SlideShare uma empresa Scribd logo

An toàn dữ liệu cá nhân trong tài chính ngân hàng

T
Tam Luong

Vietnam Retail Banking 2023

Negócios
1 de 17
Baixar para ler offline
TS. Nguyễn Trọng Đường TP. HCM, ngày 26/5/2023 AN TOÀN DỮ LIỆU CÁ NHÂN TRONG TÀI CHÍNH - NGÂN HÀNG
DỮ LIỆU – cốt lõi của chuyển đổi số Dữ liệu và xử lý dữ liệu lớn là linh hồn của trí tuệ nhân tạo Cách mạng Chuyển đổi số • Rất khó để một tổ chức có thể chuyển đổi số thành công mà không quan tâm đến dữ liệu. • Khai thác dữ liệu trong lĩnh vực tài chính - ngân hàng: Rất nhiều hoạt động của các đơn vị tài chính - ngân hàng phụ thuộc vào dữ liệu cá nhân hoặc dữ liệu riêng của tổ chức như mở tài khoản, xác thực giao dịch, xác định khách hàng, phân tích rủi ro, cung cấp dịch vụ tài chính, …. • Chuyển đổi số càng sâu => lượng dữ liệu càng lớn => yêu cầu xử lý càng cao => rủi ro an toàn dữ liệu càng lớn. • Dữ liệu cá nhân là thông tin có giá trị nhất, quyết định thành công của hầu hết các dịch vụ trực tuyến, nhưng cũng là đích nhắm đến, mục tiêu săn lùng của tội phạm mạng.
Vi phạm dữ liệu tăng nhanh
Vi phạm dữ liệu tăng nhanh THẾ GIỚI: Nhiều vụ lộ lọt, đánh cắp, mua bán dữ liệu cá nhân lớn: • Năm 2013, Yahoo bị đánh cắp tới 3 tỷ tài khoản người dùng; • Năm 2016, Uber bị đánh cắp thông tin 57 triệu người dùng, và đã phải trả 100.000 đô la cho tin tặc để xóa dữ liệu bị đánh cắp và giữ im lặng vụ vi phạm; • Năm 2017, Friend Finder Networks bị đánh cắp 412 triệu tài khoản người dùng; • Tháng 4/2021, Facebook bị lộ DLCN 533 triệu người dùng; • Tháng 9/2022, Optus (Úc) bị đánh cắp DLCN của 9,8 triệu khách hàng (40% dân số); • Tháng 10/2022, sàn TMĐT Carousell của Singapore bị lộ dữ liệu của 1,95 triệu người dùng; VIỆT NAM: Không phải là ngoại lệ: • VNG để lộ hơn 163 triệu tài khoản khách hàng; • Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán; • Việt Nam Airline, để lộ 411 nghìn tài khoản thành viên Bông Sen Vàng; • Một ngân hàng Việt Nam để lộ thông tin 2 triệu khách hàng; • Facebook để lộ thông tin 50 triệu người dùng VN; … • Bộ CA: 2019-2020 có 1.300 GB DLCN của hàng tỷ cá nhân VN bị mua bán trái phép trên thị trường chợ đen. • …
Thiệt hại do vi phạm dữ liệu rất lớn và ngày càng tăng Trung bình trên thế giới, chi phí để xử lý một sự cố vi phạm dữ liệu từ 3,5 – 4 triệu USD. Tại Việt Nam, chưa có thống kê về chi phí trung bình để xử lý một sự cố vi phạm dữ liệu, nhưng chắc chắn không nhỏ.
NÓNG: vi phạm dữ liệu để lừa đảo • Năm 2022 Việt Nam ghi nhận 12.935 trường hợp lừa đảo trực tuyến, trong đó 75% lừa đảo tài chính, 25% lừa leo thang đánh cắp dữ liệu cá nhân để lừa đảo tài chính hoặc mục đích xấu khác => mục tiêu cuối cùng là tiền; • Phổ biến có 3 nhóm chính, với 16 hình thức lừa đảo, tất cả đều có liên quan đến vi phạm dữ liệu: Ø Nhóm 1 - Chiếm đoạt tài khoản: Chiếm quyền tài khoản mạng xã hội (Zalo, Facebook, Tiktok…) để gửi tin nhắn lừa đảo; Giả mạo người thân để gọi lừa đảo (có thể giả cả giọng nói và hình ảnh); Lừa chuyển tiền vào tài khoản NH của nạn nhân để bắt trả lãi vay; Lừa nạn nhân truy cập/click vay tín dụng đen lãi cao; Ø Nhóm 2 – Giả mạo thương hiệu: Giả mạo thương hiệu tổ chức uy tín để nhắn tin, gửi email lừa đảo; Giả mạo trang web chính thống để lừa cung cấp thông tin, lừa giao dịch, …; lừa cài mã độc qua đường links; Ø Nhóm 3 – Kết hợp: Giả danh cơ quan chức năng gọi điện thoại lừa đảo; Lừa gọi nạn nhân bắt máy sẽ bị trừ tiền trong tài khoản; Tạo nick giả để lừa; Giả mạo sàn TMĐT, sàn tiền ảo, … lừa làm CTV, nhà đầu tư; … • Các chiêu thức lừa đảo này được sử dụng nhiều qua Internet Banking: Ø Giả mạo ngân hàng lừa trúng thưởng để lấy tài khoản, mã OTP, …; Ø Giả mạo công an yêu cầu cung cấp thông tin tài khoản để điều tra hoặc yêu cầu chuyển tiền vào TK công an (giả) để chứng minh; Ø Giả mạo người thân nhờ nhận hộ tiền hoặc vay tiền.
Các vi phạm dữ liệu cá nhân trong tài chính ngân hàng 1. Tiết lộ thông tin cá nhân: • Cố ý phát tán hoặc chia sẻ thông tin cá nhân với bên thứ ba mà không có sự đồng ý của khách hàng. • Vô tình để lộ thông tin cá nhân do thiếu tuận thủ quy định. 2. Mất mát hoặc rò rỉ dữ liệu: • Mất mát (bị xoá, mã hoá) hoặc rò rỉ dữ liệu cá nhân do tấn công mạng, tin tặc; • Mất hoặc rò rỉ dữ liệu do sử dụng thiết bị lưu trữ không đảm bảo an toàn. 3. Sử dụng sai mục đích: • Sử dụng thông tin cá nhân cho mục đích không được khách hàng cho phép hoặc không tuân thủ quy định pháp luật; • Sử dụng sai cố ý của tổ chức hoặc cá nhân; hoặc do thiếu hiểu biết, nhận thức chưa đầy đủ của tổ chức, cá nhân. 4. Xâm phạm quyền riêng tư: • Thu thập các thông tin cá nhân trái phép hoặc không cần thiết; • Sử dụng các phương thức theo dõi hoặc giám sát trái phép. 5. Giao dịch lừa đảo: • Lừa đảo để đánh cắp tài khoản, mật khẩu, mã OTP; • Lừa đảo thẻ tín dụng hoặc lừa đảo danh tính; … 6. Quản lý không đúng mực: • Thiếu các quy chế, quy định, hướng dẫn cụ thể • Thiếu giám sát, kiểm tra, chế tài đảm bảo thực thi.
NGUYÊN NHÂN dữ liệu cá nhân bị vi phạm, đánh cắp • Nguyên nhân do yếu tố phi kỹ thuật (chiếm phần lớn): Ø Cơ quan, tổ chức, doanh nghiệp thu thập nhiều dữ liệu nhưng không đầu tư đủ để bảo vệ an toàn. Ø Lộ lọt từ nhân viên quản lý dữ liệu, lấy cắp vì mục đích riêng, mua bán trái phép; Bên thứ ba cấu kết với nhân viên quản lý dữ liệu của tổ chức, doanh nghiệp để được chia sẻ dữ liệu trái phép; Ø Lừa đảo trực tuyến nhằm mục đích thu thập thông tin cá nhân; thu thập thông qua việc tạo các trang web, tài khoản mạng xã hội; Ø Nhận thức về bảo vệ thông tin cá nhân của người dùng còn thấp; Chủ thể thông tin bất cẩn, cung cấp tùy tiện, đặc biệt trên mạng xã hội. • Nguyên nhân do yếu tố kỹ thuật: Ø Các hệ thống thông tin chưa phê duyệt và triển khai đầy đủ các phương án bảo đảm an toàn thông tin theo cấp độ; Ø Các hệ thống thông tin không được đầu tư các giải pháp phù hợp để bảo đảm an toàn, an ninh mạng, dẫn đến bị tấn công, khai thác, đánh cắp dữ liệu. Ø Nhận thức của bên kiểm soát, bên xử lý dữ liệu và người quản trị hệ thống thấp, không tuân thủ quy định dẫ đến bị bị tấn công, khai thác, đánh cắp dữ liệu.
