CHƢƠNG 2 : PHƢƠNG PHÁP NGHIÊN CỨU
3.2. Thực trạng công tác Quản trị rủi ro về thông tin khách hàng tại Vietnam
3.2.3. Thực trạng chất lƣợng hoạt động Quản trị rủi ro về thông tin khách hàng
Hiện tại Vietnam Airlines do chƣa có bộ phận QTRR cấp TCTy nên hoạt động QTRR chƣa đƣợc thực hiện thống nhất trong phạm vi toàn TCTy, chƣa xây dựng đƣợc nội dung chƣơng trình hành động chung, quy trình QTRR thống nhất áp dụng cho tất cả các đơn vị thành viên. Do đó dẫn đến tình trạng chất lƣợng QTRR không đồng đều giữa các đơn vị, thể hiện rõ nhất ở hiện tƣợng công tác QTRR đƣợc thực hiện bài bản, hiệu quả cao tại các Ban chuyên môn, Cơ quan tại khu vực khối cơ quan TCTy do nhận đƣợc sự chỉ đạo trực tiếp và quan tâm sâu sát của ban lãnh đạo Vietnam Airlines, nhƣng tại một số đơn vị các hoạt động QTRR, đặc biệt là QTRR về thông tin khách hàng, lại rất rời rạc, chất lƣợng không cao, hiệu quả kém và ít phát huy vai trò hỗ trợ công tác bán và nâng cao chất lƣợng dịch vụ.
Hiện nay tại từng cơ quan, đơn vị tuy đã thành lập các bộ phận QTRR chuyên trách nhƣng do các bộ phận này vẫn đang hoạt động độc lập, không có sự
liên kết giữa các cơ quan, đơn vị với nhau nên thông tin vể rủi ro, kinh nghiệm về xử lý rủi ro không đƣợc chia sẻ dẫn đến tình trạng một số rủi ro đã xảy ra tại đơn vị này vẫn bị lặp lại tại các đơn vị khác, việc phản ứng, ứng phó với rủi ro còn lúng túng và chậm làm ảnh hƣởng đến hoạt động kinh doanh.
Cùng với các bộ phận QTRR chuyên trách, tại nhiều đơn vị mới chỉ có các tổ, nhóm QTRR kiêm nhiệm, cùng với đó không đƣợc sự quan tâm chỉ đạo sát sao của các cấp lãnh đạo nên công tác QTRR còn bị lơ là, chất lƣợng thực hiện kém và chƣa phát huy đƣợc hiệu quả trong hỗ trợ điều hành và hoạt động kinh doanh.
Bên cạnh đó xuất phát từ thực tế quy trình QTRR tại Vietnam Airlines đƣợc tổ chức phân tán trong các quy trình nội bộ mà chƣa có mô hình QTRR độc lập, chƣa có quy trình QTRR chính thức nên công tác QTRR chƣa đƣợc thực hiện đồng bộ, thống nhất giữa các cơ quan, đơn vị trong phạm vi toàn TCTy, dẫn đến chất lƣợng QTRR không đồng đều giữa các đơn vị
3.2.3.1. Thực trạng hoạt động xem xét bối cảnh.
Tại Vietnam Airlines thƣờng xuyên diễn ra các hoạt động theo dõi, kiểm tra, nghiên cứu môi trƣờng làm việc nội bộ, tổ chức các đợt khảo sát để nắm bắt và tìm hiểu tâm tƣ nguyện vọng của cán bộ công nhân viên (nhƣ đợt khảo sát về mức độ hài lòng của nhân viên năm 2017) và môi trƣờng xung quanh; tổ chức thƣờng xuyên các đợt tổng kết để rà soát lại toàn bộ hoạt động kinh doanh, chiến lƣợc kinh doanh...của Vietnam Airlines. Nhờ đó mà bộ phận QTRR đã hiểu và nắm bắt đƣợc bối cảnh tồn tại rủi ro về thông tin khách hàng.
