404 Not Found
Writer
Việc Chính phủ ban hành Nghị định 119/2024/NĐ-CP, yêu cầu toàn bộ chủ phương tiện chuyển đổi tài khoản thu phí không dừng VETC, ePass sang tài khoản giao thông trước ngày 1/10/2025, được đánh giá là một bước tiến lớn trong hiện đại hóa hạ tầng giao thông đường bộ. Quy định mới giúp quản lý thu phí minh bạch hơn, giảm bớt tình trạng thất thoát và tạo điều kiện cho người dân thanh toán dễ dàng qua các kênh điện tử. Thế nhưng, phía sau những lợi ích đó là một loạt thách thức về bảo mật và quyền riêng tư mà cả cơ quan quản lý lẫn người dân không thể coi nhẹ.
Trước hết, việc mở tài khoản giao thông đòi hỏi người dùng phải cung cấp nhiều thông tin nhạy cảm như căn cước công dân gắn chip, dữ liệu sinh trắc học khuôn mặt, biển số xe, cùng thông tin tài chính khi liên kết với ngân hàng hoặc ví điện tử. Đây là một “gói dữ liệu vàng” mà nếu rơi vào tay kẻ xấu, hậu quả sẽ khó lường. Các chuyên gia an ninh mạng WhiteHat nhận định: dữ liệu khi bị rò rỉ không chỉ ảnh hưởng đến danh tính cá nhân mà còn có thể bị sử dụng để dựng lại toàn bộ hành trình đi lại, phục vụ các mục đích xấu như giám sát, theo dõi hoặc lừa đảo tài chính.
Một nguy cơ khác nằm ở chính hạ tầng kỹ thuật. Hệ thống thu phí không dừng ghi nhận chi tiết thời gian, địa điểm và biển số mỗi lần phương tiện qua trạm. Nếu dữ liệu này bị truy cập trái phép, kẻ gian hoàn toàn có thể dựng lại lộ trình sinh hoạt hằng ngày của chủ phương tiện, từ đó biến dữ liệu giao thông thành một dạng “hồ sơ đời tư số”. Thêm vào đó, các ứng dụng quản lý tài khoản như VETC hay ePass cũng có thể trở thành mục tiêu tấn công của tin tặc. Chỉ cần một lỗ hổng trong quá trình xác thực hoặc trong phần mềm di động, kẻ gian đã có cơ hội chiếm quyền kiểm soát tài khoản, thậm chí rút tiền trái phép thông qua liên kết ngân hàng.
Đáng lo ngại hơn, các chuyên gia WhiteHat cũng cảnh báo về nguy cơ gia tăng các chiến dịch lừa đảo trực tuyến trong giai đoạn chuyển đổi. Khi một chính sách được áp dụng rộng rãi, tội phạm mạng sẽ lập tức lợi dụng để tung ra các website hoặc ứng dụng giả mạo. Chỉ cần một cú nhấp chuột bất cẩn, người dùng có thể tự tay trao thông tin căn cước, số tài khoản ngân hàng và cả mã OTP cho kẻ xấu.
Ngoài những rủi ro trực tiếp, cần lưu ý đến những nguy cơ mang tính hệ thống. Việc dữ liệu phải luân chuyển qua nhiều khâu, từ nhà thầu, đơn vị vận hành cho tới các đối tác cung cấp dịch vụ, sẽ làm gia tăng độ phức tạp và khả năng xuất hiện lỗ hổng. Thêm vào đó, rủi ro nội bộ cũng không thể bỏ qua khi nhân viên có quyền truy cập hệ thống có thể vô tình hoặc cố ý làm lộ dữ liệu nhạy cảm.
Trong bối cảnh tội phạm mạng liên tục nâng cao kỹ thuật, các hạ tầng quan trọng như hệ thống thu phí không dừng có thể trở thành mục tiêu tấn công quy mô lớn. Một sự cố an ninh mạng không chỉ gây gián đoạn vận hành mà còn ảnh hưởng trực tiếp tới sự tin tưởng của người dùng đối với dịch vụ số.
Để giảm thiểu rủi ro, chuyên gia WhiteHat đưa ra một số khuyến nghị cụ thể:
Đối với người dân:
Trước hết, việc mở tài khoản giao thông đòi hỏi người dùng phải cung cấp nhiều thông tin nhạy cảm như căn cước công dân gắn chip, dữ liệu sinh trắc học khuôn mặt, biển số xe, cùng thông tin tài chính khi liên kết với ngân hàng hoặc ví điện tử. Đây là một “gói dữ liệu vàng” mà nếu rơi vào tay kẻ xấu, hậu quả sẽ khó lường. Các chuyên gia an ninh mạng WhiteHat nhận định: dữ liệu khi bị rò rỉ không chỉ ảnh hưởng đến danh tính cá nhân mà còn có thể bị sử dụng để dựng lại toàn bộ hành trình đi lại, phục vụ các mục đích xấu như giám sát, theo dõi hoặc lừa đảo tài chính.
