Dữ
liệu sinh trắc học: Cần cẩn trọng trước những bước đi 'không thể đảo ngược'!
Phan Dương Hiệu
Thứ
ba, 2/7/2024, 11:10 (GMT+7)
Việc
bảo mật dữ liệu là chuyện rất lớn và không dễ, những người làm công nghệ thông
tin dù rất giỏi cũng không thể lường được mọi lỗ hổng.
Phải
sử dụng hình ảnh thực, tức thời để xác nhận giao dịch (trên 10 triệu)? Điều gì
sẽ xảy ra khi những kho dữ liệu này bị tấn công, đường truyền, thiết bị đầu cuối
bị đe dọa?
Cuộc
chiến chống lừa đảo, giả mạo sẽ ngày càng cam go trong tương lai. Mỗi khi kẻ tấn
công vượt qua một mức bảo vệ, chúng ta lại buộc phải sử dụng một vũ khí mới để
ngăn chặn. Và lần này chúng ta phải vào lấy thêm trong kho "sinh trắc học".
Bản
chất cuộc chiến chống lừa đảo, giả mạo là phải làm sao khi ta rút một bảo kiếm
ra, kẻ tấn công phải không vô hiệu được nó. Hiệu quả tức thì chắc chắn sẽ có
tác dụng, nhưng để duy trì được tác dụng lâu dài thì cần một chiến lược cẩn trọng.
Trước
hết cần nhìn lại quá khứ.
Thực
tế là chúng ta chưa có giải pháp ứng phó hiệu quả trước kẻ tấn công lừa đảo, giả
mạo. Vì sao? Vì chúng ta quá dễ dãi, không coi quyền riêng tư là quan trọng, vì
chúng ta không có cơ chế quy trách nhiệm cho việc để lộ dữ liệu riêng tư. Hệ quả
là kho dữ liệu của người dùng bị lộ, thông tin người dùng bị lộ, việc kiểm soát
dữ liệu người dùng hời hợt. Từ đó, phía bên kia, kẻ tấn công dễ dàng truy cập
thông tin, kiểm soát dữ liệu người dùng, dễ dàng giả mạo và lừa đảo trên quy mô
lớn. Không có tầm nhìn về bảo vệ nên kẻ tấn công dễ dàng lập những tài khoản ảo,
dễ dàng lừa đảo chuyển khoản lấy tiền người dùng để chuyển qua lại một rừng ảo
để xóa" dấu vết, dễ dàng rửa tiền trên quy mô cực lớn. Và rồi khi sự lừa đảo
quá lớn vượt mọi khả năng kiểm soát, chúng ta hoảng loạn và buộc phải lao vào
kho "sinh trắc", lấy thêm một vũ khí ra để tự vệ.
Bước
dùng thêm sinh trắc để bảo vệ là một chỉ dấu cho thấy cuộc chiến sẽ cam go.
Trong kho sinh trắc sẽ có nhiều mức độ, mỗi lần phải sử dụng một mức độ cao hơn
là một bước đi "không thể đảo ngược". Và nếu cứ leo thang mức độ dần
dần, rồi đến nước phải sử dụng cả dữ liệu gene, đó sẽ là bước tận cùng, để rồi
nếu thua là không còn vũ khí nào khác.
Giờ
đây, chúng ta phải sử dụng hình ảnh thực, tức thời để xác nhận giao dịch. Tất
nhiên sẽ phải có kho dữ liệu cực lớn để lưu các hình ảnh, dữ liệu sinh trắc nhằm
đối sánh, xác thực. Tất nhiên hình ảnh thực sẽ được truyền qua các kênh thông
tin. Điều gì sẽ xảy ra khi những kho dữ liệu này bị tấn công, đường truyền hay
các thiết bị đầu cuối bị truy nhập? Kẻ xấu sẽ lại có toàn bộ dữ liệu người
dùng. Và với những công cụ AI ngày càng mạnh, điều gì sẽ đảm bảo kẻ xấu không
thể vượt qua bức tường xác thực mới?
Chúng
ta ngày càng thu thập nhiều dữ liệu cá nhân hơn. Trong lúc còn chưa thể bảo vệ
kho dữ liệu cũ, thì điều gì đảm bảo chúng ta sẽ bảo vệ tốt những kho dữ liệu đồ
sộ mới, đã, đang và sẽ được thu thập? Nguy hiểm hơn, nếu kẻ xấu truy nhập vào
kho dữ liệu hình ảnh, sinh trắc, chúng có thể giả mạo ta không chỉ để xác thực
ngân hàng mà còn cho nhiều mục đích khác không liên quan đến ngân hàng. Chúng
có thể tạo ra một thế giới giả về con người ta mà bản thân ta không thể kiểm
soát và không thể chứng minh là mình bị giả mạo.
Khi
điện thoại của bạn liên tục bị làm phiền bởi hàng loạt cuộc gọi hay tin rác mời
gọi đầu tư, chào hàng dự án, đó là chỉ dấu cho thấy kho dữ liệu về tài khoản
hay sở hữu của bạn đã bị lộ và người ta ngang nhiên công khai sử dụng nó, quay
lại mời chào chính bạn. Vậy nếu dữ liệu hình ảnh, sinh trắc của bạn bị lộ, thì
nguy cơ giả mạo còn có độ chính xác cao hơn nhiều. Bạn sẽ không còn có khả năng
chủ động kiểm soát cuộc sống của chính mình.