3.2.3.2. Thực trạng hoạt động nhận dạng rủi ro.
Thông qua các cuộc họp, hội thảo, tại các đơn vị đã xây dựng đƣợc danh mục các rủi ro, tùy thuộc vào kinh nghiệm quản lý của các cấp quản lý và kinh nghiệm, năng lực chuyên môn của chuyên gia QTRR. Các thành viên bộ phận QTRR sẽ lập danh mục những rủi ro phù hợp với chức năng, nhiệm vụ của đơn vị, ban chuyên môn; trong đó ƣớc tính định tính khả năng và hậu quả xảy ra. Quá trình nhận ddạng rủi ro đƣợc thực hiện thông qua những hoạt động sau đây:
- Xem xét, phân tích dữ liệu về toàn bộ rủi ro đã gặp phải trong quá khứ, bao gồm rủi ro đƣợc tổng hợp từ các Ban, cơ quan và các đơn vị trực thuộc. - Tổ chức họp thảo luận, hội thảo với các chuyên gia và khách hàng, nhà cung
cấp, đối tác.
- Phỏng vấn các chuyên gia nội bộ và chuyên gia của đối tác trong các lĩnh vực có liên quan giúp phát hiện và nhận diện rủi ro.
- Khuyến khích cán bộ công nhân viên tích cực tham gia phát hiện và nhận dạng những rủi ro tiềm ẩn vào mọi thời điểm.
- Sau khi thành viên bộ phận QTRR cung cấp các thông tin liên quan đến rủi ro; phụ trách QTRR sẽ rà soát, tổng hợp, báo cáo lãnh đạo phụ trách công tác QTRR, đồng thời bàn bạc để thống nhất với các lãnh đạo về thời điểm cập nhật thông tin rủi ro, lịch họp bộ phận QTRR phù hợp với yêu cầu hoạt động kinh doanh.
Tại cơ quan, đơn vị chƣa xây dựng đƣợc thƣ viện lƣu trữ rủi ro để cập nhật các rủi ro mới, dẫn đến việc không thể dự đoán trƣớc đƣợc nhiều rủi ro xuất hiện trong các hoàn cảnh khác nhau hoặc có tình trạng tiếp tục bị lặp lại một số rủi ro đã từng xuất hiện tại các thời điểm trƣớc đó.
Do đặc điểm thông tin hành khách đƣợc thu thập từ nhiều nguồn khác nhau, thông tin đƣợc lƣu trữ tại nhiều bộ phận, hệ thống; kênh truyền tải dữ liệu rất đa dạng, thông tin đƣợc xử lý và sử dụng bởi nhiều đơn vị đã gây rất nhiều khó khăn trong việc kiểm soát thông tin, khiến khả năng thông tin khách hàng bị lộ lọt, rò rỉ hoặc sử dụng sai mục đích luôn hiện hữu và tiềm ẩn nguy cơ xảy ra cao. Hiện tại Vietnam Airlines đã nhận diện đƣợc danh sách các rủi ro chính về thông tin khách hàng nhƣ sau:
Bảng 3.2. Nhận diện các dạng rủi ro về thông tin khách hàng tại Vietnam Airlines
Stt Rủi ro Nguyên nhân Ảnh hƣởng Nguồn gây
ra rủi ro
1 Khách hàng khởi kiện, đòi bồi
Thông tin cá nhân chƣa đƣợc khách hàng cho
- Chi phí bồi
Stt Rủi ro Nguyên nhân Ảnh hƣởng Nguồn gây ra rủi ro thƣờng phép sử dụng hoặc đƣợc sử dụng sai mục đích khách hàng - Uy tín, hình ảnh 2 Thông tin hành khách bị khai thác, bị mất mát, phá hủy dữ liệu
Tin tặc tấn công vào hệ thống CNTT chứa dữ liệu hành khách để thu thập và phát tán, công khai dữ liệu thông tin hành khách
- Thông tin bị khai thác trái phép - Mất mát, bị phá hủy dữ liệu Hệ thống CNTT 3 Thông tin khách hàng bị sử dụng sai mục đích Thông tin bị lột lọt, thất thoát và bị sử dụng không đúng mục đích bởi bên thứ 3 (các hãng taxi, công ty bất động sản…) Lộ lọt, thất thoát thông tin
