห์ จินห์ ผู้อำนวยการฝ่ายความมั่นคงปลอดภัยทางไซเบอร์ (A05 กระทรวงความมั่นคงสาธารณะ ) รองประธานถาวรสมาคมความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติ ให้ความเห็นว่า สถานการณ์การโจมตี การละเมิดลิขสิทธิ์ และการซื้อขายข้อมูลส่วนบุคคลและองค์กรผ่านเครือข่ายมีความซับซ้อน เปลี่ยนแปลงอย่างรวดเร็ว โดยใช้วิธีการทางอาชญากรรมมากมาย พร้อมทั้งมีสถานการณ์และแนวทางในการโจมตีทางไซเบอร์

ในเวียดนาม ในช่วง 6 เดือนแรกของปี 2024 มีชื่อโดเมนปลอมที่กำหนดเป้าหมายเป็นผู้ใช้และลูกค้าขององค์กรขนาดใหญ่ จำนวน 2,364 ชื่อ ซึ่งเพิ่มขึ้น 1.2 เท่าเมื่อเทียบกับช่วงเวลาเดียวกันในปี 2023 มีเพจปลอม 496 เพจที่ใช้แบรนด์ขององค์กรขนาดใหญ่อย่างผิดกฎหมายในเวียดนาม เพิ่มขึ้น 4 เท่าเมื่อเทียบกับช่วงเวลาเดียวกันในปี 2023 มีการโจมตี DDoS ในรูปแบบต่างๆ จำนวน 495,000 ครั้ง

ข้อมูล 3 เทราไบต์ถูกโจมตีด้วยแรนซัมแวร์ มูลค่าความเสียหายรวมกว่า 10 ล้านเหรียญสหรัฐ โดยเฉพาะอย่างยิ่งการโจมตี VNDirect Securities Corporation ของกลุ่ม Lockbit และการโจมตีเว็บไซต์ของ Vietnam Oil Corporation (PVOil), Post and Telecommunication Insurance Corporation (PTI), IPA Investment Group Joint Stock Company; IPA Securities Investment Fund Management Company Limited (IPAAM) ก่อให้เกิดความเสียหายอย่างมากต่อธุรกิจ

สาเหตุหลักประการหนึ่งของปัญหาดังกล่าวคือช่องโหว่ที่ทำให้ข้อมูลและสารสนเทศรั่วไหลจากองค์กรและบุคคลจำนวนมาก ในช่วง 6 เดือนแรกของปี 2024 ระบบตรวจสอบทางเทคนิคของกรมความปลอดภัยข้อมูล ( กระทรวงสารสนเทศและการสื่อสาร ) บันทึกจุดอ่อนและช่องโหว่ด้านความปลอดภัยของข้อมูลของหน่วยงานและองค์กรในเวียดนามจำนวน 90,033 รายการ จำนวนเหตุการณ์ร้ายแรงที่กรมต้องจัดการเพิ่มขึ้นเกือบ 60% เมื่อเทียบกับปี 2023

Viettel Cyber ​​​​Security (VCS) บันทึกการรั่วไหลของข้อมูล 46 ครั้ง โดยมีข้อมูลลูกค้าประมาณ 13 ล้านรายการที่ถูกขาย ซอร์สโค้ด 12.3 GB ข้อมูล 16 GB มีช่องโหว่ใหม่ประมาณ 17,000 รายการ ซึ่งมากกว่าครึ่งหนึ่งเป็นช่องโหว่ระดับสูงและร้ายแรง โดยมีช่องโหว่ 71 รายการที่เกี่ยวข้องกับบัญชีหลายร้อยล้านบัญชีและข้อมูลลูกค้าที่รั่วไหลจากองค์กรและธุรกิจในเวียดนาม

ข้อมูลส่วนบุคคล เช่น หมายเลขโทรศัพท์ ชื่อ-นามสกุล ที่อยู่ หมายเลขบัตรประชาชน หมายเลขบัญชี ฯลฯ ของบุคคลต่างๆ มักถูกเปิดเผยออกมาให้เห็นบ่อยครั้ง ผู้คนไม่เพียงแต่ได้รับข้อความหลอกลวงและลิงก์ปลอมเท่านั้น แต่ยังถูกคุกคามจากสายโทรศัพท์ที่เสนอบริการต่างๆ อีกด้วย