Điều
tiên quyết là bạn cần có ý thức đòi hỏi sự bảo vệ cho chính mình. Người ta nói
với bạn rằng họ phải thu thập dữ liệu sinh trắc của bạn để bảo vệ bạn tốt hơn.
Bạn chí ít cần đòi hỏi: anh có trách nhiệm thế nào trong việc bảo vệ dữ liệu
sinh trắc của tôi để không bị rơi vào tay kẻ xấu?
Một
hệ thống vận hành tốt là một hệ thống bảo vệ tối đa dữ liệu cá nhân cho người
dân, đồng thời chỉ cần thu thập tối thiểu dữ liệu cá nhân của người dân. Ở đó,
con người vừa được an toàn, vừa có tự do.
Khi
người dân lên tiếng, ngân hàng và nhà nước buộc phải có sự giải thích với các
bước đi rõ ràng, cẩn trọng. Khi ngân hàng, khi nhà nước đi một bước đi không thể
đảo ngược, hãy cần có trách nhiệm và luật để bảo vệ người dân. Người dân đã để
bị mất dữ liệu, bị lừa đảo quá nhiều do sự yếu kém của hệ thống bảo mật, mà hầu
hết mọi sai lầm đều bị quy là do "thiếu cẩn trọng", do kẻ xấu tinh
vi... Bản chất là do các biện pháp kỹ thuật bảo vệ dữ liệu cá nhân quá yếu kém,
do các chính sách quy kết trách nhiệm để lộ dữ liệu quá hời hợt. Do đó kẻ xấu
có thể dễ dàng vượt qua các bước bảo vệ và từng bước vô hiệu hóa" được sự
kiểm soát của hệ thống.
Để
bảo vệ thực sự tốt, trước khi thu thập dữ liệu của cá nhân, nhà nước và ngân
hàng cần cam kết và làm rõ:
-
Nếu như dữ liệu sinh trắc bị lộ, trách nhiệm của nhà nước, của ngân hàng thế
nào? Ai, đơn vị cụ thể nào sẽ phải chịu trách nhiệm, chế tài xử phạt ra sao?
-
Hệ thống có phương thức an toàn ra sao để từng mắt xích không thể lấy dữ liệu bảo
mật? Hệ thống kỹ thuật cần phải đảm bảo rằng dù nhân viên (kể cả lãnh đạo) ngân
hàng có bị thao túng thì vẫn không thể lấy và bán được dữ liệu cá nhân.
Việc
bảo mật dữ liệu là chuyện rất lớn và không dễ, những người làm công nghệ thông
tin dù rất giỏi cũng không thể lường được mọi lỗ hổng. Với một hạn định áp dụng
xác thực khuôn mặt khi chuyển khoản vào ngày 1/7, nếu các ngân hàng chưa chuẩn
bị kịp dẫn tới buộc phải sử dụng các hệ thống yếu kém, chưa được kiểm nghiệm đầy
đủ, và kẻ xấu có thể dễ dàng thâm nhập thì hậu quả sẽ rất khôn lường. Chúng ta
cần hết sức cẩn trọng và thử nghiệm sử dụng từng bước hạn chế để chỉ khi đạt an
toàn tối đa mới áp dụng rộng rãi các phương thức mới.
Chúng
ta cũng cần học hỏi thế giới, về bảo mật dữ liệu có thể nhìn ngay kinh nghiệm của
Trung Quốc. Sau một thời gian thu thập dữ liệu tràn lan, họ đã hiểu sự nghiêm
trọng khi để lộ dữ liệu cá nhân và đã có những điều luật rõ ràng để xử lý cực kỳ
nghiêm khắc tất cả những đơn vị nào để lộ dữ liệu. Dữ liệu càng quan trọng,
trách nhiệm càng cao. Khi trách nhiệm được đẩy lên mức rất cao thì không thể
còn ai có thể coi thường. Tất cả các đơn vị sở hữu dữ liệu cá nhân sẽ phải
nghiêm túc triển khai các phương án kỹ thuật bảo vệ ở mức cao nhất. Từ nhu cầu
đó, các công ty chuyên gia về thẩm định an toàn và triển khai các biện pháp bảo
mật được phát triển rất mạnh, nhiều công ty "kỳ lân" được mở ra, thúc
đẩy một nền kinh tế bảo mật số năng động, chất lượng ở mức rất cao theo những
tiêu chuẩn bảo mật được nhà nước xem xét cẩn trọng.
Một
hệ thống vận hành tốt là một hệ thống bảo vệ tối đa dữ liệu cá nhân cho người
dân, đồng thời chỉ cần thu thập tối thiểu dữ liệu cá nhân của người dân. Ở đó,
con người vừa được an toàn, vừa có tự do.
-----------------
Đọc
thêm:
Sự
nguy hiểm của chiến lược thu thập dữ liệu gene trên diện rộng
Công
nghệ nhận diện: mối đe dọa khủng khiếp
Hình
thái kinh tế mới: Chủ nghĩa tư bản giám sát
No comments:
Post a Comment