Nghị định bảo vệ dữ liệu cá nhân • Quyền của chủ thể dữ liệu: Quyền được biết; Quyền đồng ý hoặc không; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền được cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường; Quyền tự bảo vệ. • Nghĩa vụ của bên kiểm soát, xử lý dữ liệu: phải có sự đồng ý rõ ràng, tự nguyện và hiểu rõ của chủ thể dữ liệu; Phải thông báo xử lý dữ liệu, trong đó nêu rõ mục đích, loại dữ liệu, cách thức, bên thứ 3, rủi ro, thời gian xử lý dữ liệu; Phải lập và lưu giữ và gửi Bộ CA Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; Phải đảm bảo biện pháp, điều kiện bảo vệ dữ liệu cá nhân theo quy định; Phải có biện pháp ngăn chặn thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân; Khi cung cấp cho tổ chức, cá nhân khác phải có sự đồng ý của chủ thể dữ liệu; Phải xoá DLCN khi chủ thể dữ liệu yêu cầu; Phải chuyển giao dữ liệu cá nhân theo quy định của pháp luật khi chia, tách, sáp nhập; Xử lý dữ liệu cá nhân của người đã chết/mất tích phải được sự đồng ý của vợ, chồng hoặc con; Xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em nếu đủ từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ; Chỉ được sử dụng dữ liệu cá nhân thu thập từ hoạt động SXKD của mình để tiếp thị, quảng cáo; Phải thông báo cho Bộ CA trong vòng 72h khi phát hiện có vi phạm dữ liệu; Phải lập, lưu giữ và gửi Bộ CA Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài; … Chính phủ vừa ban hành Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân, trong đó: • Định nghĩa rõ dữ liệu cá nhân, gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm; định nghĩa cụ thể nhiều khái niệm, hành vi, hoạt động liên quan đến dữ liệu cá nhân.
Làm gì để bảo đảm an toàn dữ liệu? Người dùng - Chủ thể dữ liệu: Bảo vệ, giữ gìn thông cá nhân là bảo vệ mình trước các rủi ro trên môi trường mạng • Hiểu rõ và thực hiện các quyền của chủ thể dữ liệu đối với thông tin cá nhân của mình; • Cảnh giác với các đường link giả mạo, email, tin nhắn lạ, các trang web có điền thông tin cá nhân, chỉ cung cấp các thông tin cá nhân cho các tổ chức tin cậy và thực sự cần; • Không truy cập, tải file, cung cấp thông tin cá nhân ở các trang web không rõ nguồn gốc; • Sử dụng mật khẩu mạnh cho mọi tài khoản, các mật khẩu mạnh (đủ dài, có nhiều loại ký tự, không trùng nhau trên các dịch vụ, định kỳ thay đổi); • Sử dụng xác thực nhiều lớp nếu có thể, xác thực 2 lớp bao gồm xác thực qua email, số điện thoại, trình xác thực để tạo OTP (như google authenticator), … • Không đăng nhập các tài khoản của mình trên các thiết bị công cộng, thiết bị lạ có khả năng gắn key logger; Cảnh giác với wifi miễn phí; • Cài đặt phần mềm diệt virus trên máy tính (có thể sử dụng Defender mặc định của Windows) và trên điện thoại để tránh nhiễm mã độc; • Không cài đặt các ứng dụng, phần mềm crack, không rõ nguồn gốc; • Cảnh giác với các chiêu thức lừa đảo qua mạng.
Làm gì để bảo đảm an toàn dữ liệu? Các tổ chức tài chính, ngân hàng – Bên kiểm soát và xử lý dữ liệu (1): Bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm mà còn là bảo vệ tài sản quan trọng, giá trị nhất của tổ chức 1. Tuân thủ quy định pháp luật: • Nghiên cứu kỹ để tuân thủ các quy định pháp luật tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, đặc biệt là các yêu cầu về an toàn hệ thống, quy trình, hồ sơ đánh giá tác động, … • Thực hiện đầy đủ các biện pháp đảm bảo an toàn thông tin theo cấp độ [NĐ 85/2017/NĐ-CP; Thông tư 12/2022/TT-BTTTT và TCVN 11930]. 2. Ban hành quy định, chính sách ATTT và bảo vệ DLCN cụ thể, tường minh: • Ban hành đầy đủ các quy chế, quy định bảo vệ thông tin cá nhân; quy trình, thủ tục, hướng dẫn khai thác thông tin cá nhân; công bố rộng rãi, tập huấn và có chế tài bắt buộc; • Thiết lập các chính sách và quy trình quản lý quyền truy cập, khai thác, xử lý dữ liệu cho từng đối tượng nhân viên. • Phân loại dữ liệu cá nhân và thực hiện các biện pháp bảo vệ tương ứng với mức độ nhạy cảm.
Làm gì để bảo đảm an toàn dữ liệu? Các tổ chức tài chính, ngân hàng – Bên kiểm soát và xử lý dữ liệu (2): 3. Đào tạo và nâng cao nhận thức cho nhân viên và khách hàng: • Thường xuyên tập huấn, nâng cao nhận thức; • Đào tạo về quy định, yêu cầu trong xử lý dữ liệu cá nhân, quy trình bảo mật và quy định pháp luật. • Đảm bảo tất cả nhân viên đều nhận thức đầy đủ, được hướng dẫn chi tiết, hiểu rõ và tuân thủ các quy định bảo vệ dữ liệu cá nhân. • Tăng cường công tác truyền thông, kết nối và thông tin đến khách hàng về bảo vệ dữ liệu cá nhân; 4. Đầu tư các giải pháp an toàn hệ thống và bảo vệ dữ liệu: • Triển khai các giải pháp kỹ thuật an toàn, bảo mật mạnh mẽ và tổ chức phù hợp để đảm bảo mức độ bảo mật dữ liệu cá nhân và an toàn cho hệ thống thông tin của tổ chức. • Tăng cười các kỹ thuật an toàn mạng, mã hóa, hệ thống chứng thực, hạn chế truy cập, giám sát hệ thống; • Tăng cường giải pháp xác thực khách hàng cho dịch vụ trực tuyến: SMS OTP, Soft OTP, Token OTP, Sinh trắc học, Chữ ký số; • Cập nhật phần mềm định kỳ để bảo vệ chống lại các mối đe dọa mạng và tin tặc.
Làm gì để bảo đảm an toàn dữ liệu? Các tổ chức tài chính, ngân hàng – Bên kiểm soát và xử lý dữ liệu (3): 5. Đánh giá, quản trị rủi ro và sẵn sàng ứng phó: • Cần thường xuyên đánh giá rủi ro và có giải pháp quản trị rủi ro liên quan dữ liệu cá nhân; • Thường xuyên phân tích các mối đe dọa tiềm ẩn, xác định điểm yếu trong hệ thống và đảm bảo triển khai các giải pháp sẵn sàng ứng phó; • Xây dựng các kế hoạch kiểm tra, giám sát việc bảo vệ dữ liệu cá nhân; • Xây dựng các trung tâm dữ liệu dự phòng, các giải pháp lưu trữ và phục hồi dữ liệu hiện đại; • Triển khai tiêu chuẩn ISO/IEC 27001, PCI DSS, khung kiểm soát rủi ro Cobit hay ISO/IEC27005; • Sẵn sàng các phương án ứng cứu sự cố: phòng chống tấn công từ chối dịch vụ (DoS, DDoS); tấn công APT; chống mã độc, botnet;.. • Tham gia Mạng lưới ứng cứu sự cố an toàn mạng quốc gia. Tăng cường khả năng phối hợp, hỗ trợ ứng cứu, sẵn sàng tham gia hỗ trợ giải quyết sự cố khi có yêu cầu;
Khung đảm bảo an toàn thông tin và bảo vệ dữ liệu Chính sách, quản lý rủi ro, tiêu chuẩn Governance, Risk mgmt. & Compliance (GRC) Con người (People – Identity and Access) An toàn dữ liệu (Data Security) An toàn ứng dụng (Application Security) An toàn hạ tầng (Infrastructure Security)
Chú trọng, hài hòa ba yếu tố trọng tâm
Điểm yếu trong bảo vệ dữ liệu và đảm bảo an toàn thông tin Ø Mật khẩu yếu Ø Nhận thức về ATTT, bảo vệ dữ liệu Ø Nhân sự, kỹ năng yếu Ø Chính sách, quy chế lỗi thời Ø Thiếu kinh phí cập nhật, nâng cấp Ø Thiếu sự quan tâm, kiểm tra, đốc thúc từ cấp trên Ø … Khâu yếu nhất : Con người
TRÂN TRỌNG CẢM ƠN ! TS. Nguyễn Trọng Đường Bộ Thông tin và Truyền thông Mobile: 091.303.6089 Email: ntduong@mic.gov.vn

