ปกป้องข้อมูลส่วนบุคคลและองค์กรจากช่องโหว่ด้านความปลอดภัย

พลโทเหงียน มินห์ จิญ ผู้อำนวยการฝ่ายความมั่นคงปลอดภัยไซเบอร์ (A05 กระทรวงความมั่นคงสาธารณะ ) รองประธานถาวรสมาคมความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ให้ความเห็นว่า สถานการณ์การโจมตี การยักยอก และการซื้อขายข้อมูลส่วนบุคคลและข้อมูลขององค์กรผ่านเครือข่ายมีความซับซ้อน เปลี่ยนแปลงอย่างรวดเร็ว โดยใช้วิธีการทางอาชญากรรมมากมาย พร้อมทั้งมีสถานการณ์และแนวทางปฏิบัติเมื่อทำการโจมตีทางไซเบอร์

ในเวียดนาม ในช่วง 6 เดือนแรกของปี 2567 มีชื่อโดเมนปลอมจำนวน 2,364 ชื่อที่กำหนดเป้าหมายเป็นผู้ใช้และลูกค้าขององค์กรขนาดใหญ่ ซึ่งเพิ่มขึ้น 1.2 เท่าเมื่อเทียบกับช่วงเวลาเดียวกันของปี 2566 มีเพจปลอม 496 หน้าที่ใช้แบรนด์ขององค์กรขนาดใหญ่โดยผิดกฎหมายในเวียดนาม ซึ่งเพิ่มขึ้น 4 เท่าเมื่อเทียบกับช่วงเวลาเดียวกันของปี 2566 มีการโจมตี DDoS ในรูปแบบต่างๆ จำนวน 495,000 ครั้ง

ข้อมูลขนาด 3 เทราไบต์ถูกโจมตีโดยแรนซัมแวร์ คิดเป็นมูลค่าความเสียหายรวมกว่า 10 ล้านดอลลาร์สหรัฐ โดยเฉพาะอย่างยิ่งการโจมตีของกลุ่ม Lockbit ต่อบริษัทหลักทรัพย์ VNDirect Securities Corporation และการโจมตีเว็บไซต์ของ Vietnam Oil Corporation (PVOil), Post and Telecommunication Insurance Corporation (PTI), IPA Investment Group Joint Stock Company และ IPA Securities Investment Fund Management Company Limited (IPAAM) ได้สร้างความเสียหายอย่างใหญ่หลวงให้กับธุรกิจ

หนึ่งในสาเหตุหลักของปัญหาข้างต้นคือช่องโหว่ที่ทำให้ข้อมูลรั่วไหลจากองค์กรและบุคคลจำนวนมาก ในช่วง 6 เดือนแรกของปี 2567 ระบบตรวจสอบทางเทคนิคของกรมความมั่นคงปลอดภัยสารสนเทศ ( กระทรวงสารสนเทศและการสื่อสาร ) ได้บันทึกจุดอ่อนและช่องโหว่ด้านความปลอดภัยสารสนเทศของหน่วยงานและองค์กรต่างๆ ในประเทศเวียดนามไว้ถึง 90,033 จุด จำนวนเหตุการณ์ร้ายแรงที่กรมฯ ต้องรับมือเพิ่มขึ้นเกือบ 60% เมื่อเทียบกับปี 2566

Viettel Cyber Security (VCS) บันทึกข้อมูลรั่วไหล 46 ครั้ง โดยมีข้อมูลลูกค้าประมาณ 13 ล้านรายการที่ถูกขาย ซอร์สโค้ด 12.3 GB และข้อมูล 16 GB พบช่องโหว่ใหม่ประมาณ 17,000 จุด ซึ่งมากกว่าครึ่งหนึ่งเป็นช่องโหว่ระดับสูงและร้ายแรง โดยมีช่องโหว่ 71 จุดที่เกี่ยวข้องกับบัญชีหลายร้อยล้านบัญชีและข้อมูลลูกค้าที่รั่วไหลจากองค์กรและธุรกิจในเวียดนาม

