Các phương thức, thủ đoạn thu thập trái phép dữ liệu cá nhân (Hình từ internet)
Bộ Công an đang dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, gồm: Dự thảo Báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân; Dự thảo Báo cáo đánh giá tác động của chính sách trong đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân.
Các hệ thống thông tin trực tuyến là mục tiêu hấp dẫn để các tin tặc tấn công bởi lượng dữ liệu lớn được lưu trên các hệ thống thông tin. Mức độ nghiêm trọng của các cuộc tấn công phụ thuộc vào mức độ bảo mật và giá trị của dữ liệu bị khai thác. Thông tin rò rỉ có thể là thông tin tài chính, thông tin về sức khỏe, bí mật thương mại, sở hữu trí tuệ của tổ chức hay thông tin cá nhân,…Có nhiều vấn đề an ninh, bảo mật trong các hệ thống thông tin trực tuyến vì nó bao gồm nhiều công nghệ như mạng, cơ sở dữ liệu, hệ điều hành, ảo hóa, các công nghệ phục vụ giao dịch,…
Theo Dự thảo Báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân thì có một số phương thức, thủ đoạn thu thập trái phép dữ liệu cá nhân như sau:
- Thông qua các Website: Với thủ đoạn này, các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm mã độc vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin. Ví dụ như: Đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (facebook, email, bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ. Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ nghĩ.
- Thông qua phần mềm miễn phí: Với một số phần mềm được cung cấp miễn phí trên mạng internet, đặc biệt là đối với những phầm mềm không rõ nguồn gốc, phần mềm bẻ khóa, các đối tượng sẽ lợi dụng để cài cắm các mã độc đính kèm, khi người dùng tải về máy và tiến hành cài đặt thì vô tình cài đặt mã độc lên chính thiết bị của mình. Và các mã độc này sẽ tiến hành âm thầm thu thập dữ liệu cá nhân người dùng. Ví dụ: các chương trình crack, patch phần mềm; một số phần mềm diệt virus giả mạo như AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan...
- Thông qua hòm thư điện tử: Các mẫu virus mới thường giả mạo địa chỉ email của cán bộ, đồng nghiệp trong cơ quan để gửi file cho cán bộ khác bằng tiếng Việt với nội dung như liên quan tiền lương, xin ý kiến, chương trình công tác…Kẻ địch thường tìm hiểu kỹ tên tuổi, chức vụ của người trong cơ quan trước khi tiến hành phát tán mã độc qua email.
- Tấn công thông qua vật trung gian: Đây là các mã độc được viết riêng, có chủ định, không bị các chương trình diệt vi rút phát hiện. Các mã độc này sử dụng USB, CD, DCD làm vật trung gian. Đặc biệt các đối tượng có thể cài cắm các mã độc này vào cả những USB, CD, DCD mới, được bán trôi nổi trên thị trường. Khi các thiết bị lưu trữ này đã nhiễm mã độc cắm vào máy tính, chúng tiến hành thu gom dữ liệu do các đối tượng quy định (file tài liệu, file ảnh…), dữ liệu được nén và mã hóa trong các thư mục mà bình thường không phát hiện được. Khi có điều kiện kết nối Internet sẽ gửi ra máy chủ đặt ở nước ngoài.
- Tấn công qua các thiết bị thông minh: Đây là một thủ đoạn mới, các đối tượng thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh… Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như: Sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… Từ đó, cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng. Ngoài ra các đối tượng còn sử dụng nhiều thiết bị nghe lén thông minh để thu thập thông tin. Ngoài những thủ đoạn phổ biến kể trên, việc thực hiện tấn công dữ liệu cá nhân còn bắt nguồn gián tiếp bởi chính người dùng. Nhận thức của một bộ phận người dân về nguy cơ mất an ninh, an ninh mạng còn hạn chế, thói quen giao tiếp trên môi trường mạng thiếu cẩn trọng. Nhu cầu trao đổi thông tin qua USB, thư điện tử ngày càng nhiều nhưng chưa có các biện pháp cụ thể và toàn diện để đảm bảo an ninh, an ninh mạng. Các cơ quan, tổ chức chưa có đủ nhân lực, vật lực để thực hiện công tác đảm bảo an ninh, an ninh mạng; chưa kiểm soát hết khả năng mất an ninh, an ninh mạng do các phần mềm, thiết bị phần cứng nhập ngoại.
Theo điều 188 Bộ Luật hình sự 2015 quy định về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông như sau:
- Người nào thực hiện một trong các hành vi sau đây, thu lợi bất chính từ 50.000.000 đồng đến dưới 200.000.000 đồng hoặc gây thiệt hại từ 100.000.000 đồng đến dưới 500.000.000 đồng hoặc gây dư luận xấu làm giảm uy tín của cơ quan, tổ chức, cá nhân, thì bị phạt tiền từ 30.000.000 đồng đến 200.000.000 đồng, phạt cải tạo không giam giữ đến 03 năm hoặc bị phạt tù từ 06 tháng đến 03 năm:
+ Đưa lên mạng máy tính, mạng viễn thông những thông tin trái với quy định của pháp luật, nếu không thuộc một trong các trường hợp quy định tại các Điều 117, 155, 156 và 326 của Bộ luật hình sự 2015
+ Mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó;
+ Hành vi khác sử dụng trái phép thông tin trên mạng máy tính, mạng viễn thông.
- Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tiền từ 200.000.000 đồng đến 1.000.000.000 đồng hoặc phạt tù từ 02 năm đến 07 năm:
+ Có tổ chức;
+ Lợi dụng quyền quản trị mạng máy tính, mạng viễn thông;
+ Thu lợi bất chính 200.000.000 đồng trở lên;
+ Gây thiệt hại 500.000.000 đồng trở lên;
+ Xâm phạm bí mật cá nhân dẫn đến người bị xâm phạm tự sát;
+ Gây ảnh hưởng xấu đến an ninh, trật tự, an toàn xã hội hoặc quan hệ đối ngoại của Việt Nam;
+ Dẫn đến biểu tình.
- Người phạm tội còn có thể bị phạt tiền từ 20.000.000 đồng đến 200.000.000 đồng, cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 01 năm đến 05 năm.
Như vậy, các hành vi sử dụng trái phép thông tin mạng máy tính, mạng viễn thông có thế bị xử phạt đến 7 năm tù hoặc phạt tiền lên đến 1.000.000.000 đồng. Tuy nhiên, tội danh này chưa quy định cụ thể, trực tiếp về các hành vi vi phạm pháp luật liên quan tới dữ liệu cá nhân đang diễn ra hiện nay.
Xem thêm tại Dự thảo Báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân.
Đoàn Đức Tài