Một nguy cơ khác nằm ở chính hạ tầng kỹ thuật. Hệ thống thu phí không dừng ghi nhận chi tiết thời gian, địa điểm và biển số mỗi lần phương tiện qua trạm. Nếu dữ liệu này bị truy cập trái phép, kẻ gian hoàn toàn có thể dựng lại lộ trình sinh hoạt hằng ngày của chủ phương tiện, từ đó biến dữ liệu giao thông thành một dạng “hồ sơ đời tư số”. Thêm vào đó, các ứng dụng quản lý tài khoản như VETC hay ePass cũng có thể trở thành mục tiêu tấn công của tin tặc. Chỉ cần một lỗ hổng trong quá trình xác thực hoặc trong phần mềm di động, kẻ gian đã có cơ hội chiếm quyền kiểm soát tài khoản, thậm chí rút tiền trái phép thông qua liên kết ngân hàng.
Đáng lo ngại hơn, các chuyên gia WhiteHat cũng cảnh báo về nguy cơ gia tăng các chiến dịch lừa đảo trực tuyến trong giai đoạn chuyển đổi. Khi một chính sách được áp dụng rộng rãi, tội phạm mạng sẽ lập tức lợi dụng để tung ra các website hoặc ứng dụng giả mạo. Chỉ cần một cú nhấp chuột bất cẩn, người dùng có thể tự tay trao thông tin căn cước, số tài khoản ngân hàng và cả mã OTP cho kẻ xấu.
Ngoài những rủi ro trực tiếp, cần lưu ý đến những nguy cơ mang tính hệ thống. Việc dữ liệu phải luân chuyển qua nhiều khâu, từ nhà thầu, đơn vị vận hành cho tới các đối tác cung cấp dịch vụ, sẽ làm gia tăng độ phức tạp và khả năng xuất hiện lỗ hổng. Thêm vào đó, rủi ro nội bộ cũng không thể bỏ qua khi nhân viên có quyền truy cập hệ thống có thể vô tình hoặc cố ý làm lộ dữ liệu nhạy cảm.
Trong bối cảnh tội phạm mạng liên tục nâng cao kỹ thuật, các hạ tầng quan trọng như hệ thống thu phí không dừng có thể trở thành mục tiêu tấn công quy mô lớn. Một sự cố an ninh mạng không chỉ gây gián đoạn vận hành mà còn ảnh hưởng trực tiếp tới sự tin tưởng của người dùng đối với dịch vụ số.
Để giảm thiểu rủi ro, chuyên gia WhiteHat đưa ra một số khuyến nghị cụ thể:
Đối với người dân:
- Chỉ sử dụng ứng dụng chính thức từ nhà cung cấp, tránh cài đặt hoặc truy cập đường link không rõ nguồn gốc
- Kích hoạt xác thực đa lớp khi liên kết với ngân hàng nhằm tăng thêm lớp bảo vệ
- Thường xuyên kiểm tra sao kê để phát hiện kịp thời các giao dịch bất thường
- Nâng cao cảnh giác trước các cuộc gọi, tin nhắn mạo danh cơ quan chức năng hoặc ngân hàng, tuyệt đối không cung cấp mã OTP hay thông tin tài khoản cho bên thứ ba
- Áp dụng cơ chế mã hóa đầu cuối để bảo vệ dữ liệu trong quá trình truyền tải
- Phân tách rõ ràng dữ liệu tài chính và dữ liệu giao thông, giảm nguy cơ trở thành mục tiêu tấn công tập trung
- Thực hiện kiểm thử bảo mật định kỳ trên hệ thống và ứng dụng, bao gồm cả kiểm thử xâm nhập (penetration test) bởi đơn vị độc lập
- Xây dựng hệ thống giám sát an ninh theo thời gian thực (SIEM/SOC) để phát hiện sớm các dấu hiệu bất thường
- Áp dụng nguyên tắc Zero Trust trong quản lý truy cập, đảm bảo mọi kết nối đều phải được xác thực và giám sát
- Đẩy mạnh công tác truyền thông, cảnh báo người dân về các thủ đoạn lừa đảo trong giai đoạn chuyển đổi
- Xây dựng kế hoạch ứng phó sự cố (Incident Response Plan) chi tiết để giảm thiểu thiệt hại nếu xảy ra tấn công
Theo WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview