Chống trộm từ bên trong

Vào một đêm muộn tháng 3/2018, Zhang Changjie - nhân viên của công ty giao dịch định lượng Genk Capital - đã lén lút truy cập hệ thống công ty để sao chép gần 3.000 tập tin dữ liệu quan trọng, gửi vào email cá nhân, sau đó cẩn thận xóa sạch dữ liệu trên máy tính được cấp phát. Sáng hôm sau, anh ta sẽ bắt đầu công việc mới tại một công ty là đối thủ cạnh tranh của Genk Capital.

Vụ việc chỉ bị phát hiện khi thị trường râm ran tin đồn về một nhà giao dịch mới có phong cách, tốc độ và khối lượng giao dịch giống hệt Genk. Kết quả điều tra sau đó đã phơi bày sự thật: Dữ liệu bị đánh cắp bao gồm các mô hình giao dịch độc quyền cùng những dữ liệu lịch sử phân tích thị trường vô giá của Genk.

Vụ án Genk Capital phản ánh một thực trạng đáng báo động trong kỷ nguyên số: nguy cơ mất cắp tài sản trí tuệ (IP) từ chính nhân viên nội bộ. Ông Jevon Louis, luật sư thành viên tại hãng luật Shook Lin & Bok, cho hay Singapore đang ghi nhận số vụ kiện gia tăng mạnh mẽ liên quan đến việc nhân viên cũ hoặc nhà thầu chiếm đoạt bí mật thương mại.

Rủi ro này càng trở nên trầm trọng với xu hướng làm việc từ xa sau thời kỳ đại dịch COVID-19. Một khảo sát của công ty tư vấn IDC và công ty an ninh mạng Fortinet cho thấy, 74% công ty tại Singapore báo cáo gia tăng các sự cố đe dọa từ nội bộ. Trong khi đó, không phải doanh nghiệp nào – đặc biệt là các công ty khởi nghiệp (startup) – cũng đủ nguồn lực tài chính để trang bị hệ thống giám sát công nghệ thông tin đắt đỏ nhằm phát hiện những hành vi này.

Cuộc phản công của Genk

Ngay sau khi phát hiện vụ việc, Genk đã thực hiện các cuộc tấn công pháp lý song song trên cả hai mặt trận: Dân sự và Hình sự.

Về mặt dân sự, Genk kiện Zhang vi phạm quy định bảo mật, bản quyền và hợp đồng. Đáng chú ý, chiến lược của công ty không tập trung vào việc đòi bồi thường tiền bạc, mà thay vào đó yêu cầu tòa án ban hành lệnh cấm vĩnh viễn Zhang sử dụng dữ liệu đánh cắp. Mục tiêu của Genk là triệt tiêu lợi thế cạnh tranh không lành mạnh và gửi đi một thông điệp răn đe mạnh mẽ tới toàn bộ đội ngũ nhân viên còn lại.

Về mặt hình sự, Genk đã sử dụng quyền khởi tố dựa trên Đạo luật Lạm dụng Máy tính (CMA), với lập luận rằng việc sao chép dữ liệu trái phép về bản chất cũng chính là hành vi "truy cập trái phép" vào hệ thống máy tính. Kết quả, Zhang bị kết án vào tháng 6/2023 và nộp phạt 5.000 đô la Singapore. Một chi tiết đáng chú ý là vào thời điểm bị kết án, Zhang đã kịp leo lên vị trí Giám đốc điều hành (CEO) tại công ty mới là Theme International Trading.

Nhưng dù Genk giành chiến thắng, vụ việc cũng phơi bày những hạn chế trong hệ thống pháp luật hiện hành của Singapore. Luật sư Lim Ren Jun, người đại diện cho Genk trong vụ kiện hình sự, chỉ ra rằng Đạo luật CMA vốn được thiết kế để chống tội phạm tin tặc (hacker) chứ không chuyên biệt cho hành vi đánh cắp bí mật thương mại do nội gián thực hiện.

