Doanh nghiệp và thách thức bảo mật thông tin khách hàng

Không thể phủ nhận sự tiện lợi, nhanh chóng, giảm đáng kể chi phí, nhân sự cho doanh nghiệp khi áp dụng công nghệ thông tin. Nhưng cùng với đó, bài toán bảo mật thông tin là thách thức của mọi doanh nghiệp.

Bài toán của mọi doanh nghiệp

Tháng 7 vừa qua, Tập đoàn tài chính, ngân hàng lớn nhất châu Âu HSBC đã bị phạt hơn 3 triệu bảng (4,8 triệu USD) vì bất cẩn trong xử lý thông tin mật của hàng chục nghìn khách hàng. Cụ thể, ngày 24/7, Cơ quan Quản lý Tài chính Anh (FSA) đã nêu một loạt hành vi vi phạm nguyên tắc bảo mật thông tin của HSBC, như gửi thông tin chi tiết không được mã hóa của khách hàng cho một đối tác thứ ba, để tài liệu ở các vị trí khách hàng được tự do tiếp cận hoặc trong những ngăn tủ không khóa, để thất lạc trên đường vận chuyển nhiều CD chứa thông tin không được mã hóa của khách hàng...

Theo FSA, những thông tin này có thể rơi vào tay tội phạm và bị sử dụng cho các hành vi trục lợi bất hợp pháp, gây thiệt hại cho khách hàng. Thậm chí, HSBC vẫn tiếp diễn những hành vi bất cẩn trên dù đã nhận được cảnh báo về việc dữ liệu cá nhân của một số khách hàng quan trọng tại các doanh nghiệp tư nhân và cơ quan chính phủ đã bị lộ. FSA dẫn ví dụ về vụ họ tên, mật khẩu, số điện thoại và địa chỉ email của 4,5 triệu người đăng ký tìm việc làm trên trang web Monster.co.uk bị đánh cắp; hay vụ Sở Thuế và Hải quan Anh làm mất dữ liệu của 25 triệu khách hàng đang nhận trợ cấp nuôi con nhỏ.

Các chi nhánh của HSBC bị phạt bao gồm HSBC Life UK chuyên về quản lý quỹ, HSBC Actuaries and Consultants chuyên về thống kê và tư vấn tài chính và HSBC Insurance Brokers chuyên về bảo hiểm. Không chỉ HSBC, trong 4 năm qua, FSA - một cơ quan độc lập phi chính phủ và có chức năng tài phán trong lĩnh vực quản lý hoạt động tài chính của Anh - đã xử phạt nhiều ngân hàng lớn ở Anh về các lỗi liên quan đến công tác bảo mật thông tin khách hàng.

Tại Việt Nam, năm qua, hơn 2 triệu dữ liệu người dùng của một ngân hàng Việt chứa các dữ liệu như số điện thoại, email, số CMND,... đã bị công khai trên một diễn đàn. Cụ thể, một thành viên có tên Liturmlime cho biết, người này đã có trong tay các thông tin bao gồm họ tên, số chứng minh thư, ngày sinh, giới tính, công việc, số điện thoại, địa chỉ nhà, địa chỉ email của các khách hàng. Không những thế, người này khẳng định rằng đây mới chỉ là thông tin của 2 triệu khách hàng, còn bản thân mình đang nắm giữ đầy đủ dữ liệu toàn bộ khách hàng của ngân hàng này.

Thiệt hại nặng nề, doanh nghiệp cần làm gì?

Còn nhớ một vụ lộ thông tin chấn động năm 2018, khi trên một diễn đàn chia sẻ thông tin cá nhân xuất hiện các tập tin có chứa dữ liệu gồm thông tin của hơn 30.000 giao dịch thẻ ngân hàng và khoảng 5,4 triệu email khách hàng, 61.000 email nhân viên được cho rằng của hệ thống siêu thị Thế giới Di động (TGDĐ) bị hacker tung lên mạng. Các thông tin giao dịch thẻ của khách hàng của TGDĐ có nêu rõ thời gian mua sắm, số thẻ thanh toán (vài con số đã được che mờ), số tiền, phí thanh toán,... Thông tin này ngay lập tức khiến nhiều chủ thẻ từng thanh toán mua hàng tại chuỗi siêu thị này lo lắng. Ước tính vốn hóa của Thế giới Di động đã “bốc hơi” gần 650 tỷ đồng chỉ trong một ngày.

Qua đây đã cho thấy đảm bảo bí mật thông tin khách hàng là điều kiện mang tính sống còn của doanh nghiệp.

Theo các chuyên gia bảo mật, để đảm bảo thông tin riêng tư của khách hàng được bảo mật, trước tiên doanh nghiệp phải công bằng, minh bạch trong cách ứng xử và hoạt động của mình, website phải hiển thị mục thông tin doanh nghiệp rõ ràng. Ngoài ra, doanh nghiệp cần thiết lập quyền riêng tư cho khách hàng thông qua những tài khoản cá nhân để họ có thể tự xác định những thông tin cần bảo mật, những thông tin cho phép hoặc không cho phép truy cập, đồng thời giúp họ xem được quá trình bảo mật thông tin của mình để bảo đảm thông tin không bị rò rỉ.

Mặt khác, doanh nghiệp cần có chế độ bảo mật phù hợp trong giao dịch với khách hàng, thống kê được các hoạt động và giao dịch bất thường phát sinh trong hệ thống, có những hướng dẫn cho khách hàng khi cung cấp thông tin, chủ động trong việc giải quyết những vấn đề lạm dụng thông tin khách hàng. Để làm tốt các việc đó, các doanh nghiệp cần luôn nâng cao năng lực quản trị của lãnh đạo và kỹ năng chuyên môn của nhân viên. Trên hết, các nhà quản trị tại những doanh nghiệp này cần xác lập và duy trì nhận thức bảo mật thông tin khách hàng là ưu tiên hàng đầu trong các hoạt động của doanh nghiệp.

BOX:

Điều 291 Bộ luật Hình sự 2015 quy định về: Tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng của người khác với số lượng từ 20 tài khoản đến dưới 50 tài khoản hoặc thu lợi bất chính từ 20 triệu đồng đến dưới 50 triệu đồng thì bị phạt tiền từ 20 triệu đồng đến 100 triệu đồng hoặc phạt cải tạo không giam giữ đến 3 năm. Trường hợp thu thập số lượng 200 tài khoản trở lên thì bị phạt tiền từ 200 triệu đến 500 triệu hoặc bị phạt tù từ 2 năm đến 7 năm, ngoài ra người phạm tội còn bị cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 1 đến 05 năm hoặc tịch thu một phần hoặc toàn bộ tài sản.

Bút Đỗ