Recomendados

MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...
MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...
MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...
Vu Hung Nguyen
 
Giáo trình SQL server tiếng việt
Giáo trình SQL server tiếng việtGiáo trình SQL server tiếng việt
Giáo trình SQL server tiếng việt
Thuyet Nguyen
 
Luận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOT
Luận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOTLuận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOT
Luận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOT
Dịch vụ viết bài trọn gói ZALO 0917193864
 
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễnTriển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
ducmanhkthd
 
Tấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionTấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select union
Nguyễn Danh Thanh
 
Bài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.com
Bài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.comBài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.com
Bài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.com
mai_non
 
Luận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng Nam
Luận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng NamLuận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng Nam
Luận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng Nam
Dịch vụ viết bài trọn gói ZALO 0917193864
 
NoSql Database
NoSql DatabaseNoSql Database
NoSql Database
Nguyen Thieu
 

Recomendados

MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...
MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...
MỘT SỐ NGUY CƠ ĐỐI VỚI AN TOÀN, BẢO MẬT THÔNG TIN TRÊN MẠNG CNTT CƠ QUAN ĐẢNG...
Vu Hung Nguyen
 
Giáo trình SQL server tiếng việt
Giáo trình SQL server tiếng việtGiáo trình SQL server tiếng việt
Giáo trình SQL server tiếng việt
Thuyet Nguyen
 
Luận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOT
Luận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOTLuận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOT
Luận văn: Thực hiện pháp luật về phòng, chống bạo lực gia đình, HOT
Dịch vụ viết bài trọn gói ZALO 0917193864
 
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễnTriển khai các chính sách và tiêu chuẩn trong thực tiễn
Triển khai các chính sách và tiêu chuẩn trong thực tiễn
ducmanhkthd
 
Tấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select unionTấn công sql injection sử dụng câu lệnh select union
Tấn công sql injection sử dụng câu lệnh select union
Nguyễn Danh Thanh
 
Bài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.com
Bài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.comBài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.com
Bài giảng môn Cơ sở dữ liệu - truongkinhtethucpham.com
mai_non
 
