Không gian mạng là không gian không giới hạn về thời gian, địa lý và các mối quan hệ, các thông tin chia sẻ được rộng rãi hơn. Khi chúng ta tham gia trên môi trường không gian mạng chúng ta sẽ tương tác với những mối quan hệ sẵn có và kết nối thêm các mối quan hệ mới. Vì vậy, thông tin của chúng ta rất dễ bị lấy cắp và xử dụng trái mục đích. Làm thế nào để “An toàn và bảo mật thông tin cá nhân trên không gian mạng” - Đó chính là chủ đề được được Ths. Nguyễn Đức Cương - Giảng viên Trường ĐH Công nghiệp TP. HCM, CTV Trung tâm Nghiên cứu và Đào tạo nguồn nhân lực ASEAN Trường ĐH KHXH&NV - Trường ĐH Quốc gia TP.HCM chia sẻ đến các học viên khoá 1 - Khoá tập huấn nghiệp vụ Hoằng pháp thời đại 4.0 vào chiều ngày 04/8/2021 (nhằm ngày 26/6 năm Tân Sửu), trên địa chỉ học trực tuyến trungtam.hoangphaponline.com.
Làm sao chúng ta bảo mật được thông tin? Trước hết chúng ta phải hiểu mục tiêu: Khái niệm về an toàn, bảo vệ thông tin cá nhân bởi đây chính là tài sản. Chúng ta bảo vệ thông tin là bảo vệ chính quyền lợi của chúng ta. Khi tham gia trên không gian mạng, yêu cầu các hệ thống phải bảo mật và an toàn thông tin của chúng ta. Đảm bảo những hoạt động liên quan giữa người mua và bán đảm bảo độ tin cậy; Đảm bảo tính toàn vẹn (số tiền thanh toán trừ đi và nhận được phải khớp nhau); Đảm bảo tính chứng thực (xác thực) khi đăng nhập hệ thống có đúng là chủ hợp pháp hay không; Không thể từ chối (khi thực hiện các giao dịch khi bị nghẽn (tắc); Trong khuôn khổ bảo mật các doanh nghiệp phải có những giải pháp, sẵn sàng và điều khiển việc cho phép truy cập hoặc không truy cập hệ thống; Liệt kê được các mối hiểm họa đang rình rập; Liệt kê được 1 số hình thức lừa đảo trực tuyến. Thông tin là 1 tài nguyên, cần xác định chủ quyền và cần được bảo mật (bảo vệ) thích hợp bởi đó là tài sản. Từ khi có sự ra đời của internet và ECommerce thì thông tin quý giá cần phải bảo mật nhiều hơn trong môi trường mạng máy tính. Nếu thông tin rơi vào tay đối thủ, kẻ gian thì tổn thất sẽ không lường trước được
Những nguy cơ và hiểm họa: Hiểm họa vô tình: Vô tình để kẻ xấu lợi dụng; Hiểm họa cố ý: cố tình truy nhập hệ thống trái phép; Hiểm họa thụ động: chưa hoặc không tác động trực tiếp lên hệ thống, như: chỉ nghe trộm các gói tin trên đường truyền; Hiểm họa chủ động: sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống. Theo báo cáo thị trường ứng dụng điện thoại di động tại Việt Nam do Công ty Appota thông kế đã công bố, 76% hiểu bảo vệ dữ liệu và bảo mật thông tin cá nhân là vô cùng quan trọng; 82% số người được hỏi sẵn sàng chia sẻ thông tin cá nhân để được nhận quà tặng khuyến mãi. Nghiên cứu gần đây của Kaspersky Lab trên thế giới và tại Việt Nam đã chỉ ra rằng 32,3% người dùng không biết cách tự bảo vệ quyền riêng tư của mình khi trực tuyến. Một số dạng theo dõi, phá hoại: Spam; Virus; Keylogger n Trojan; Worm; Phishing n Spyware Các tin tặc dùng các kỹ thuật và các công cụ để khai thác thông tin. Hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý đồ định trước. Những chương trình ứng dụng chứa đựng những nguy hại tiềm ẩn: cửa sau, gián điệp...