นายเหงียน วัน หุ่ง อดีตข้าราชการบำนาญในซวนลา (เขตเตยโฮ ฮานอย) เล่าว่า เขาได้รับโทรศัพท์บ่อยครั้ง เชิญชวนให้ไปลงทุนในหุ้น มอบบัตรกำนัลทัวร์ เชิญชิมไวน์ หรือรับรางวัลจากธุรกิจต่างๆ... เขาเล่าว่าเมื่อไม่กี่ปีที่ผ่านมา เขามีธุรกรรมซื้ออพาร์ตเมนต์ บางทีอาจเป็นเพราะเหตุนี้ ข้อมูลส่วนตัวของเขาจึงรั่วไหล

สาเหตุหลักของการรั่วไหลของข้อมูลเกิดจากความประมาทของผู้ใช้ที่ไม่ตระหนักถึงการปกป้องข้อมูลส่วนบุคคลหรือไม่ใช้มาตรการป้องกันที่เหมาะสม โพสต์ข้อมูลส่วนบุคคลต่อสาธารณะบนไซเบอร์สเปซ หรือมีข้อมูลส่วนบุคคลรั่วไหลในระหว่างกระบวนการโอน ย้าย จัดเก็บ หรือแลกเปลี่ยนข้อมูล

กิจกรรมปกติในการสำรองข้อมูล เช่น การซ่อมแซม ขาย ล้างบัญชีอุปกรณ์ข้อมูลส่วนตัว เช่น โทรศัพท์มือถือ คอมพิวเตอร์ ฮาร์ดไดรฟ์ ... แม้ว่าผู้ใช้จะลบข้อมูลอย่างระมัดระวัง ก็ยังมีความเสี่ยงที่จะเปิดเผยข้อมูลได้

สำหรับองค์กรและธุรกิจต่างๆ สาเหตุเกิดจากช่องโหว่ในระบบ แอปพลิเคชัน และซอฟต์แวร์ ความหละหลวมในการปฏิบัติตามกฎระเบียบและวินัยด้านข้อมูลบนสภาพแวดล้อมเครือข่าย ช่องโหว่ในนโยบายด้านความปลอดภัยของข้อมูลลูกค้า มีธุรกิจบางแห่งที่จงใจให้ข้อมูลลูกค้าแก่บุคคลที่สามเพื่อจุดประสงค์ที่ไม่ดีต่อสุขภาพหลายประการ

กระทรวงความมั่นคงสาธารณะเตือนว่ามีการหลอกลวงทางอินเทอร์เน็ต 3 กลุ่มหลัก ได้แก่ การปลอมแปลงแบรนด์ การแฮ็กบัญชี และการรวมกันอื่นๆ กับรูปแบบการหลอกลวง 24 รูปแบบ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Ngo Minh Hieu (Hieu PC) ให้ความเห็นว่าสาเหตุหลักของการรั่วไหลของข้อมูลคือการขาดความรู้ ขาดมาตรการและขั้นตอนในการปกป้องข้อมูล และการขาดการควบคุมในการรวบรวม ประมวลผล จัดเก็บ และใช้ประโยชน์จากข้อมูล