Luận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng Nam
Luận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng NamLuận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng Nam
Luận văn: Quản lý nhà nước về báo chí - xuất bản tại Quảng Nam
Dịch vụ viết bài trọn gói ZALO 0917193864
 
NoSql Database
NoSql DatabaseNoSql Database
NoSql Database
Nguyen Thieu
 
Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên
Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên
Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên
nataliej4
 
Khái niệm về thương mại điện tử
Khái niệm về thương mại điện tửKhái niệm về thương mại điện tử
Khái niệm về thương mại điện tử
Lợn Tex
 
Kiểm thử bảo mật web
Kiểm thử bảo mật webKiểm thử bảo mật web
Kiểm thử bảo mật web
Minh Tri Nguyen
 
Hỗ trợ ra quyết định
Hỗ trợ ra quyết địnhHỗ trợ ra quyết định
Hỗ trợ ra quyết định
lmphuong06
 
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTTSlide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Hiệu Nguyễn
 
Tổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tinTổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tin
Nguyen Thi Lan Phuong
 
Công tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAY
Công tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAYCông tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAY
Công tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAY
Dịch vụ viết bài trọn gói ZALO 0917193864
 
Bai giang atbmtt
Bai giang atbmtt Bai giang atbmtt
Bai giang atbmtt
Hà Vũ
 
Cấu trúc của một bản kế hoạch khởi nghiệp
Cấu trúc của một bản kế hoạch khởi nghiệpCấu trúc của một bản kế hoạch khởi nghiệp
Cấu trúc của một bản kế hoạch khởi nghiệp
Brand Xanh
 
Đề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt Nam
Đề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt NamĐề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt Nam
Đề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt Nam
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Luận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà Nẵng
Luận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà NẵngLuận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà Nẵng
Luận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà Nẵng
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
ERD - Database Design
ERD - Database DesignERD - Database Design
ERD - Database Design
yht4ever
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
Dịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
Kĩ năng làm việc nhóm chinh thuc
Kĩ năng làm việc nhóm chinh thucKĩ năng làm việc nhóm chinh thuc
Kĩ năng làm việc nhóm chinh thuc
tlminhnhat
 
Chương 1: tổ chức và thông tin trong tổ chức
Chương 1: tổ chức và thông tin trong tổ chức Chương 1: tổ chức và thông tin trong tổ chức
Chương 1: tổ chức và thông tin trong tổ chức
Thạc sĩ Vũ Ngọc Hiếu
 
Báo cáo môn mã nguồn mở
Báo cáo môn mã nguồn mởBáo cáo môn mã nguồn mở
Báo cáo môn mã nguồn mở
Thuyet Nguyen
 
Mô hình hóa yêu cầu
Mô hình hóa yêu cầuMô hình hóa yêu cầu
Mô hình hóa yêu cầu
Nguyen Tran
 
Đồ án kiểm thử phần mềm
Đồ án kiểm thử phần mềmĐồ án kiểm thử phần mềm
Đồ án kiểm thử phần mềm
Nguyễn Anh
 
Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...
Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...
Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...
Dịch vụ Làm Luận Văn 0936885877
 
PHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠO
PHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠOPHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠO
PHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠO
Học viện chiến lược nhân sự HSM
 
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐTThương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT
Share Tai Lieu
 
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...
Share Tài Liệu Đại Học
 

Mais conteúdo relacionado

Mais procurados

Khái niệm về thương mại điện tử
Khái niệm về thương mại điện tửKhái niệm về thương mại điện tử
Khái niệm về thương mại điện tử
Lợn Tex
 
Bai giang atbmtt
Bai giang atbmtt Bai giang atbmtt
Bai giang atbmtt
Hà Vũ
 
Kĩ năng làm việc nhóm chinh thuc
Kĩ năng làm việc nhóm chinh thucKĩ năng làm việc nhóm chinh thuc
Kĩ năng làm việc nhóm chinh thuc
tlminhnhat
 
Chương 1: tổ chức và thông tin trong tổ chức
Chương 1: tổ chức và thông tin trong tổ chức Chương 1: tổ chức và thông tin trong tổ chức
Chương 1: tổ chức và thông tin trong tổ chức
Thạc sĩ Vũ Ngọc Hiếu
 
Mô hình hóa yêu cầu
Mô hình hóa yêu cầuMô hình hóa yêu cầu
Mô hình hóa yêu cầu
Nguyen Tran
 

Mais procurados (20)

Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên
Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên
Đề Tài Thiết Kế Phần Mềm Quản Lý Sinh Viên
 
Khái niệm về thương mại điện tử
Khái niệm về thương mại điện tửKhái niệm về thương mại điện tử
Khái niệm về thương mại điện tử
 
Kiểm thử bảo mật web
Kiểm thử bảo mật webKiểm thử bảo mật web
Kiểm thử bảo mật web
 
Hỗ trợ ra quyết định
Hỗ trợ ra quyết địnhHỗ trợ ra quyết định
Hỗ trợ ra quyết định
 
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTTSlide Báo Cáo Đồ Án Tốt Nghiệp CNTT
Slide Báo Cáo Đồ Án Tốt Nghiệp CNTT
 
Tổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tinTổng quan về an toàn và bảo mật thông tin
Tổng quan về an toàn và bảo mật thông tin
 
Công tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAY
Công tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAYCông tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAY
Công tác tuyển dụng nhân lực tại Công ty Nhiệt điện Phả Lại, HAY
 
Bai giang atbmtt
Bai giang atbmtt Bai giang atbmtt
Bai giang atbmtt
 
Cấu trúc của một bản kế hoạch khởi nghiệp
Cấu trúc của một bản kế hoạch khởi nghiệpCấu trúc của một bản kế hoạch khởi nghiệp
Cấu trúc của một bản kế hoạch khởi nghiệp
 
Đề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt Nam
Đề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt NamĐề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt Nam
Đề tài: Quản lý nhà nước đối với xuất khẩu lao động của Việt Nam
 
Luận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà Nẵng
Luận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà NẵngLuận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà Nẵng
Luận văn: Pháp luật về phòng chống bạo lực gia đình tại Đà Nẵng
 
ERD - Database Design
ERD - Database DesignERD - Database Design
ERD - Database Design
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
 
Kĩ năng làm việc nhóm chinh thuc
Kĩ năng làm việc nhóm chinh thucKĩ năng làm việc nhóm chinh thuc
Kĩ năng làm việc nhóm chinh thuc
 
Chương 1: tổ chức và thông tin trong tổ chức
Chương 1: tổ chức và thông tin trong tổ chức Chương 1: tổ chức và thông tin trong tổ chức
Chương 1: tổ chức và thông tin trong tổ chức
 
Báo cáo môn mã nguồn mở
Báo cáo môn mã nguồn mởBáo cáo môn mã nguồn mở
Báo cáo môn mã nguồn mở
 
Mô hình hóa yêu cầu
Mô hình hóa yêu cầuMô hình hóa yêu cầu
Mô hình hóa yêu cầu
 
Đồ án kiểm thử phần mềm
Đồ án kiểm thử phần mềmĐồ án kiểm thử phần mềm
Đồ án kiểm thử phần mềm
 
Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...
Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...
Phân tích thiết kế hệ thống thông tin quản lý bán hàng của công ty cổ phần qu...
 
PHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠO
PHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠOPHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠO
PHƯƠNG PHÁP ĐO LƯỜNG HIỆU QUẢ ĐÀO TẠO
 

Semelhante a An toàn dữ liệu cá nhân trong tài chính ngân hàng

CHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptx
CHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptxCHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptx
CHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptx
NgNgcTrm10
 
2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf
2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf
2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf
LeThiVanKieu
 
Bai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed MoussaBai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed Moussa
Anh Dam
 

Semelhante a An toàn dữ liệu cá nhân trong tài chính ngân hàng (20)

Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐTThương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong TMĐT
 
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...
Thương mại điện tử - Chương 4: Rủi ro và phòng tránh rủi ro trong thương mại ...
 
Basic Security Training day 1
Basic Security Training day 1Basic Security Training day 1
Basic Security Training day 1
 
NHÓM 8 - CÔNG TÁC QUỐC PHÒNG II - BÀI 6 (MỤC II VÀ III) (1).pptx
NHÓM 8 - CÔNG TÁC QUỐC PHÒNG II - BÀI 6 (MỤC II VÀ III) (1).pptxNHÓM 8 - CÔNG TÁC QUỐC PHÒNG II - BÀI 6 (MỤC II VÀ III) (1).pptx
NHÓM 8 - CÔNG TÁC QUỐC PHÒNG II - BÀI 6 (MỤC II VÀ III) (1).pptx
 
CHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptx
CHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptxCHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptx
CHƯƠNG 1 PHONG CHONG TOI PHAM TRONG LINH VUC TIN DUNG NGAN HANG .pptx
 
Chuong 6 Mot so van de XH khac.pdf Đạo đức
Chuong 6 Mot so van de XH khac.pdf Đạo đứcChuong 6 Mot so van de XH khac.pdf Đạo đức
Chuong 6 Mot so van de XH khac.pdf Đạo đức
 
BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS
BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMSBaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS
BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS
 
Bảo vệ dữ liệu cá nhân - Tác giả: Lê Trung Nghĩa
Bảo vệ dữ liệu cá nhân - Tác giả: Lê Trung NghĩaBảo vệ dữ liệu cá nhân - Tác giả: Lê Trung Nghĩa
Bảo vệ dữ liệu cá nhân - Tác giả: Lê Trung Nghĩa
 
2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf
2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf
2020-05-16-09-20-36-TMĐT 3.5 Phần IV - Rủi ro trong TMĐT.pdf
 
cybersecurity training.pptx
cybersecurity training.pptxcybersecurity training.pptx
cybersecurity training.pptx
 
Bai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed MoussaBai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed Moussa
 
chương 4 An toàn thông tin trong TMĐT.pptx
chương 4 An toàn thông tin trong TMĐT.pptxchương 4 An toàn thông tin trong TMĐT.pptx
chương 4 An toàn thông tin trong TMĐT.pptx
 
Chương 8_Bảo mật và an ninh mạng
Chương 8_Bảo mật và an ninh mạngChương 8_Bảo mật và an ninh mạng
Chương 8_Bảo mật và an ninh mạng
 
Sphs ppt
Sphs pptSphs ppt
Sphs ppt
 
Báo Cáo Hệ Thống Thông Tin Tại Agribank Phú Nhuận
Báo Cáo Hệ Thống Thông Tin Tại Agribank Phú NhuậnBáo Cáo Hệ Thống Thông Tin Tại Agribank Phú Nhuận
Báo Cáo Hệ Thống Thông Tin Tại Agribank Phú Nhuận
 
Bai Giang.ppt
Bai Giang.pptBai Giang.ppt
Bai Giang.ppt
 
TRUNG_CHU_KY_SO.docx
TRUNG_CHU_KY_SO.docxTRUNG_CHU_KY_SO.docx
TRUNG_CHU_KY_SO.docx
 
Tong quan ve thuong mai dien tu
Tong quan ve thuong mai dien tuTong quan ve thuong mai dien tu
Tong quan ve thuong mai dien tu
 
Sphs ppt
Sphs pptSphs ppt
Sphs ppt
 
Xâm phạm thương hiệu
Xâm phạm thương hiệuXâm phạm thương hiệu
Xâm phạm thương hiệu
 

Mais de Tam Luong

Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023
Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023
Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023
Tam Luong
 

Mais de Tam Luong (10)

Digital Transformation and Next Gen Technology Study 2023
Digital Transformation and Next Gen Technology Study 2023Digital Transformation and Next Gen Technology Study 2023
Digital Transformation and Next Gen Technology Study 2023
 
Vai tro cua du lieu trong thanh toan khong dung tien mat
Vai tro cua du lieu trong thanh toan khong dung tien matVai tro cua du lieu trong thanh toan khong dung tien mat
Vai tro cua du lieu trong thanh toan khong dung tien mat
 
Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023
Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023
Ket noi du lieu va thanh toan khong dung tien mat trong linh vuc thue 2023
 
Vietnam Cashless Day 2023
Vietnam Cashless Day 2023Vietnam Cashless Day 2023
Vietnam Cashless Day 2023
 
NAPAS Tham luan vai tro trung gian thanh toan 2023.06
NAPAS Tham luan vai tro trung gian thanh toan 2023.06NAPAS Tham luan vai tro trung gian thanh toan 2023.06
NAPAS Tham luan vai tro trung gian thanh toan 2023.06
 
Ứng dụng trí tuệ nhân tạo trong ngành dịch vụ tài chính
Ứng dụng trí tuệ nhân tạo trong ngành dịch vụ tài chínhỨng dụng trí tuệ nhân tạo trong ngành dịch vụ tài chính
Ứng dụng trí tuệ nhân tạo trong ngành dịch vụ tài chính
 
Đa dạng dịch vụ thanh toán trên nền tảng TMĐT thúc đẩy phát triển kinh tế số
Đa dạng dịch vụ thanh toán trên nền tảng TMĐT thúc đẩy phát triển kinh tế sốĐa dạng dịch vụ thanh toán trên nền tảng TMĐT thúc đẩy phát triển kinh tế số
Đa dạng dịch vụ thanh toán trên nền tảng TMĐT thúc đẩy phát triển kinh tế số
 
Sự hội tụ các công nghệ mới nổi trong chuyển đổi số ngân hàng
Sự hội tụ các công nghệ mới nổi trong chuyển đổi số ngân hàngSự hội tụ các công nghệ mới nổi trong chuyển đổi số ngân hàng
Sự hội tụ các công nghệ mới nổi trong chuyển đổi số ngân hàng
 
Phát triển dữ liệu phục vụ chuyển đổi số tại TP. HCM
Phát triển dữ liệu phục vụ chuyển đổi số tại TP. HCMPhát triển dữ liệu phục vụ chuyển đổi số tại TP. HCM
Phát triển dữ liệu phục vụ chuyển đổi số tại TP. HCM
 
BANKING SERVICES - Survey on Cashless Payment 2023
BANKING SERVICES - Survey on Cashless Payment 2023BANKING SERVICES - Survey on Cashless Payment 2023
BANKING SERVICES - Survey on Cashless Payment 2023
 