Hậu quả của việc thông tin cá nhân bị mất: Đăng nhập trực tiếp vào tài khoản người bị đánh cắp thông tin để truy cập vào các ứng dụng ngân hàng, tài khoản thanh toán.. để đánh cắp tài sản; Mạo danh thanh toán hóa đơn, chuyển tiền; Mạo danh để tổ chức buôn lậu, bạo lực kích động... ; Khởi động các cuộc tấn công, lừa đảo; Sử dụng thông tin cá nhân nạn nhân khởi tạo các khoản vay, thế chấp..; Sử dụng thông tin để tống tiền, đào tiền ảo, tin tặc..
Nguyên nhân: Từ phía người sử dụng: Xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị, đặt biệt nhất là những người dùng nội bộ; Kiến trúc hệ thống thông tin: tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin; Chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. Nguyên nhân bị đánh cắp thông tin cá nhân do: Rò rỉ thông tin từ các tổ chức/ dịch vụ: thương mại: Ngân hàng, khách sạn, máy bay; Rò rỉ thông tin từ mạng xã hội công khai: Facebook, Instagram, Zalo...;Hacker tấn công trực tiếp vào thiết bị điện tử của bạn qua các lỗ hổng: laptop, điện thoại, ipad; Sử dụng phần mềm độc hại có gắn phần mềm xâm nhập và đánh cắp thông tin; Quản lý thông tin không chặt chẽ, đăng nhập và cung cấp thông tin tùy tiện không kiểm chứng
Một số hình thức lừa đảo đang hiện hành: Tạo ra các trang web giả mạo yêu cầu người nhận cung cấp thông tin cá nhân và thông tin tín dụng; Thông báo trúng thưởng lớn; Xây dựng những website bán hàng, bán dịch vụ “y như thật” trên mạng – lộ thông tin tài khoản dẫn đến mất tiền; Và có những hình thức mới: Đăng ký tiêm vacxin và Thông báo hỗ trợ phòng, chống dịch COVID-19.
Một số hình thức tấn công mạng: Tấn công giả mạo: Là tấn công giả danh một thực thể khác, thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn công sửa đổi thông báo; Tấn công chuyển tiếp: xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực; Tấn công sửa đổi thông báo: Xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện; Tấn công từ chối dịch vụ: Gây cản trở cho các thực thể khác thực hiện chức năng của chúng; Tấn công từ bên trong hệ thống: xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép. Tấn công bị động/ chủ động: Tấn công bị động: Do thám, theo dõi đường truyền để nhận được nội dung bản tin và theo dõi luồng truyền tin; Tấn công chủ động: thay đổi luồng dữ liệu để, Giả mạo một người nào đó, Lặp lại bản tin trước, Thay đổi bản tin khi truyền, Từ chối dịch vụ.
Bảo mật thông tin: Hệ thống thông tin (Information system) là một hệ thống gồm con người, dữ liệu và những hoạt động xử lý dữ liệu và thông tin trong một tổ chức; Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ thông tin và hệ thống thông tin chống lại việc truy cập, sử dụng bất hợp pháp, lộ thông tin, gián đoạn hoạt động, dữ liệu bị chỉnh sửa hoặc phá hủy bất hợp pháp. Có ba khía cạnh của an toàn thông tin: Bảo vệ tấn công; Cơ chế an toàn; Dịch vụ an toàn; Giải pháp thực hiện cho doanh nghiệp: Bảo đảm an toàn thông tin tại máy chủ; Bảo đảm an toàn cho phía máy trạm; Bảo mật thông tin trên đường truyền. Những nguyên tắc trong bảo mật thông tin: Nguyên tắc hợp pháp, phù hợp, không phân biệt trong lúc thu thập và xử lý dữ liệu; Nguyên tắc đúng đắn, minh bạch, có trách nhiệm; Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan; Nguyên tắc an toàn; Nguyên tắc giám sát độc lập và hình phạt theo pháp luật; Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới.