- Hệ thống Đại lý bán vé - Cán bộ, nhân viên
4 Thông tin bị sai lệch, hƣ hỏng
Lỗi phát sinh (do hệ thống, con ngƣời) trong quá trình thu thập, xử lý, lƣu trữ dữ liệu
Thiếu thông tin về khách hàng
- Con ngƣời - Hệ thống CNTT
(Nguồn: Kết quả tác giả tổng hợp)
a) Rủi ro bị khách hàng khởi kiện, đòi bồi thƣờng
Trong thời đại công nghệ số và mạng xã hội phổ biến rộng rãi nhƣ ngày nay thì việc bảo mật thông tin cá nhân khách hàng ngày càng đƣợc quan tâm và là vấn đề thời sự không chỉ ở Việt Nam mà còn tại nhiều nƣớc trên thế giới. Tại nƣớc ta đã ban hành một số quy định pháp luật để bảo vệ thông tin khách hàng nhƣ: Luật An toàn thông tin mạng ban hành năm 2015; Luật An ninh mạng ban hành năm 2018…nhằm bảo vệ quyền và lợi ích hợp pháp của cá nhân. Do đó các doanh nghiệp nói chung và Vietnam Airlines nói riêng cần có giải pháp tổng thể để quản lý cách thức thu thập thông tin cá nhân, cách thức chia sẻ và loại thông tin nào của
ngƣời dùng đƣợc sử dụng. Nếu vi phạm có thể đối mặt với những vụ kiện của khách hàng vì vị phạm thông tin cá nhân, có thể dẫn đến hậu quả tổn thất về tài chính khi phải bồi thƣờng cho họ, thậm chí ảnh hƣởng lâu dài đến uy tín và hình ảnh của doanh nghiệp.
Trên thực tế trong giai đoạn từ năm 2016 đến nay Vietnam Airlines rất ít khi vƣớng phải các vụ kiện của khách hàng liên quan đến thông tin cá nhân, một phần vì tâm lý e dè, ngại va chạm của khách hàng, mặt khác là việc quản lý thông tin hành khách của Vietnam Airlines đã đƣợc thực hiện tốt hơn, với việc đã nhận diện đƣợc danh sách các rủi ro chính về thông tin khách hàng.
Với đặc thù đang khai thác mạng đƣờng bay quốc tế rộng khắp các châu lục, Vietnam Airlines cũng đang phải đối mặt với những rủi ro tiềm ẩn rất lớn trong việc tuân thủ luật pháp và những quy định trong lĩnh vực hàng không dân dụng của nƣớc sở tại. Đặc biệt khi Liên minh Châu Âu (EU) ban hành Quy định chung về bảo mật thông tin (General Data Protection Regulation – GDPR), chính thức có hiệu lực từ ngày 25/05/2018 để bảo vệ thông tin riêng tƣ của ngƣời dùng khỏi hành vi sử dụng dữ liệu cá nhân trái phép của các công ty hoạt động trong khối EU. Điều luật GDPR không chỉ bảo vệ quyền lợi của cƣ dân Châu Âu nói riêng mà còn áp dụng cho bất kỳ ngƣời nào có sử dụng dịch vụ do một công ty đặt tại Châu Âu cung cấp. Về phía Vietnam Airlines phải tuân thủ nghiêm các điều luật đƣợc quy định cụ thể và rõ ràng của GDPR về cách thức thu thập thông tin cá nhân, địa điểm dữ liệu đƣợc chia sẻ và những loại thông tin nào đƣợc sử dụng vì nếu vi phạm sẽ có nguy cơ đối mặt với án phạt lên đến 20 triệu Euro (khoảng 550 tỷ đổng) hoặc 4% lợi nhuận toàn cầu hàng năm của hãng.
