Cứ nhìn vào số liệu các vụ rò rỉ dữ liệu năm 2009, hẳn bạn sẽ nghĩ giới IT đã giành được chiến thắng hiếm hoi trong cuộc chiến bất tận chống lại tội phạm số. 

Theo Identity Theft Resource Center, tính đến ngày 17/11, các cơ quan chính phủ Mỹ và các công ty đã báo cáo tổng cộng 435 vụ rò ri, giảm 50% so với năm 2008. Như vậy 2009 là năm đầu tiên kể từ 2005 có số vụ rò rỉ dữ liệu giảm xuống. 

Nhưng mức giảm này thật đáng nghi ngờ. Trên thực tế, số lượng hồ sơ cá nhân bị lộ -- những dữ liệu như Số an ninh xã hội, sổ y bạ và thông tin thẻ tín dụng cá nhân – đã tăng mạnh lên 220 triệu hồ sơ, so với vỏn vẹn 35 triệu trong năm 2008. Đây là số dữ liệu kỷ lục bị đánh cắp. Và phần lớn các dữ liệu bị mất trong năm 2009 đều đến từ một nguồn: hãng xử lý thẻ tín dụng Heartland Payment Systems.

Các vụ rò rỉ nghiêm trọng nhất trong năm

Điểm truy cập vào mạng lưới của Heartland cũng chẳng có gì dặc biệt. Albert Gonzalez, còn có tên là Segvec, cùng với hai đồng phạm người Nga đã bị buộc tội sử dụng kiểu tấn công SQL injection để nhập một tập lệnh vào một ô trống trên website công ty nhằm phá vỡ chức năng của website và giành quyền truy cập máy chủ.   

Từ đây, nhóm hacker đã cài phần mềm độc chuyên thu thập số thẻ tín dụng và thẻ ghi nợ của người dùng. Do chúng nhằm vào một hãng thanh toán nắm trong tay số liệu tài chính của rất nhiều khách hàng chứ không đơn thuần là một nhà bán lẻ, nên Segvec và cộng sự của hắn đã cuỗm được ít nhất 130 triệu tài khoản. 

Tất nhiên Heartland không phải là nạn nhân duy nhất trong năm. Hồi tháng 10 vừa rồi Ban quản trị hồ sơ và lưu trữ quốc gia Mỹ (NARA) còn găp phải một vụ lớn hơn nhiều. Đó là khi một ổ cứng chứa thông tin cá nhân về 76 triệu nhân viên bị hỏng, NARA đã gửi nó cho hãng IT GMRI để sửa, nhưng lại không xóa ổ trước khi gửi nó ra ngoài vùng kiểm soát, và tạo nên vụ rò rỉ dữ liệu lớn nhất trong lịch sử các cơ quan chính phủ. 

Trong phát biểu chính thức, NARA cho rằng việc hỏng ổ cứng đã gây ra một vấn đề an ninh nghiêm trọng: GMRI đã ký hợp đồng đảm bảo xử lý cẩn thận các dữ liệu cá nhân. Nhưng xét đến tỉ lệ số vụ rò rỉ liên quan đến bên thứ ba – 46% trong tổng số file bị mất vào năm ngoái – thì sai lầm ucar NARA vẫn được coi là một trong những vụ rò rỉ lớn nhất trong lịch sử, giám đốc ITRC Linda Foley cho biết. Và cũng như vụ Heartland, vụ này có thể được ngăn chặn bằng cách sử dụng phần mềm mã hóa. 

"Tại sao các tổ chức lớn vẫn lưu giữ lượng dữ liệu khổng lồ mà không hề mã hóa?” Foley nói. “Khi biết rằng các vụ rò rỉ vẫn đang xảy ra, tại sao lại từ chối một công nghệ có thể ngăn chặn chúng?” 

Ngoài hai vụ “siêu rò rỉ” của năm 2009, ITRC chỉ ghi nhận thêm 14 triệu hồ sơ bị đánh cắp, một con số khá thấp. Nhưng Larry Ponemon, nhà sáng lập kiêm CEO của Ponemon Institute lại nghi ngờ về tính hoàn thiện của nghiên cứu do ITRC đưa ra.   

Ponemon cho rằng ITRC cũng như các hãng nghiên cứu tình trạng rò rỉ dữ liệu khác đều ghi nhận các vụ này dựa trên báo cáo từ các phương tiện truyền thông, vốn chỉ tập trung vào các vụ nổi bật nhất. Vậy là nhờ vào những vụ lớn như của NARA hay Heartland, các vụ rò rỉ nhỏ khác đã không được chú ý đến. “Các vụ án nhỏ không hấp dẫn như trước,” Ponemon nói. “Chỉ có các vụ lớn mới được báo cáo.” 

Cũng theo Ponemon, tin tốt lành là việc sử dụng các công nghệ như phần mềm mã hóa và ngăn chặn mất cắp dữ liệu (DLP) đã tăng lên. Kể từ năm 2005, việc mã hóa toàn bộ ổ đĩa đã tăng trung bình 19% một năm, và việc mã hóa ổ USB đã tăng 16% một năm. Các biện pháp DLP thì được áp dụng ở mức 8%/năm. 

Nhưng mặc dù khó tìm được dữ liệu chính xác, Ponemon không tin rằng việc áp dụng DLP và mã hóa có nhiều tác dụng. Bởi các công nghệ này thường chỉ áp dụng ở một số nơi và không thể bắt kịp các địa điểm mới như smartphone và công cụ cộng tác web. “Không nên cho rằng các công ty đang hoàn thành tốt công việc này,” Ponemon nói. “Tất nhiên ngày càng có nhiều công ty sử dụng DLP và các công cụ mã hóa. Nhưng vấn đề nằm ở nhân tố con người, và nhiều người không coi trọng lắm các công nghệ này.”