(Vietnamnet) - Những ngày gần đây báo VietNamNet liên tục nhận phản ánh của nhiều độc giả về việc bị lộ thông tin thuê bao điện thoại di động. Nghiêm trọng hơn, nhiều bạn đọc là thuê bao của các mạng di động lớn cho biết các công ty tài chính, bảo hiểm dường như đã có trong tay danh sách khách hàng của nhà mạng và thường xuyên thực hiện các cuộc gọi "quấy rầy" để giới thiệu, chào mời mua dịch vụ. Để tìm hiểu các dữ liệu thuê bao này có khả năng bị lộ do những nguy cơ bảo mật nào, phóng viên VietNamNet đã có cuộc trao đổi với ông Nguyễn Minh Đức, Giám đốc Bkis Security (thuộc Bkis), xoay quanh những vấn đề này.
Với các trường hợp để lộ thông tin thuê bao di động (tên, tuổi, địa chỉ, CMT, lịch sử cuộc gọi…) là do những nguyên nhân, do những đối tượng nào?
Về nguyên tắc, thông tin thuê bao sẽ được lưu trữ trong hệ thống máy chủ cơ sở dữ liệu, đặt tại các trung tâm dữ liệu trong mạng nội bộ của các công ty. Do đó, về nguy cơ bị lộ thông tin tại các công ty cung cấp dịch vụ viễn thông cũng sẽ giống như đối với nguy cơ của các mạng nội bộ của những công ty khác.
Các thống kê về an ninh mạng cho thấy, có khoảng 70% số trường hợp bị thất thoát thông tin có liên quan tới yếu tố con người bên trong các hệ thống và 30% còn lại là xuất phát từ bên ngoài mạng nội bộ của doanh nghiệp thông qua các hành vi truy nhập trái phép hệ thống của hacker.
Đối với các công ty viễn thông, mạng nội bộ của họ còn có phần kết nối với mạng viễn thông, vì vậy còn có thể có nguy cơ từ mạng viễn thông truy nhập vào mạng nội bộ để lấy thông tin, nhưng nguy cơ này thấp hơn.
"Nếu không biết áp dụng đúng phương pháp thì dù họ có muốn bảo vệ dữ liệu cũng khó có thể làm được. Vì công việc này không chỉ là vấn đề kỹ thuật".
Với trường hợp thông tin thuê bao bị lộ cả thông tin về Cell-ID cho phép định danh trạm phát sóng từ đó xác định được vị trí thực hiện cuộc gọi, liệu có chuyện do hacker đánh cắp thông tin hay không?
Về kỹ thuật thì khi tiến hành một cuộc gọi, điện thoại di động sẽ tìm đến trạm thu phát sóng (BTS) gần nhất, sau đó BTS này sẽ kết nối với các BTS khác trong mạng viễn thông để giúp cho cuộc gọi đó được thực hiện. Mỗi một BTS "phụ trách" một số khu vực địa lý cố định (Cell) và có định danh để phân biệt với các khu vực khác (Cell-ID). Cũng giống như mạng máy tính, khi có trao đổi giữa các thiết bị trong mạng, các thông tin liên quan sẽ được ghi log (nhật ký) lại. Việc ghi log sẽ phục vụ cho việc tính cước hoặc để phân tích và khắc phục các sự cố trong mạng.
Khi phát sinh một cuộc gọi từ điện thoại di động, các BTS sẽ ghi nhận log gồm các thông tin về thời gian cuộc gọi, Cell-ID… Những log này sẽ phải được ghi nhận lại và chuyển về lưu trữ tại hệ thống máy chủ trong mạng nội bộ để xử lý, ít nhất là chuyển tới máy chủ phục vụ tính cước. Vì vậy, nguy cơ bị lộ thông tin của các log cũng sẽ giống như nguy cơ mất thông tin trong mạng nội bộ mà tôi đã đề cập ở trên.
Liệu có chuyện hacker đánh cắp những thông tin này hay không? Với những phân tích ở trên thì câu trả lời là có thể có khả năng đó xảy ra.
Việc bảo mật thông tin khách hàng đối với một doanh nghiệp cung cấp dịch vụ viễn thông có vai trò như thế nào trong việc phát triển của doanh nghiệp đó?
Thương hiệu, uy tín của doanh nghiệp tuy là tài sản vô hình nhưng thực sự là một tài sản lớn đối với các công ty cung cấp dịch vụ, thậm chí quyết định đến sự tồn tại của doanh nghiệp. Một việc dù nhỏ nhưng có thể gây ảnh hưởng nghiêm trọng tới uy tín và làm tiêu tan doanh nghiệp lớn. Đối với các công ty viễn thông nói riêng và các công ty có khách hàng đại chúng nói chung thì việc bảo vệ thông tin khách hàng là một trong những yếu tố tạo nên uy tín và thương hiệu của công ty. Chính vì vậy, hiện nay đã có những tiêu chuẩn ISO để các công ty có thể áp dụng trong công tác bảo vệ thông tin khách hàng, đó là bộ tiêu chuẩn về quản lý an ninh, an toàn thông tin ISO 27001.
Ông có khuyến cáo nào cho các doanh nghiệp viễn thông di động trong việc bảo mật thông tin khách hàng?
Các doanh nghiệp không dễ dàng muốn hi sinh uy tín và làm mất khách hàng, vì vậy tôi nghĩ rằng các nhà mạng cũng không hề muốn xảy ra những chuyện như thế này. Tuy nhiên, nếu không biết áp dụng đúng phương pháp thì dù họ có muốn bảo vệ dữ liệu cũng khó có thể làm được. Vì công việc này không chỉ là vấn đề kỹ thuật. Các công ty viễn thông nói riêng và các công ty có khách hàng đại chúng nói chung nên áp dụng tiêu chuẩn ISO 27001 để giảm thiểu tối đa các nguy cơ mất mát thông tin khách hàng. Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin (trong đó có thông tin khách hàng) có thể xảy ra trong tổ chức, từ đó đánh giá và đưa ra các biện pháp khắc phục, hạn chế đến mức tối thiểu các rủi ro này.
Xin trân trọng cám ơn ông!
Tham khảo bài gốc trên báo điện tử Vietnamnet.vn tại đây.
Theo Vietnamnet