นายหวู่ ซวน เหงียน ประธานคณะกรรมการบริษัท IGB Joint Stock Company ซึ่งเชี่ยวชาญด้านซอฟต์แวร์และเทคโนโลยี กล่าวว่า เพื่อป้องกันการรั่วไหลของข้อมูล ธุรกิจต่างๆ จำเป็นต้องดำเนินการตามมาตรการดังต่อไปนี้: การพิสูจน์ตัวตนด้วยปัจจัยหลายประการ (MFA) และการจัดการการเข้าถึง เพื่อให้แน่ใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ่อน การเข้ารหัสข้อมูลทั้งในระหว่างการจัดเก็บและการส่ง การเข้ารหัสแบบครบวงจรเพื่อให้แน่ใจว่าเฉพาะผู้รับที่กำหนดเท่านั้นที่สามารถถอดรหัสและอ่านข้อมูลได้ การตรวจสอบอย่างต่อเนื่องและการตรวจจับการบุกรุกในระยะเริ่มต้นโดยใช้เทคโนโลยีต่างๆ เช่น ระบบตรวจจับการบุกรุก (IDS) และระบบป้องกันการบุกรุก (IPS) การฝึกอบรมและพัฒนาทักษะด้านความปลอดภัยสำหรับพนักงานเกี่ยวกับการระบุตัวตนแบบฟิชชิ่ง (การฉ้อโกงทางอีเมล) ทักษะด้านความปลอดภัยพื้นฐาน และขั้นตอนการประมวลผลข้อมูล เพื่อช่วยลดความเสี่ยงของการรั่วไหลจากปัจจัยด้านมนุษย์

โดยเฉพาะอย่างยิ่ง จะต้องมีการสำรองข้อมูลเป็นประจำในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยหรือข้อมูลสูญหาย IGB ได้นำมาตรฐานความปลอดภัยสากล ISO/IEC 2700I มาใช้ โดยใช้การเข้ารหัส SSL/TLS สำหรับการเชื่อมต่อออนไลน์ทั้งหมด

National Cyber ​​​​Security Association ได้เสนอให้สร้างแพลตฟอร์มเพื่อเชื่อมต่อและแบ่งปันข้อมูลด้านความปลอดภัยทางไซเบอร์ ช่วยให้องค์กรต่างๆ ตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างเป็นเชิงรุก ตรวจสอบเครื่องมือและเทคนิคการโจมตีทางอาชญากรรมใหม่ๆ ให้คำเตือนล่วงหน้าเกี่ยวกับภัยคุกคาม รองรับการตัดสินใจเชิงกลยุทธ์ ช่วยให้องค์กรต่างๆ ปกป้องทรัพย์สินดิจิทัลและรักษาความปลอดภัยของข้อมูล

นอกจากนี้ สมาคมยังได้เปิดตัวแอปพลิเคชัน nTrust ป้องกันการฉ้อโกงสำหรับสมาร์ทโฟนฟรี ซึ่งช่วยตรวจจับสัญญาณการฉ้อโกงโดยการตรวจสอบหมายเลขโทรศัพท์ หมายเลขบัญชี ลิงก์เว็บไซต์ และรหัส QR ซอฟต์แวร์ nTrust มีข้อมูลที่ตรวจยืนยันแล้วมากกว่า 1 ล้านรายการ ซึ่งรวบรวมจากแหล่งข้อมูลของกระทรวงความมั่นคงสาธารณะ กระทรวงสารสนเทศและการสื่อสาร ธนาคารแห่งรัฐเวียดนาม และองค์กรด้านความปลอดภัยทางไซเบอร์ที่เป็นสมาชิกของสมาคม

เมื่อวันที่ 8 ตุลาคม สมาคมได้เปิดตัวโครงการฝึกอบรมผู้เชี่ยวชาญด้านการปกป้องข้อมูลส่วนบุคคลของ VnDPO อย่างเป็นทางการ ผู้เข้ารับการฝึกอบรมจะได้รับการฝึกอบรมอย่างเข้มข้น โดยใช้เวลาฝึกอบรมคิดเป็น 60% ของระยะเวลาโครงการทั้งหมด ผ่านระบบการเตือนและป้องกันชื่อโดเมนที่เป็นอันตรายแห่งชาติ ภายในเดือนมิถุนายน 2024 กรมความปลอดภัยข้อมูล (กระทรวงสารสนเทศและการสื่อสาร) ได้บล็อกเว็บไซต์ฉ้อโกงออนไลน์ไปแล้ว 3,170 เว็บไซต์ ช่วยปกป้องผู้คนมากกว่า 10 ล้านคนจากเว็บไซต์ฉ้อโกงและผิดกฎหมาย