Dữ liệu, định danh số và bài toán niềm tin
Trong bức tranh chuyển đổi số hiện nay, dữ liệu không còn chỉ là “nguyên liệu đầu vào” mà thực sự đã trở thành “dòng máu” nuôi sống nền kinh tế số, kết nối mọi mắt xích trong hệ sinh thái dịch vụ số. Nền tảng hạ tầng số được ví như “xương sống”, còn dữ liệu là dòng chảy xuyên suốt trong cơ thể số đó.
Nhấn mạnh tính cốt lõi này, ông Vũ Duy Hiền, Phó tổng Thư ký kiêm Chánh Văn phòng Hiệp hội An ninh mạng quốc gia, khẳng định: “Nền tảng hạ tầng số là xương sống của chuyển đổi số thì dữ liệu chính là dòng chảy kết nối toàn bộ hệ sinh thái, còn định danh số là cơ sở để xác lập niềm tin, xác thực giao dịch và đảm bảo trách nhiệm của mỗi chủ thể trên không gian mạng”. Khi định danh số được thiết kế và vận hành đúng cách, giao dịch trực tuyến có thể diễn ra nhanh, thuận tiện nhưng vẫn bảo đảm tính xác thực và truy vết trách nhiệm.
Từ góc độ quản lý, việc chuyển từ tư duy chỉ “bảo vệ hệ thống CNTT” sang “bảo vệ dữ liệu, bảo vệ danh tính và bảo vệ niềm tin số” là bước chuyển quan trọng. Thay vì chỉ tập trung xây tường lửa hay chống tấn công vào máy chủ, các cơ quan và doanh nghiệp ngày càng chú ý đến câu hỏi: dữ liệu nào đang được thu thập, lưu ở đâu, ai được truy cập, dùng để làm gì và có thể bị lạm dụng ra sao.
Khi dữ liệu được quản trị bài bản, có quy trình xin phép, phân loại, kiểm soát và xóa bỏ rõ ràng, nó trở thành nguồn lực tạo ra giá trị mới: cá nhân được phục vụ cá nhân hóa hơn, doanh nghiệp hiểu khách hàng hơn, nhà nước cung cấp dịch vụ công hiệu quả hơn. Ngược lại, chỉ cần vài vụ rò rỉ dữ liệu quy mô lớn, niềm tin của người dùng với nền tảng số có thể bị tổn hại nghiêm trọng, khiến họ dè dặt chia sẻ thông tin và e ngại khi tham gia dịch vụ trực tuyến.
Sự trỗi dậy của thương mại điện tử và trí tuệ nhân tạo (AI) đang làm thay đổi cách thức xác thực và bảo mật danh tính trên không gian mạng. Nếu trước đây người dùng thường xác thực bằng thẻ vật lý, mật khẩu hoặc mã OTP (mật khẩu dùng một lần gửi qua SMS hay ứng dụng để xác minh giao dịch), thì hiện nay hệ sinh thái số đang dịch chuyển sang các phương thức mới như passkey – cơ chế đăng nhập, xác thực dựa trên cặp khóa mật mã gắn với sinh trắc học trên thiết bị (vân tay, nhận diện khuôn mặt) thay vì nhập mật khẩu truyền thống. Ưu điểm của passkey là giảm nguy cơ bị lộ mật khẩu do người dùng bị lừa hoặc bị đánh cắp, bởi thông tin sinh trắc học được xử lý ngay trên thiết bị và không gửi lên mạng dưới dạng “mật khẩu” có thể bị chặn lại.
Trong bối cảnh AI dần tham gia sâu vào quy trình thanh toán, thậm chí thay con người đưa ra quyết định mua hàng hoặc tự động thanh toán một số dịch vụ định kỳ, bài toán xác thực cũng không còn dừng ở “đây có đúng là người dùng A hay không” mà mở rộng sang “đây có đúng là ý định thật sự của người dùng A hay không”.
Ông Krishna Thiruvengadam, Phó Chủ tịch phụ trách Nền tảng lõi và Giải pháp số của Visa khu vực châu Á - Thái Bình Dương, chỉ rõ sự thay đổi này: “AI đang thay đổi cách thức tiến hành thương mại… Chúng ta không thể mặc định rằng sẽ luôn có một khách hàng ngồi trước màn hình thiết bị”. Khi một tác nhân AI đứng ra thực hiện giao dịch, hệ thống cần cơ chế để xác minh rằng tác nhân này được người dùng ủy quyền hợp lệ và đang hành động đúng phạm vi ủy quyền. “Mục tiêu chúng ta cần giải quyết”, ông nói thêm, “là làm thế nào để xác minh hệ thống tác nhân? Làm thế nào để xác nhận ý định?”.
Để đối mặt với thách thức mới này, các tổ chức tài chính và công ty công nghệ đang tăng cường ứng dụng công nghệ mã hóa dạng token (tokenization – kỹ thuật thay thế dữ liệu nhạy cảm, như số thẻ, bằng một chuỗi “mã đại diện” không có ý nghĩa bên ngoài hệ thống) và passkey nhằm đảm bảo dữ liệu thật chỉ được chia sẻ với đúng bên cần thiết, trong khi người dùng vẫn nắm quyền phê duyệt cuối cùng đối với giao dịch.