Những giải pháp trong bảo mật thông tin: Mô hình bảo mật 2 lớp; 2FA (2-factor authentication); Thứ gì đó người dùng biết (chẳng hạn như mã PIN, mật khẩu hay một mẫu pattern); Thứ gì đó người dùng sở hữu (chẳng hạn như mã ngẫu nhiên gửi đến qua SMS, ứng dụng điện thoại,..); Các đặc điểm sinh trắc học (dấu vân tay, giọng nói, đồng tử mắt,...); Tài khoản email, mạng xã hội; Tài khoản Internet banking; Tài khoản thanh toán, thẻ tín dụng; Tài khoản game; Tài khoản lưu trữ trên các nền tảng đám mây như Dropbox, Google Drive; Tài khoản shopping online; Tài khoản sàn chứng khoán, giao dịch tiền điện tử; Cài đặt các chứng chỉ số: SSL, OTP, SMS OTP, Token, Smart OTP
Có 10 cách bảo mật thông tin cá nhân cần phải lưu ý: 1. Không nhấp vào đường link lạ; 2. Sử dụng mật khẩu phức tạp, khó đoán: Không nên để 123456789; abcdefgh; ngày sinh; Nên: mật khẩu gồm cả chữ hoa, thường, số, ký tự đặc biệt, độ dài từ: 8 – 16; 3. Thay đổi mật khẩu định kỳ, đặc biệt khi thấy có dấu hiệu xâm nhập là từ các thiết bị khác: Nên 3 tháng – 6 tháng/ lần và Nên sử dụng các cơ chế bảo mật của ứng dụng 2 lớp, 3 lớp.. ; 4. Xác thực thông tin người lạ trước khi gửi bất kỳ thông tin cá nhân nào: Cần xác định rõ ai, tổ chức hoặc cơ quan nào đưa ra yêu cầu này và Thông tin này sẽ được sử dụng vào việc gì và lưu trữ ra sao; Giả mạo website ngân hàng: Giả mạo hỗ trợ COVID-19; 5. Hạn chế chia sẻ thông tin cá nhân: Nhiều cá nhân hay chia sẻ về thông tin cá nhân như: Chuyến bay, TK ngân hàng, CCCD, ngày tháng năm sinh.. trên nền tảng xã hội, website.. và rò rỉ do công ty bán dữ liệu khách hàng. Hạn chế chia sẻ thông tin cá nhân; 6/ Đọc kỹ thông tin website, xác thực độ tin cậy và tính chính thức của website truy cập trước khi cung cấp thông tin dịch vụ. honapply.vn và miniboon.vn hoặc giả mạo Website Bộ y tế; 7. Thực hiện đăng xuất ngay sau khi đã sử dụng xong các thiết bị khác nhau: Sử dụng dịch vụ liên kết; 8. Không cài đặt phần mềm lạ, không rõ nguồn gốc. Nên vào chợ ứng dụng: CH Play; Appstore; 9. Đọc kỹ điều khoản trước khi sử dụng: Nhà cung cấp ứng dụng đang thu thập từ bạn. Có quyền từ chối sử dụng nếu các điều khoản này vi phạm vào quyền bảo mật thông tin của chính bạn; 10/ Sử dụng công cụ diệt virus uy tín, cập nhật thường xuyên.
Có thể nói, thông tin đóng vai trò hết sức quan trọng đối với sự phát triển với môi trường mạng rộng lớn và khó kiểm soát. Việc truyền, nhận thông tin, đặc biệt là thông tin quan trọng về cá nhân, doanh nghiệp tiềm ẩn rất nhiều nguy cơ bị xâm phạm thông tin nếu mất cảnh giác. Vấn đề đảm bảo an toàn thông tin cá nhân trên không gian mạng đang là thách thức mới đối với nhiều người khi xử dụng hệ thống mạng đang phải đối mặt. Hy vọng rằng, qua bài chia sẻ: “An toàn và bảo mật thông tin cá nhân trên không gian mạng”, các học viên sẽ nắm được: Một số khái niệm về an toàn, bảo vệ thông tin cá nhân; Liệt kê được các mối hiểm họa đang rình rập; Liệt kê được một số hình thức lừa đảo trực tuyến để làm tốt công tác phòng ngừa, phát hiện kịp thời những hoạt động tấn công, đánh cắp thông tin trên không gian mạng, không để đối tượng xấu có cơ hội lấy cắp thông tin cá nhân của mình.
Tin, ảnh: PSO