ข้อมูลส่วนบุคคล เช่น หมายเลขโทรศัพท์ ชื่อ-นามสกุล ที่อยู่ หมายเลขบัตรประชาชน หมายเลขบัญชี ฯลฯ ของบุคคลต่างๆ รั่วไหลนั้นพบได้บ่อยมาก ไม่เพียงแต่ผู้คนจะได้รับข้อความหลอกลวงและลิงก์ปลอมเท่านั้น แต่ยังถูกคุกคามจากโทรศัพท์ที่เสนอบริการต่างๆ อีกด้วย

นายเหงียน วัน ฮุง อดีตข้าราชการบำนาญประจำเมืองซวนลา (เขตเตยโฮ กรุงฮานอย) เล่าว่า เขาได้รับโทรศัพท์บ่อยครั้งเพื่อเชิญชวนให้ลงทุนในหุ้น มอบบัตรกำนัลทัวร์ท่องเที่ยว เชิญชิมไวน์ หรือรับรางวัลจากธุรกิจต่างๆ... เขาเล่าว่าเมื่อไม่กี่ปีที่ผ่านมา เขาได้มีธุรกรรมซื้ออพาร์ตเมนต์ ซึ่งบางทีอาจเป็นเพราะเหตุนี้ ข้อมูลส่วนตัวของเขาจึงรั่วไหล

สาเหตุหลักของการรั่วไหลของข้อมูลเกิดจากความประมาทของผู้ใช้ที่ไม่ตระหนักถึงการปกป้องข้อมูลส่วนบุคคล หรือไม่ใช้มาตรการป้องกันที่เหมาะสม โพสต์ข้อมูลส่วนบุคคลต่อสาธารณะบนไซเบอร์สเปซ หรือมีข้อมูลส่วนบุคคลรั่วไหลในระหว่างกระบวนการถ่ายโอน จัดเก็บ หรือแลกเปลี่ยนข้อมูล

กิจกรรมปกติในการสำรองข้อมูล เช่น การซ่อมแซม การขาย การชำระบัญชีอุปกรณ์ข้อมูลส่วนบุคคล เช่น โทรศัพท์มือถือ คอมพิวเตอร์ ฮาร์ดไดรฟ์... แม้ว่าผู้ใช้จะลบข้อมูลอย่างระมัดระวัง ก็ยังมีความเสี่ยงที่จะเปิดเผยข้อมูลได้

สำหรับองค์กรและธุรกิจต่างๆ ปัญหานี้เกิดจากช่องโหว่ในระบบ แอปพลิเคชัน และซอฟต์แวร์ ความหละหลวมในการปฏิบัติตามกฎระเบียบและวินัยด้านข้อมูลบนเครือข่าย รวมถึงช่องโหว่ในนโยบายความปลอดภัยของข้อมูลลูกค้า แม้แต่ธุรกิจบางแห่งก็จงใจให้ข้อมูลลูกค้าแก่บุคคลที่สามเพื่อวัตถุประสงค์ที่ไม่เป็นธรรมหลายประการ

กระทรวงความมั่นคงสาธารณะเตือนว่ามีการหลอกลวงทางอินเทอร์เน็ต 3 กลุ่มหลัก ได้แก่ การปลอมแปลงแบรนด์ การแฮ็กบัญชี และการหลอกลวงอื่นๆ ร่วมกับรูปแบบการหลอกลวง 24 รูปแบบ โง มินห์ เฮียว ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ (Hieu PC) ให้ความเห็นว่าสาเหตุหลักของการรั่วไหลของข้อมูลคือการขาดความรู้ ขาดมาตรการและขั้นตอนในการปกป้องข้อมูล และการขาดการควบคุมในการรวบรวม ประมวลผล จัดเก็บ และใช้ประโยชน์จากข้อมูล

นายหวู่ ซวน เหงียน ประธานคณะกรรมการบริษัท IGB Joint Stock Company ซึ่งเชี่ยวชาญด้านซอฟต์แวร์และเทคโนโลยี กล่าวว่า เพื่อป้องกันการรั่วไหลของข้อมูล ธุรกิจต่างๆ จำเป็นต้องนำมาตรการต่อไปนี้มาใช้: การยืนยันตัวตนแบบหลายปัจจัย (MFA) และการจัดการการเข้าถึง เพื่อให้แน่ใจว่ามีเพียงบุคคลที่ได้รับอนุญาตเท่านั้นที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ่อน การเข้ารหัสข้อมูลทั้งในระหว่างการจัดเก็บและการส่งข้อมูล การเข้ารหัสแบบครบวงจรเพื่อให้แน่ใจว่าเฉพาะผู้รับที่กำหนดเท่านั้นที่สามารถถอดรหัสและอ่านข้อมูลได้ การตรวจสอบอย่างต่อเนื่องและการตรวจจับการบุกรุกในระยะเริ่มต้นโดยใช้เทคโนโลยี เช่น ระบบตรวจจับการบุกรุก (IDS) และระบบป้องกันการบุกรุก (IPS) การฝึกอบรมและพัฒนาทักษะด้านความปลอดภัยสำหรับพนักงานเกี่ยวกับการระบุฟิชชิ่ง (การฉ้อโกงทางอีเมล) ทักษะด้านความปลอดภัยพื้นฐาน และขั้นตอนการประมวลผลข้อมูลเพื่อช่วยลดความเสี่ยงของการรั่วไหลจากปัจจัยด้านมนุษย์

โดยเฉพาะอย่างยิ่ง ต้องมีการสำรองข้อมูลเป็นประจำในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยหรือข้อมูลสูญหาย IGB ได้นำมาตรฐานความปลอดภัยสากล ISO/IEC 2700I มาใช้ โดยใช้การเข้ารหัส SSL/TLS สำหรับการเชื่อมต่อออนไลน์ทั้งหมด

สมาคมความปลอดภัยทางไซเบอร์แห่งชาติได้เสนอให้สร้างแพลตฟอร์มเพื่อเชื่อมต่อและแบ่งปันข้อมูลด้านความปลอดภัยทางไซเบอร์ ช่วยให้องค์กรตอบสนองต่อเหตุการณ์ต่างๆ ได้อย่างรอบด้าน ตรวจสอบเครื่องมือและเทคนิคการโจมตีทางอาชญากรรมใหม่ๆ ให้คำเตือนล่วงหน้าเกี่ยวกับภัยคุกคาม สนับสนุนการตัดสินใจเชิงกลยุทธ์ ช่วยให้องค์กรปกป้องสินทรัพย์ดิจิทัลและรักษาความปลอดภัยของข้อมูล

สมาคมฯ ยังได้เปิดตัวแอปพลิเคชัน nTrust ป้องกันการฉ้อโกงฟรีสำหรับสมาร์ทโฟน ซึ่งช่วยตรวจจับสัญญาณการฉ้อโกงโดยการตรวจสอบหมายเลขโทรศัพท์ หมายเลขบัญชี ลิงก์เว็บไซต์ และคิวอาร์โค้ด ซอฟต์แวร์ nTrust มีข้อมูลที่ได้รับการยืนยันแล้วมากกว่า 1 ล้านรายการ ซึ่งรวบรวมจากแหล่งข้อมูลของกระทรวงความมั่นคงสาธารณะ กระทรวงสารสนเทศและการสื่อสาร ธนาคารแห่งรัฐเวียดนาม และองค์กรความมั่นคงปลอดภัยไซเบอร์สมาชิกของสมาคมฯ

เมื่อวันที่ 8 ตุลาคม สมาคมฯ ได้เปิดตัวโครงการฝึกอบรมผู้เชี่ยวชาญด้านการคุ้มครองข้อมูลส่วนบุคคล VnDPO อย่างเป็นทางการ ผู้เข้ารับการฝึกอบรมจะได้รับการฝึกอบรมอย่างเข้มข้น โดยใช้เวลาฝึกอบรมคิดเป็น 60% ของระยะเวลาโครงการทั้งหมด ภายในเดือนมิถุนายน พ.ศ. 2567 กรมความมั่นคงปลอดภัยสารสนเทศ (กระทรวงสารสนเทศและการสื่อสาร) ได้ปิดกั้นเว็บไซต์ฉ้อโกงออนไลน์ไปแล้ว 3,170 เว็บไซต์ ผ่านระบบเตือนภัยและป้องกันชื่อโดเมนที่เป็นอันตรายแห่งชาติ ซึ่งช่วยปกป้องผู้คนมากกว่า 10 ล้านคนจากเว็บไซต์ฉ้อโกงและผิดกฎหมาย