Dữ liệu – “mỏ vàng” của tội phạm mạng và áp lực khuôn khổ pháp lý
Ở chiều ngược lại, trong mắt tội phạm mạng, dữ liệu đang được coi như một “mỏ vàng” mới trên không gian số. Các thiết bị kết nối vạn vật (IoT – Internet of Things, chỉ các thiết bị gia dụng, cảm biến, camera… có kết nối Internet) như camera giám sát trong gia đình, thiết bị thông minh tại văn phòng nếu cấu hình sơ sài, dùng mật khẩu mặc định hoặc không được cập nhật bảo mật thường xuyên có thể trở thành “cửa hậu” cho tin tặc xâm nhập. Khi kiểm soát được các thiết bị này, kẻ tấn công có thể thu thập hình ảnh, âm thanh, dữ liệu nhạy cảm để tống tiền hoặc sử dụng cho các kịch bản lừa đảo tinh vi hơn.
Cảnh báo về mức độ nguy hiểm của tội phạm mạng hiện đại, Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng 1, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), nhận định: “Tội phạm mạng, tội phạm sử dụng công nghệ cao coi dữ liệu giống như là một cái mỏ vàng để khai thác, để chấm chọn con mồi”. Sự chủ quan của người dùng và những kẽ hở trong khâu quản lý nội bộ của doanh nghiệp đã dẫn đến những hậu quả nặng nề.
Theo ông, chỉ trong ba năm qua, lực lượng chức năng đã phát hiện hơn 30 vụ mua bán, chiếm đoạt thông tin dữ liệu cá nhân trái phép, với khoảng hơn 160 triệu bản ghi dữ liệu người dùng Việt Nam bị rao bán, trao đổi. Những dữ liệu bị đánh cắp này sau đó được dùng để xây dựng hàng trăm kịch bản lừa đảo tự động hóa, gây thiệt hại lên tới hàng chục nghìn tỷ đồng cho người dân và doanh nghiệp.
Trước những rủi ro gia tăng, khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân tại Việt Nam đang được siết chặt, chuyển từ mức “khuyến nghị” sang “nghĩa vụ bắt buộc”. Bà Đào Thu Thảo, Giám đốc điều hành WEEDS VINA, nhấn mạnh: “Việc bảo vệ dữ liệu cá nhân cũng không còn chỉ ở mức khuyến nghị hay khuyến cáo như trước đây nữa. Thực sự, nó đã trở thành một nghĩa vụ, một sự bắt buộc đối với tất cả các doanh nghiệp cũng như tất cả các cá nhân”. Theo bà, doanh nghiệp không thể chỉ đơn thuần lưu trữ dữ liệu mà phải áp dụng các quy trình bảo mật nghiêm ngặt từ lúc xin phép, thu thập, phân loại rủi ro cho đến khi tiêu hủy.
Bà Thảo đặc biệt lưu ý đến tầm quan trọng của “vòng đời quản trị dữ liệu”: “Việc quản trị dữ liệu từ khi bắt đầu, đấy là thu thập dữ liệu… cho đến khi dữ liệu đấy kết thúc ra sao, thì đấy là cả một quá trình mà chúng ta cần phải quản trị nó một cách xuyên suốt trong vòng đời của dữ liệu”. Quá trình này đòi hỏi hệ thống phải lưu vết toàn bộ luồng di chuyển của dữ liệu để làm bằng chứng thanh tra, đồng thời doanh nghiệp phải có nhân sự chuyên trách bảo vệ dữ liệu đủ năng lực kiểm soát rủi ro.
Về phía người dùng cá nhân, việc nâng cao ý thức tự bảo vệ trên không gian mạng là một yếu tố then chốt để ngăn chặn rủi ro ngay từ gốc. Mỗi người cần chủ động bảo vệ tài khoản bằng mật khẩu mạnh, kích hoạt xác thực đa yếu tố (multi-factor authentication – thêm một lớp xác minh bên cạnh mật khẩu, như mã OTP hoặc ứng dụng xác thực), định kỳ sao lưu dữ liệu quan trọng để tránh nguy cơ bị mã độc tống tiền, và tuyệt đối không tùy tiện chia sẻ thông tin bí mật đời tư lên mạng xã hội. Đặc biệt, người dùng cần đề cao cảnh giác, không nhấp vào các đường dẫn lạ, không cung cấp mã OTP hay chuyển tiền theo các cuộc gọi, tin nhắn giả danh cơ quan pháp luật, ngân hàng hoặc tổ chức uy tín.
Xét cho cùng, “niềm tin số” – tức mức độ người dùng tin tưởng vào việc dữ liệu của họ được bảo vệ, giao dịch được tôn trọng và danh tính không bị lạm dụng – chỉ có thể được kiến tạo khi ba trụ cột cùng vận hành nhịp nhàng: doanh nghiệp nghiêm túc đầu tư vào bảo mật và quản trị dữ liệu, pháp luật đủ rõ ràng và được thực thi nghiêm minh, và mỗi người dùng hiểu mình có vai trò, quyền lợi và trách nhiệm trong hệ sinh thái số. Khi những trụ cột đó được củng cố, hệ sinh thái số sẽ có nền tảng vững chắc để phát triển, và công nghệ mới sẽ thực sự phục vụ con người thay vì trở thành mảnh đất màu mỡ cho tội phạm mạng.