Khác với các quốc gia như Mỹ hay Anh – nơi có đạo luật liên bang bảo vệ bí mật thương mại, Singapore hiện chưa có khung pháp lý riêng biệt cho vấn đề này. Việc áp dụng các luật dân sự khác thường tốn kém, phức tạp và đòi hỏi nhiều thời gian. Luật sư Lim nhấn mạnh rằng trong bối cảnh công nghệ ngày một phát triển, Singapore cần suy nghĩ nghiêm túc về việc ban hành luật cụ thể đối với hành vi chiếm đoạt bí mật thương mại.

Phòng thủ đa lớp

Trước thực trạng trên, giới chuyên gia pháp lý tại Singapore khuyến nghị các doanh nghiệp cần chủ động thiết lập hệ thống phòng thủ đa lớp, kết hợp giữa quản trị nhân sự và công cụ pháp lý một cách chặt chẽ.

Biện pháp đầu tiên và tiết kiệm nhất là xây dựng các chính sách nội bộ nghiêm ngặt. Bà Chua Sher Hann, cố vấn tại hãng luật Linklaters, nhấn mạnh tầm quan trọng của việc kiểm soát các cổng kết nối như USB và hệ thống lưu trữ đám mây để ngăn chặn việc sao chép dữ liệu trái phép. Tuy nhiên, công nghệ chỉ là một phần của giải pháp. Các tổ chức cần đào tạo thường xuyên để nhân viên hiểu rõ giá trị và tính nhạy cảm của tài sản trí tuệ. Việc giáo dục giúp nhân viên nhận thức rõ ranh giới pháp lý, từ đó giảm thiểu nguy cơ vi phạm vô ý hoặc do thiếu hiểu biết.

Về mặt công cụ pháp lý, hợp đồng lao động và Thỏa thuận không tiết lộ thông tin (NDA) được xem là những vũ khí thiết yếu. Các chuyên gia luật khuyến nghị rằng những văn bản này cần quy định rõ ràng nghĩa vụ bảo mật, đảm bảo hiệu lực không chỉ trong thời gian làm việc mà còn ngay cả sau khi nhân viên đã rời đi. Đây là cơ sở pháp lý quan trọng nhất để phía tổ chức, doanh nghiệp khởi kiện nếu tranh chấp xảy ra.

Đặc biệt, quy trình xử lý nhân sự nghỉ việc được coi là chốt chặn cuối cùng để ngăn chặn tình trạng "chảy máu" dữ liệu. Theo các chuyên gia, quy trình này cần được thực hiện một cách toàn diện và chi tiết. Trước hết, doanh nghiệp phải hủy kích hoạt ngay lập tức tài khoản hệ thống cũng như thu hồi toàn bộ thiết bị và thẻ ra vào của nhân viên. Tiếp theo, bộ phận an ninh cần kiểm tra và xóa dữ liệu công ty trên các thiết bị cá nhân của nhân viên nếu họ từng sử dụng cho công việc. Cuối cùng, doanh nghiệp cần yêu cầu nhân viên ký văn bản xác nhận không còn lưu giữ bất kỳ tài liệu mật nào để ràng buộc trách nhiệm pháp lý về sau.

Nhìn lại vụ việc tại Genk Capital, đây là một lời nhắc nhở đắt giá đối với cộng đồng doanh nghiệp không chỉ tại Singapore mà còn các quốc gia khác. Trong thế giới số, tài sản quý giá nhất không nằm trong két sắt mà nằm trên các máy tính lẫn máy chủ lưu trữ dữ liệu. Việc bảo vệ khối tài sản này đòi hỏi một chiến lược tổng thể, kết hợp nhuần nhuyễn giữa quản trị nhân sự chặt chẽ, hạ tầng công nghệ an toàn và sự sẵn sàng hành động quyết liệt về mặt pháp lý khi cần thiết.