b) Rủi ro thông tin hành khách bị khai thác, bị mất mát, phá hủy dữ liệu
Thực trạng an toàn thông tin tại nƣớc ta trong những năm qua diễn biến rất phức tạp và khó lƣờng, với các cuộc tấn công mạng diễn ra trên quy mô lớn (chứ không tự phát, đơn lẻ) tại nhiều lĩnh vực trọng yếu và công trình quan trọng của quốc gia. Cùng với đó là tình trạng đáng lo ngại của việc lây nhiễm các mã độc
ngày càng tinh vi, phức tạp, nhất là những mã độc đa mục đích, đƣợc tin tặc sử dụng để mã hóa dữ liệu, ăn cắp dữ liệu và tống tiền. Điển hình có thể kể sự việc mã độc Wannacry đã tấn công và gây thiệt hại cho gần 250 doanh nghiệp Việt Nam vào giữa năm 2017 .
Do đó, rủi ro bị tin tặc tấn công vào hệ thống CNTT có chứa dữ liệu về hành khách để thu thập và phát tán, sử dụng dữ liệu thông tin sai mục đích luôn hiện hữu, đặt ra thách thức lớn cho bộ phận chuyên trách về an ninh thông tin của Vietnam Airlines. Nếu dữ liệu này bị tin tặc khai thác, sử dụng vào mục đích trục lợi cá nhân, trƣớc hết sẽ ảnh hƣởng đến tài chính của Vietnam Airlines (chi phí để khắc phục hậu quả), sau đó là ảnh hƣởng lớn và lâu dài đến hình ảnh, uy tính của hãng. Cùng với đó là chi phí và thời gian phải bỏ ra để khôi phục lại những dữ liệu đã mất, đã bị hƣ hỏng, thậm chí không thể lấy lại đƣợc nhiều dữ liệu do tin tặc phá hoại. Điều này đƣợc thể hiện rất rõ thông qua vụ việc Vietnam Airlines bị tin tặc tấn công năm 2016.
Ngày 29/7/2016 tin tặc đã tấn công vào vào hệ thống CNTT và quầy làm thủ tục tại khu vực làm thủ tục chuyến bay ở các sân bay quốc tế Tân Sơn Nhất, Nội Bài, Đà Nẵng, Phú Quốc và tấn công vào website của Vietnam Airlines. Thủ phạm gây ra vụ tấn công này là nhóm tin tặc 1937CN nổi tiếng và thuộc hàng mạnh nhất Trung Quốc.
Nhóm tin tặc 1937CN đã thu thập và phát tán, công khai dữ liệu thông tin cá nhân của hơn 400.000 thành viên chƣơng trình khách hàng thƣờng xuyên (Golden Lotus Plus - GLP) của Vietnam Airlines. Trong danh sách này bên cạnh những khách hàng Việt Nam còn có những khách hàng nƣớc ngoài nhƣ Đức, Nga, Nhật Bản, Hàn Quốc... Những thông tin bị khai thác gồm họ tên, ngày sinh, số điện thoại, quốc tịch, địa chỉ, đơn vị làm việc, số điểm tích lũy của chƣơng trình GLP…Vụ tấn công đã làm hơn 100 chuyến bay bị chậm.
Trƣớc khi xảy ra vụ tấn công khoảng 02 ngày, hệ thống CNTT của Vietnam Airlines đã nhận biết đƣợc một số dấu hiệu có khả năng bị tấn công mạng (nhƣ hoạt
động không ổn định, hay bị treo…) nên ban CNTT của Vietnam Airlines đã lập kế hoạch đề phòng, chủ động sử dụng phần mềm diệt virút để rà quét toàn bộ hệ thống máy chủ, máy trạm nhằm phát hiện các hành động bất thƣờng; hạn chế truy cập vào hệ thống phần mềm quan trọng liên quan đến điều hành bay để hạn chế khả năng bị tin tặc tấn công, đồng thời thông báo cho đối tác rà soát hệ thống phần mềm đang hoạt động. Tuy vậy website của hãng vẫn hoạt động bình thƣờng nên đã bị tin tặc lợi dụng tấn công.