An toàn dữ liệu cá nhân trong tài chính ngân hàng

  • 1. TS. Nguyễn Trọng Đường TP. HCM, ngày 26/5/2023 AN TOÀN DỮ LIỆU CÁ NHÂN TRONG TÀI CHÍNH - NGÂN HÀNG
  • 2. DỮ LIỆU – cốt lõi của chuyển đổi số Dữ liệu và xử lý dữ liệu lớn là linh hồn của trí tuệ nhân tạo Cách mạng Chuyển đổi số • Rất khó để một tổ chức có thể chuyển đổi số thành công mà không quan tâm đến dữ liệu. • Khai thác dữ liệu trong lĩnh vực tài chính - ngân hàng: Rất nhiều hoạt động của các đơn vị tài chính - ngân hàng phụ thuộc vào dữ liệu cá nhân hoặc dữ liệu riêng của tổ chức như mở tài khoản, xác thực giao dịch, xác định khách hàng, phân tích rủi ro, cung cấp dịch vụ tài chính, …. • Chuyển đổi số càng sâu => lượng dữ liệu càng lớn => yêu cầu xử lý càng cao => rủi ro an toàn dữ liệu càng lớn. • Dữ liệu cá nhân là thông tin có giá trị nhất, quyết định thành công của hầu hết các dịch vụ trực tuyến, nhưng cũng là đích nhắm đến, mục tiêu săn lùng của tội phạm mạng.
  • 3. Vi phạm dữ liệu tăng nhanh
  • 4. Vi phạm dữ liệu tăng nhanh THẾ GIỚI: Nhiều vụ lộ lọt, đánh cắp, mua bán dữ liệu cá nhân lớn: • Năm 2013, Yahoo bị đánh cắp tới 3 tỷ tài khoản người dùng; • Năm 2016, Uber bị đánh cắp thông tin 57 triệu người dùng, và đã phải trả 100.000 đô la cho tin tặc để xóa dữ liệu bị đánh cắp và giữ im lặng vụ vi phạm; • Năm 2017, Friend Finder Networks bị đánh cắp 412 triệu tài khoản người dùng; • Tháng 4/2021, Facebook bị lộ DLCN 533 triệu người dùng; • Tháng 9/2022, Optus (Úc) bị đánh cắp DLCN của 9,8 triệu khách hàng (40% dân số); • Tháng 10/2022, sàn TMĐT Carousell của Singapore bị lộ dữ liệu của 1,95 triệu người dùng; VIỆT NAM: Không phải là ngoại lệ: • VNG để lộ hơn 163 triệu tài khoản khách hàng; • Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán; • Việt Nam Airline, để lộ 411 nghìn tài khoản thành viên Bông Sen Vàng; • Một ngân hàng Việt Nam để lộ thông tin 2 triệu khách hàng; • Facebook để lộ thông tin 50 triệu người dùng VN; … • Bộ CA: 2019-2020 có 1.300 GB DLCN của hàng tỷ cá nhân VN bị mua bán trái phép trên thị trường chợ đen. • …
  • 5. Thiệt hại do vi phạm dữ liệu rất lớn và ngày càng tăng Trung bình trên thế giới, chi phí để xử lý một sự cố vi phạm dữ liệu từ 3,5 – 4 triệu USD. Tại Việt Nam, chưa có thống kê về chi phí trung bình để xử lý một sự cố vi phạm dữ liệu, nhưng chắc chắn không nhỏ.
  • 6. NÓNG: vi phạm dữ liệu để lừa đảo • Năm 2022 Việt Nam ghi nhận 12.935 trường hợp lừa đảo trực tuyến, trong đó 75% lừa đảo tài chính, 25% lừa leo thang đánh cắp dữ liệu cá nhân để lừa đảo tài chính hoặc mục đích xấu khác => mục tiêu cuối cùng là tiền; • Phổ biến có 3 nhóm chính, với 16 hình thức lừa đảo, tất cả đều có liên quan đến vi phạm dữ liệu: Ø Nhóm 1 - Chiếm đoạt tài khoản: Chiếm quyền tài khoản mạng xã hội (Zalo, Facebook, Tiktok…) để gửi tin nhắn lừa đảo; Giả mạo người thân để gọi lừa đảo (có thể giả cả giọng nói và hình ảnh); Lừa chuyển tiền vào tài khoản NH của nạn nhân để bắt trả lãi vay; Lừa nạn nhân truy cập/click vay tín dụng đen lãi cao; Ø Nhóm 2 – Giả mạo thương hiệu: Giả mạo thương hiệu tổ chức uy tín để nhắn tin, gửi email lừa đảo; Giả mạo trang web chính thống để lừa cung cấp thông tin, lừa giao dịch, …; lừa cài mã độc qua đường links; Ø Nhóm 3 – Kết hợp: Giả danh cơ quan chức năng gọi điện thoại lừa đảo; Lừa gọi nạn nhân bắt máy sẽ bị trừ tiền trong tài khoản; Tạo nick giả để lừa; Giả mạo sàn TMĐT, sàn tiền ảo, … lừa làm CTV, nhà đầu tư; … • Các chiêu thức lừa đảo này được sử dụng nhiều qua Internet Banking: Ø Giả mạo ngân hàng lừa trúng thưởng để lấy tài khoản, mã OTP, …; Ø Giả mạo công an yêu cầu cung cấp thông tin tài khoản để điều tra hoặc yêu cầu chuyển tiền vào TK công an (giả) để chứng minh; Ø Giả mạo người thân nhờ nhận hộ tiền hoặc vay tiền.
  • 7. Các vi phạm dữ liệu cá nhân trong tài chính ngân hàng 1. Tiết lộ thông tin cá nhân: • Cố ý phát tán hoặc chia sẻ thông tin cá nhân với bên thứ ba mà không có sự đồng ý của khách hàng. • Vô tình để lộ thông tin cá nhân do thiếu tuận thủ quy định. 2. Mất mát hoặc rò rỉ dữ liệu: • Mất mát (bị xoá, mã hoá) hoặc rò rỉ dữ liệu cá nhân do tấn công mạng, tin tặc; • Mất hoặc rò rỉ dữ liệu do sử dụng thiết bị lưu trữ không đảm bảo an toàn. 3. Sử dụng sai mục đích: • Sử dụng thông tin cá nhân cho mục đích không được khách hàng cho phép hoặc không tuân thủ quy định pháp luật; • Sử dụng sai cố ý của tổ chức hoặc cá nhân; hoặc do thiếu hiểu biết, nhận thức chưa đầy đủ của tổ chức, cá nhân. 4. Xâm phạm quyền riêng tư: • Thu thập các thông tin cá nhân trái phép hoặc không cần thiết; • Sử dụng các phương thức theo dõi hoặc giám sát trái phép. 5. Giao dịch lừa đảo: • Lừa đảo để đánh cắp tài khoản, mật khẩu, mã OTP; • Lừa đảo thẻ tín dụng hoặc lừa đảo danh tính; … 6. Quản lý không đúng mực: • Thiếu các quy chế, quy định, hướng dẫn cụ thể • Thiếu giám sát, kiểm tra, chế tài đảm bảo thực thi.
  • 8. NGUYÊN NHÂN dữ liệu cá nhân bị vi phạm, đánh cắp • Nguyên nhân do yếu tố phi kỹ thuật (chiếm phần lớn): Ø Cơ quan, tổ chức, doanh nghiệp thu thập nhiều dữ liệu nhưng không đầu tư đủ để bảo vệ an toàn. Ø Lộ lọt từ nhân viên quản lý dữ liệu, lấy cắp vì mục đích riêng, mua bán trái phép; Bên thứ ba cấu kết với nhân viên quản lý dữ liệu của tổ chức, doanh nghiệp để được chia sẻ dữ liệu trái phép; Ø Lừa đảo trực tuyến nhằm mục đích thu thập thông tin cá nhân; thu thập thông qua việc tạo các trang web, tài khoản mạng xã hội; Ø Nhận thức về bảo vệ thông tin cá nhân của người dùng còn thấp; Chủ thể thông tin bất cẩn, cung cấp tùy tiện, đặc biệt trên mạng xã hội. • Nguyên nhân do yếu tố kỹ thuật: Ø Các hệ thống thông tin chưa phê duyệt và triển khai đầy đủ các phương án bảo đảm an toàn thông tin theo cấp độ; Ø Các hệ thống thông tin không được đầu tư các giải pháp phù hợp để bảo đảm an toàn, an ninh mạng, dẫn đến bị tấn công, khai thác, đánh cắp dữ liệu. Ø Nhận thức của bên kiểm soát, bên xử lý dữ liệu và người quản trị hệ thống thấp, không tuân thủ quy định dẫ đến bị bị tấn công, khai thác, đánh cắp dữ liệu.
