Cựu nhân viên EVN và vụ bán dữ liệu khách hàng: Lỗ hổng quản lý nằm ở đâu?

Vụ việc cựu nhân viên EVN tuồn dữ liệu khách hàng ra ngoài không chỉ gây chấn động dư luận mà còn đặt ra câu hỏi về an toàn thông tin trong doanh nghiệp nhà nước.

Tòa án Nhân dân TP Hà Nội vừa xét xử bị cáo Lại Thị Uyên, người tham gia hỗ trợ anh rể là Dư Anh Quý – cựu nhân viên hợp đồng của Tập đoàn Điện lực Việt Nam (EVN) – trong việc bán dữ liệu khách hàng. Theo hồ sơ, từ năm 2013, Quý đảm nhiệm vị trí lập trình viên tại phòng Giải pháp quản lý kinh doanh điện, nay là Trung tâm phát triển phần mềm của EVN. Trong thời gian làm việc, Quý có điều kiện tiếp cận cơ sở dữ liệu chứa thông tin cá nhân của hàng triệu khách hàng thuộc các công ty điện lực địa phương.

Thay vì tuân thủ quy định bảo mật nghiêm ngặt, Quý đã lợi dụng quyền hạn để sao chép dữ liệu khách hàng sang ổ cứng cá nhân. Sau đó, Quý cùng vợ lén lút rao bán số dữ liệu này cho các đối tượng có nhu cầu trên mạng xã hội. Từ năm 2019, Uyên – em vợ Quý – được thuê tham gia xử lý các công việc liên quan đến việc giao dịch dữ liệu trái phép. Theo cáo buộc, nhóm này đã thu lợi bất chính hơn 270 triệu đồng từ việc bán thông tin cá nhân của khách hàng EVN.

Vụ việc cựu nhân viên EVN đánh cắp dữ liệu khách hàng đặt ra nhiều câu hỏi về an toàn thông tin trong doanh nghiệp. Ảnh: Internet

Trong phiên xét xử, bị cáo Uyên khai rằng mình không được hưởng lợi trực tiếp từ hành vi phạm pháp này, song đã góp phần giúp anh rể và chị gái hợp thức hóa các giao dịch. Trước đó, vào đầu năm 2023, Quý và vợ đã bị xử phạt 30 tháng tù treo với cùng tội danh. Việc Uyên tiếp tục bị đưa ra xét xử cho thấy cơ quan chức năng đang kiên quyết làm rõ các mắt xích trong đường dây buôn bán dữ liệu.

Vụ án đặt ra nhiều nghi vấn về cơ chế quản lý dữ liệu trong một tập đoàn lớn như EVN. Với quy định rõ ràng về việc nghiêm cấm sao chép, khai thác, trao đổi dữ liệu khách hàng mà không có sự đồng ý của tập đoàn, câu hỏi được đặt ra là vì sao một nhân viên hợp đồng lại có thể dễ dàng mang đi lượng dữ liệu khổng lồ trong một thời gian dài mà không bị phát hiện. Điều này cho thấy những kẽ hở trong quy trình kiểm soát nội bộ, đặc biệt là việc giám sát hoạt động của nhân viên kỹ thuật có quyền truy cập sâu vào hệ thống.

Một chuyên gia an ninh mạng cho rằng trường hợp này không chỉ là vấn đề cá nhân mà còn phản ánh sự thiếu chặt chẽ trong hệ thống giám sát. Các doanh nghiệp, đặc biệt là doanh nghiệp nhà nước, thường chưa chú trọng đúng mức tới công tác kiểm soát truy cập, phân quyền người dùng hay theo dõi hoạt động đăng nhập. Khi nhân viên có thể tự do sao chép dữ liệu sang thiết bị cá nhân mà không bị cảnh báo, nguy cơ rò rỉ thông tin là rất lớn.

Dữ liệu khách hàng của EVN không chỉ đơn giản là họ tên, số điện thoại hay địa chỉ. Đây là tập hợp thông tin quan trọng, bao gồm cả mã số khách hàng, thói quen sử dụng điện, và có thể được kết hợp để phục vụ cho nhiều mục đích thương mại hoặc thậm chí lừa đảo. Khi bị rơi vào tay kẻ xấu, người dân có thể đối diện với các cuộc gọi quấy rối, mạo danh nhân viên ngành điện để chiếm đoạt tài sản hoặc dụ dỗ tham gia những giao dịch bất hợp pháp.

Sau vụ việc, nhiều ý kiến cho rằng cần siết chặt hơn nữa chế tài quản lý và hình phạt đối với hành vi xâm phạm dữ liệu cá nhân. Một mức án treo cho hành vi buôn bán dữ liệu hàng trăm triệu đồng chưa đủ sức răn đe trong bối cảnh tội phạm mạng ngày càng tinh vi. Đồng thời, bản thân các tập đoàn lớn như EVN phải chủ động nâng cấp hệ thống bảo mật, áp dụng công nghệ giám sát hiện đại và đào tạo lại nhân viên để bảo đảm an toàn thông tin.

Câu chuyện cựu nhân viên EVN bán dữ liệu khách hàng là lời cảnh tỉnh về sự coi nhẹ bảo mật trong nhiều cơ quan, tổ chức. Khi dữ liệu cá nhân ngày càng trở thành “tài nguyên số” có giá trị, mọi lỗ hổng trong quản lý đều có thể bị biến thành mỏ vàng cho những kẻ trục lợi. Vụ án này không chỉ là một vụ việc pháp lý thông thường, mà còn là phép thử cho khả năng bảo vệ quyền riêng tư của hàng triệu khách hàng trên cả nước./.