Ngay sau khi nhận đƣợc thông tin về cuộc tấn công, Ban giám đốc Vietnam Airlines đã lập tức chỉ đạo các bộ phận liên quan mà nòng cốt là Ban CNTT, TTBSV, ban TTBSP tập trung xử lý, cô lập hệ thống nhằm hạn chế khả năng lan rộng và khắc phục hậu quả của cuộc tấn công. Đích thân Tổng giám đốc Dƣơng Trí Thành đã tổ chức cuộc họp khẩn cùng các Ban chuyên môn và Đơn vị liên quan để bàn bạc, tìm biện pháp xử lý hiệu quả để đối phó với cuộc tấn công, đồng thời mời khẩn cấp đơn vị trong nƣớc mạnh về lĩnh vực an toàn thông tin nhƣ: Trung tâm An ninh mạng VIETTEL, công ty BKAV, CMC…sang phối hợp xử lý. TTBSV đã đề nghị các hội viên thay đổi ngay mật khẩu tài khoản truy cập. Hãng cũng khuyến nghị hành khách nên ra sân bay sớm hơn để làm thủ tục chuyến bay. Trung tâm an minh mạng VIETTEL đã huy động đội ngũ chuyên gia làm việc ngày đêm để dò quét, phát hiện, cô lập và xử lý mã độc. Kết quả sau 24 giờ cuộc tấn công đã bị chặn đứng, cô lập không còn khả năng phát tán; toàn bộ mã độc, virus bị cài cắm trong hệ thống mạng trƣớc đó đã bị phát hiện, bóc tách và cô lập, gỡ bỏ hoàn toàn khỏi thiết bị lây nhiễm chỉ sau 03 ngày (sáng ngày 01/8/2016, hệ thống CNTT chính của Vietnam Airlines đã trở lại hoạt động).
Vietnam Airlines sau đó đã đào tạo lại nhận thức về ATTT cho toàn hệ thống, từ cấp cao nhất đến cấp thấp nhất; sửa đổi, ban hành quy trình đảm bảo ATTT, đồng thời tổ chức lại mô hình đảm bảo, ứng cứu ATTT, trong đó đã triển khai hệ thống giám sát an ninh mạng, rà quét mã độc liên tục 24/24 để kịp thời phát hiện nguy cơ mới.
Vụ việc đánh cắp thông tin khách hàng của Vietnam Airlines đã cho thấy hệ thống CNTT của hãng đã bị nhóm tin tặc xâm nhập đƣợc rất sâu và từ trƣớc đó. Hệ thống CNTT (đặc biệt là hệ thống diệt virut) của hãng trƣớc đó tuy đƣợc đầu tƣ đồng bộ và hiện đại nhƣng chƣa có hệ thống phát hiện, thu thập thông tin và cảnh báo sớm các dấu hiệu tấn công mạng nên không thể phát hiện đƣợc dấu hiệu tấn công mạng để cảnh báo cho đội ngũ chuyên gia kịp thời xử lý. Dù tin tặc mới chỉ tấn công vào phần ngoại vi, chƣa xâm nhập đƣợc vào phần trọng yếu của hệ thống (nhƣ các hệ thống phục vụ khai thác và điều hành bay bên trong) chƣa trực tiếp uy hiếp an toàn bay nhƣng vụ tấn công cũng là hồi chuông báo động về thực trạng ATTT và mức độ sẵn sàng của các hệ thống CNTT trọng yếu tại Vietnam Airlines nói riêng và các doanh nghiệp tại Việt Nam nói chung còn yếu kém trƣớc nguy cơ bị tấn công mạng.
c) Rủi ro thông tin khách hàng bị sử dụng sai mục đích
Trong thời đại bùng nổ thông tin ngày nay, thông tin cá nhân nói chung và thông tin hành khách nói riêng đều trở nên có giá trị hơn bao giờ hết. Tình trạng mua bán; lộ lọt thông tin cá nhân đã diễn ra nhiều năm nay và ngày càng gia tăng. Việc mua bán thông tin cá nhân dễ dàng nhƣ hiện nay gây ảnh hƣởng không nhỏ đến đời sống của nhiều ngƣời. Trên các trang tìm kiếm trên mạng, chúng ta chỉ cần gõ “mua bán dữ liệu khách hàng” lập tức sẽ hiện ra một loạt các trang quảng