Rò rỉ dữ liệu – doanh nghiệp và người dân cần siết chặt bảo mật, tiêu chuẩn kỹ thuật cá nhân

Rò rỉ dữ liệu cá nhân không còn là nguy cơ xa vời mà đã trở thành hiện tượng phổ biến tại Việt Nam. Theo báo cáo của Trung tâm Giám sát và Ứng cứu không gian mạng VNPT Cyber Immunity (thuộc Tập đoàn VNPT), trong năm 2025 nước ta ghi nhận 155 triệu bản ghi dữ liệu bị rò rỉ, với khoảng 4,5 triệu tài khoản người dùng bị lộ, chiếm 12,6% tổng số trường hợp quốc tế, tăng hơn 21% so với cùng kỳ năm trước.

Một trong những vụ điển hình là Trung tâm Thông tin tín dụng quốc gia (CIC) bị cáo buộc bị nhóm hacker quốc tế “Shiny Hunters” tấn công và rao bán dữ liệu của hơn 52 triệu khách hàng cá nhân và 1,2 triệu khách hàng doanh nghiệp. Hay các vụ công ty dịch vụ chuyển phát, logistics lớn tại Việt Nam (GHN) và nền tảng quản lý và bán hàng đa kênh nổi tiếng của Công ty Cổ phần Công nghệ Sapo cũng bị phát hiện bị lộ thông tin đơn hàng, địa chỉ, thời gian giao dịch… trong năm 2025.

Nguyên nhân của những sự cố này được các chuyên gia an ninh mạng chỉ ra là do doanh nghiệp chưa coi trọng bảo mật như một phần chiến lược, hệ thống phần mềm có lỗ hổng, nhân viên dễ bị lừa đảo, quyền truy cập thông tin chưa được phân quyền rõ ràng, bên thứ ba xử lý dữ liệu thiếu nghiêm ngặt.

Tình trạng rò rỉ dữ liệu tinh vi người tiêu dùng cần cảnh giác. Ảnh minh họa

Theo báo chí, dữ liệu GHN được cho là bị trích xuất từ năm 2023 bao gồm tên khách hàng, số điện thoại, địa chỉ nhận hàng, chi tiết sản phẩm, mã vận đơn và thời gian giao dịch. Dữ liệu Sapo chủ yếu là thông tin mua sắm và thông tin khách hàng bị đăng tải trên diễn đàn hacker.

Báo cáo của Viettel Threat Intelligence cũng cho biết, chỉ trong nửa đầu năm 2025 đã có gần 8,5 triệu tài khoản người dùng Việt Nam bị đánh cắp, chiếm 1,7% toàn cầu, số vụ rao bán dữ liệu tại Việt Nam lên tới 191 vụ, gấp 3 lần cùng kỳ năm 2024. Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05, Bộ Công an) cho hay, chỉ trong 6 tháng đầu năm, công an đã xử lý 56 vụ việc mua bán dữ liệu cá nhân, liên quan hơn 110 triệu bản ghi. Những con số này cho thấy rò rỉ dữ liệu không còn là nguy cơ xa vời, mà là hiểm họa thường trực.

Ông Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an Việt Nam cho rằng, nguyên nhân xuất phát từ nhu cầu thu thập dữ liệu ngày càng lớn. Nhiều cá nhân, tổ chức lợi dụng để thu thập trái phép. Trong khi đó, nhiều hệ thống còn lỗ hổng về quy trình khai thác, sử dụng dữ liệu, khiến thông tin dễ bị lộ lọt, đánh cắp. Nhận thức của người dân về bảo vệ dữ liệu cá nhân cũng còn hạn chế. Một nguyên nhân quan trọng nằm ở sự lỏng lẻo trong vận hành hệ thống của doanh nghiệp. Không ít đơn vị còn kẽ hở trong khâu khai thác, lưu trữ và xử lý thông tin người dùng. Cùng với đó, lợi ích kinh tế khiến nhiều bên bất chấp pháp luật, khai thác dữ liệu trái phép để phục vụ quảng cáo, cá nhân hóa nội dung, kinh doanh.

Ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế (Hiệp hội An ninh mạng quốc gia - NCA), nhận định tình trạng rò rỉ dữ liệu gắn với quản trị an ninh yếu kém. Nhiều doanh nghiệp chưa coi trọng đầu tư bảo mật, chậm vá lỗ hổng kỹ thuật, thiếu giám sát, nhân viên dễ bị lừa đảo, phụ thuộc vào bên thứ ba… khiến rủi ro lan rộng.

Ông Sơn nhấn mạnh doanh nghiệp cần cập nhật, vá lỗi phần mềm thường xuyên; áp dụng xác thực đa yếu tố; xây dựng hệ thống giám sát bất thường bằng AI; kiểm toán định kỳ, đánh giá bảo mật đối tác. Cuối cùng là đào tạo nhân viên nâng cao nhận thức an ninh mạng. “Không có hệ thống nào an toàn tuyệt đối. Chỉ có kết hợp công nghệ tiên tiến, đào tạo chặt chẽ, khuôn khổ pháp lý rõ ràng và hợp tác quốc tế mới đảm bảo an toàn dữ liệu”, ông Sơn khuyến nghị.

Ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena bổ sung doanh nghiệp phải chủ động bảo vệ mình thay vì chờ cơ quan chức năng. Giải pháp là xây dựng cơ chế phòng thủ 4 lớp, có kịch bản dự phòng để khi bị tấn công vẫn duy trì được hoạt động cốt lõi. Ông Thắng cũng lưu ý các doanh nghiệp vừa và nhỏ cần sớm thiết lập giải pháp bảo vệ từ xa, phòng ngừa đa lớp. Điều này giúp hạn chế rủi ro, tránh bị hack và lộ dữ liệu cá nhân.

Ở góc độ người dùng, chuyên gia an ninh mạng Nguyễn Minh Hiếu khuyến cáo phải tuyệt đối cảnh giác với tin nhắn, cuộc gọi giả mạo ngân hàng, cơ quan chức năng. Người dân không cung cấp thông tin thẻ, mật khẩu, mã OTP cho bất kỳ ai; không bấm vào đường link lạ trong email, tin nhắn, Zalo; đặc biệt tránh tải file đính kèm không rõ nguồn gốc. Khi sự cố xảy ra, doanh nghiệp cần cô lập, khắc phục lỗ hổng, thay thế thành phần lỗi thời; rà soát log, giám sát giao dịch bất thường; cân nhắc cung cấp dịch vụ theo dõi tín dụng cho khách hàng; phối hợp với tổ chức tín dụng để xác minh, giảm thiểu thiệt hại.

Ngoài tổn thất tài chính trực tiếp, rò rỉ dữ liệu còn kéo theo nhiều hệ quả lâu dài: uy tín doanh nghiệp bị sụt giảm, khách hàng mất niềm tin, quan hệ đối tác bị ảnh hưởng, thậm chí kéo theo tranh chấp pháp lý. Đối với các ngành tài chính, bảo hiểm, y tế, hậu quả càng nghiêm trọng hơn khi dữ liệu cá nhân gắn liền với bí mật đời tư và thông tin nhạy cảm. Một khi lòng tin bị phá vỡ, việc khôi phục hình ảnh thương hiệu và lấy lại khách hàng có thể tốn nhiều năm, thậm chí là bất khả thi.

Điều cốt lõi là nâng cao nhận thức người dân, còn tổ chức phải siết chặt bảo mật, áp dụng xác thực đa lớp, quản lý quyền truy cập và vận hành hệ thống cloud an toàn. Luật Bảo vệ dữ liệu cá nhân (có hiệu lực từ ngày 1/1/2026) quy định chặt hơn về trách nhiệm xử lý dữ liệu, xử phạt hành vi mua bán dữ liệu cá nhân lên đến 10 lần khoản thu bất hợp pháp; doanh nghiệp hoặc cá nhân vi phạm nặng có thể bị phạt từ hàng trăm triệu đến vài tỉ đồng.

Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) cũng khuyến cáo người dân không chia sẻ dữ liệu bị rò rỉ, tăng cường cảnh giác và phối hợp cơ quan chức năng để ngăn chặn tội phạm mạng. Chỉ khi người dùng, doanh nghiệp và cơ quan quản lý cùng hành động mạnh mẽ, dữ liệu cá nhân mới được bảo vệ, giảm thiểu rủi ro trong thời đại số.

Vân Thảo (T/h)