  • 9. Nghị định bảo vệ dữ liệu cá nhân • Quyền của chủ thể dữ liệu: Quyền được biết; Quyền đồng ý hoặc không; Quyền truy cập; Quyền rút lại sự đồng ý; Quyền xóa dữ liệu; Quyền hạn chế xử lý dữ liệu; Quyền được cung cấp dữ liệu; Quyền phản đối xử lý dữ liệu; Quyền khiếu nại, tố cáo, khởi kiện; Quyền yêu cầu bồi thường; Quyền tự bảo vệ. • Nghĩa vụ của bên kiểm soát, xử lý dữ liệu: phải có sự đồng ý rõ ràng, tự nguyện và hiểu rõ của chủ thể dữ liệu; Phải thông báo xử lý dữ liệu, trong đó nêu rõ mục đích, loại dữ liệu, cách thức, bên thứ 3, rủi ro, thời gian xử lý dữ liệu; Phải lập và lưu giữ và gửi Bộ CA Hồ sơ đánh giá tác động xử lý dữ liệu cá nhân; Phải đảm bảo biện pháp, điều kiện bảo vệ dữ liệu cá nhân theo quy định; Phải có biện pháp ngăn chặn thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân; Khi cung cấp cho tổ chức, cá nhân khác phải có sự đồng ý của chủ thể dữ liệu; Phải xoá DLCN khi chủ thể dữ liệu yêu cầu; Phải chuyển giao dữ liệu cá nhân theo quy định của pháp luật khi chia, tách, sáp nhập; Xử lý dữ liệu cá nhân của người đã chết/mất tích phải được sự đồng ý của vợ, chồng hoặc con; Xử lý dữ liệu cá nhân của trẻ em phải có sự đồng ý của trẻ em nếu đủ từ đủ 7 tuổi trở lên và có sự đồng ý của cha, mẹ hoặc người giám hộ; Chỉ được sử dụng dữ liệu cá nhân thu thập từ hoạt động SXKD của mình để tiếp thị, quảng cáo; Phải thông báo cho Bộ CA trong vòng 72h khi phát hiện có vi phạm dữ liệu; Phải lập, lưu giữ và gửi Bộ CA Hồ sơ đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài; … Chính phủ vừa ban hành Nghị định 13/2023/NĐ-CP ngày 17/4/2023 về bảo vệ dữ liệu cá nhân, trong đó: • Định nghĩa rõ dữ liệu cá nhân, gồm dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm; định nghĩa cụ thể nhiều khái niệm, hành vi, hoạt động liên quan đến dữ liệu cá nhân.
  • 10. Làm gì để bảo đảm an toàn dữ liệu? Người dùng - Chủ thể dữ liệu: Bảo vệ, giữ gìn thông cá nhân là bảo vệ mình trước các rủi ro trên môi trường mạng • Hiểu rõ và thực hiện các quyền của chủ thể dữ liệu đối với thông tin cá nhân của mình; • Cảnh giác với các đường link giả mạo, email, tin nhắn lạ, các trang web có điền thông tin cá nhân, chỉ cung cấp các thông tin cá nhân cho các tổ chức tin cậy và thực sự cần; • Không truy cập, tải file, cung cấp thông tin cá nhân ở các trang web không rõ nguồn gốc; • Sử dụng mật khẩu mạnh cho mọi tài khoản, các mật khẩu mạnh (đủ dài, có nhiều loại ký tự, không trùng nhau trên các dịch vụ, định kỳ thay đổi); • Sử dụng xác thực nhiều lớp nếu có thể, xác thực 2 lớp bao gồm xác thực qua email, số điện thoại, trình xác thực để tạo OTP (như google authenticator), … • Không đăng nhập các tài khoản của mình trên các thiết bị công cộng, thiết bị lạ có khả năng gắn key logger; Cảnh giác với wifi miễn phí; • Cài đặt phần mềm diệt virus trên máy tính (có thể sử dụng Defender mặc định của Windows) và trên điện thoại để tránh nhiễm mã độc; • Không cài đặt các ứng dụng, phần mềm crack, không rõ nguồn gốc; • Cảnh giác với các chiêu thức lừa đảo qua mạng.
  • 11. Làm gì để bảo đảm an toàn dữ liệu? Các tổ chức tài chính, ngân hàng – Bên kiểm soát và xử lý dữ liệu (1): Bảo vệ dữ liệu cá nhân không chỉ là trách nhiệm mà còn là bảo vệ tài sản quan trọng, giá trị nhất của tổ chức 1. Tuân thủ quy định pháp luật: • Nghiên cứu kỹ để tuân thủ các quy định pháp luật tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, đặc biệt là các yêu cầu về an toàn hệ thống, quy trình, hồ sơ đánh giá tác động, … • Thực hiện đầy đủ các biện pháp đảm bảo an toàn thông tin theo cấp độ [NĐ 85/2017/NĐ-CP; Thông tư 12/2022/TT-BTTTT và TCVN 11930]. 2. Ban hành quy định, chính sách ATTT và bảo vệ DLCN cụ thể, tường minh: • Ban hành đầy đủ các quy chế, quy định bảo vệ thông tin cá nhân; quy trình, thủ tục, hướng dẫn khai thác thông tin cá nhân; công bố rộng rãi, tập huấn và có chế tài bắt buộc; • Thiết lập các chính sách và quy trình quản lý quyền truy cập, khai thác, xử lý dữ liệu cho từng đối tượng nhân viên. • Phân loại dữ liệu cá nhân và thực hiện các biện pháp bảo vệ tương ứng với mức độ nhạy cảm.
  • 12. Làm gì để bảo đảm an toàn dữ liệu? Các tổ chức tài chính, ngân hàng – Bên kiểm soát và xử lý dữ liệu (2): 3. Đào tạo và nâng cao nhận thức cho nhân viên và khách hàng: • Thường xuyên tập huấn, nâng cao nhận thức; • Đào tạo về quy định, yêu cầu trong xử lý dữ liệu cá nhân, quy trình bảo mật và quy định pháp luật. • Đảm bảo tất cả nhân viên đều nhận thức đầy đủ, được hướng dẫn chi tiết, hiểu rõ và tuân thủ các quy định bảo vệ dữ liệu cá nhân. • Tăng cường công tác truyền thông, kết nối và thông tin đến khách hàng về bảo vệ dữ liệu cá nhân; 4. Đầu tư các giải pháp an toàn hệ thống và bảo vệ dữ liệu: • Triển khai các giải pháp kỹ thuật an toàn, bảo mật mạnh mẽ và tổ chức phù hợp để đảm bảo mức độ bảo mật dữ liệu cá nhân và an toàn cho hệ thống thông tin của tổ chức. • Tăng cười các kỹ thuật an toàn mạng, mã hóa, hệ thống chứng thực, hạn chế truy cập, giám sát hệ thống; • Tăng cường giải pháp xác thực khách hàng cho dịch vụ trực tuyến: SMS OTP, Soft OTP, Token OTP, Sinh trắc học, Chữ ký số; • Cập nhật phần mềm định kỳ để bảo vệ chống lại các mối đe dọa mạng và tin tặc.
  • 13. Làm gì để bảo đảm an toàn dữ liệu? Các tổ chức tài chính, ngân hàng – Bên kiểm soát và xử lý dữ liệu (3): 5. Đánh giá, quản trị rủi ro và sẵn sàng ứng phó: • Cần thường xuyên đánh giá rủi ro và có giải pháp quản trị rủi ro liên quan dữ liệu cá nhân; • Thường xuyên phân tích các mối đe dọa tiềm ẩn, xác định điểm yếu trong hệ thống và đảm bảo triển khai các giải pháp sẵn sàng ứng phó; • Xây dựng các kế hoạch kiểm tra, giám sát việc bảo vệ dữ liệu cá nhân; • Xây dựng các trung tâm dữ liệu dự phòng, các giải pháp lưu trữ và phục hồi dữ liệu hiện đại; • Triển khai tiêu chuẩn ISO/IEC 27001, PCI DSS, khung kiểm soát rủi ro Cobit hay ISO/IEC27005; • Sẵn sàng các phương án ứng cứu sự cố: phòng chống tấn công từ chối dịch vụ (DoS, DDoS); tấn công APT; chống mã độc, botnet;.. • Tham gia Mạng lưới ứng cứu sự cố an toàn mạng quốc gia. Tăng cường khả năng phối hợp, hỗ trợ ứng cứu, sẵn sàng tham gia hỗ trợ giải quyết sự cố khi có yêu cầu;
  • 14. Khung đảm bảo an toàn thông tin và bảo vệ dữ liệu Chính sách, quản lý rủi ro, tiêu chuẩn Governance, Risk mgmt. & Compliance (GRC) Con người (People – Identity and Access) An toàn dữ liệu (Data Security) An toàn ứng dụng (Application Security) An toàn hạ tầng (Infrastructure Security)
  • 15. Chú trọng, hài hòa ba yếu tố trọng tâm
  • 16. Điểm yếu trong bảo vệ dữ liệu và đảm bảo an toàn thông tin Ø Mật khẩu yếu Ø Nhận thức về ATTT, bảo vệ dữ liệu Ø Nhân sự, kỹ năng yếu Ø Chính sách, quy chế lỗi thời Ø Thiếu kinh phí cập nhật, nâng cấp Ø Thiếu sự quan tâm, kiểm tra, đốc thúc từ cấp trên Ø … Khâu yếu nhất : Con người
  • 17. TRÂN TRỌNG CẢM ƠN ! TS. Nguyễn Trọng Đường Bộ Thông tin và Truyền thông Mobile: 091.303.6089 Email: ntduong@mic.gov.vn