Doanh nghiệp đối phó với việc đánh cắp dữ liệu như thế nào

Nguyễn Khánh My

“Chúc mừng bạn đã có chiếc xe mui trần mới!”…  Email từ một đại lý xe hơi xác nhận việc bạn mua một chiếc xe hơi hoàn toàn mới, kèm theo đầy đủ thông tin cá nhân và thông tin thẻ tín dụng của bạn.

Vấn đề duy nhất là bạn chưa bao giờ mua chiếc xe đó.

Câu chuyên này minh họa cho tình trang đánh cắp danh tính và gian lận trực tuyến đang trở nên phổ biến hơn bao giờ hết. Một nghiên cứu gần đây của IBM cho thấy thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm là nguyên nhân gây ra 19% các vụ vi phạm dữ liệu trong năm nay. Chỉ riêng tại Singapore, hơn 200 triệu đô la Singapore đã bị mất vào các vụ lừa đảo, chủ yếu trên mạng, trong nửa đầu năm 2022.

Chưa kể đến tác động về uy tín và tài chính của những vi phạm như vậy đối với các doanh nghiệp, từ mất khách hàng đến doanh thu bị mất. Trên thực tế, chi phí trung bình cho một vụ vi phạm dữ liệu đã tăng hơn 12% từ 3,86 đô la Mỹ lên 4,35 triệu đô la Mỹ kể từ năm 2020.

Tin tốt là các luật được thiết kế để bảo vệ và lưu giữ dữ liệu của chúng tôi đang ngày càng phát triển.

Ở Châu Á, nhiều quy định pháp lý đã cập nhật đáng kể các chế độ bảo vệ dữ liệu của họ, tạo ra một môi trường nơi dữ liệu được bảo vệ cẩn thận hơn.

Singapore gần đây đã thực hiện các sửa đổi đối với Đạo luật Bảo vệ Dữ liệu Cá nhân (PDPA), bao gồm các thông báo bắt buộc cho Ủy ban Bảo vệ Dữ liệu Cá nhân và các hình phạt tài chính cao hơn đối với các vi phạm dữ liệu. Tại Nhật Bản, các sửa đổi tương tự và hơn thế nữa, đã được thực hiện đối với Đạo luật Bảo vệ Thông tin Cá nhân (APPI). Có thể nói rằng bối cảnh bảo mật dữ liệu của châu Á đang ‘độ hoàn thiện’.

Tuy nhiên, điều này cũng có nghĩa là bối cảnh pháp lý phức tạp và nhiều thách thức hơn để điều chỉnh. Làm thế nào để các doanh nghiệp có thể theo dõi và giải quyết triệt để quyền riêng tư của dữ liệu?

Để bắt đầu, đây là ba bước chính cần xem xét theo khuyến nghị của Anna Russell, Phó Chủ tịch Toàn cầu, Chiến lược, Bảo vệ và Quyền riêng tư Dữ liệu cá nhân, Micro Focus

1. Biết dữ liệu của bạn

Tin hay không thì tùy, hầu hết các doanh nghiệp không biết dữ liệu nhạy cảm của họ ở đâu hoặc liệu họ có dữ liệu nhạy cảm hay không.

Dữ liệu nhạy cảm và rủi ro có thể không chỉ xuất hiện trong email, tài liệu và ứng dụng kinh doanh mà còn trong các tệp đa phương tiện như bản ghi âm, hình ảnh và video.

Hơn nữa, không phải tất cả dữ liệu mà một tổ chức lưu trữ đều nằm trong phạm vi của các quy định của các quốc gia, có nguy cơ vô tình không tuân thủ nếu không được xác định. Với dữ liệu đến từ nhiều nguồn và ở nhiều định dạng, việc xác định thông tin nhạy cảm và tuân thủ có vẻ như là một nhiệm vụ không thể vượt qua.

Đây là nơi mà các giải pháp khám phá dữ liệu có thể chứng minh hiệu quả. Các công cụ khám phá dữ liệu có thể xác định thông tin nhạy cảm từ dữ liệu phi cấu trúc hoặc dữ liệu có cấu trúc lên đến 1.000 định dạng và sau đó lập hồ sơ rủi ro của dữ liệu này. Nhiều giải pháp như vậy ngày nay cũng được trang bị khả năng tuân thủ để xác định phần nào của thông tin được lưu trữ, bao gồm cả thông tin nhận dạng cá nhân, tuân theo các quy định và luật pháp địa phương. Điều này cuối cùng làm giảm gánh nặng tuân thủ đối với doanh nghiệp.

2. Làm cho dữ liệu của bạn trở nên vô dụng đối với tin tặc

Dữ liệu nhạy cảm là mồi nhử cho tin tặc và trong khi chúng ta không thể đảm bảo rằng dữ liệu sẽ không bị xâm phạm, các doanh nghiệp có thể ngăn chặn thiệt hại bằng cách đảm bảo tin tặc không lấy được giá trị từ thông tin bị đánh cắp.

Thực hiện điều này bằng cách tận dụng công nghệ ngăn không cho dữ liệu được liên kết với danh tính, một quá trình được gọi là mã hóa. Dữ liệu nhạy cảm được mã hóa và liên kết với các mã thông báo duy nhất để người dùng được ủy quyền vẫn có thể nhìn thấy dữ liệu đó ở định dạng ban đầu, nhưng các tác nhân độc hại không thể xem hoặc sử dụng dữ liệu. Bằng cách này, thông tin sẽ trở nên vô dụng đối với tin tặc.

3. Thực thi các chính sách và kiểm soát bảo mật

Chiến lược bảo mật dữ liệu end-to-end cũng phải đi kèm với các chính sách quản lý danh tính và quyền truy cập cũng như phát hiện mối đe dọa để tăng cường bảo vệ.

Ví dụ, điều quan trọng là phải xác định ai có quyền truy cập vào dữ liệu nhạy cảm, cách họ có thể sử dụng dữ liệu đó và các rủi ro liên quan. Đồng thời, có khả năng xác định các dấu hiệu ban đầu của các vi phạm tiềm ẩn bằng công nghệ có thể cho phép các hoạt động kiểm soát  bảo mật và ngăn chặn vi phạm ngay từ đầu.

Về lâu dài, điều này không chỉ giúp bảo mật dữ liệu mà còn tránh bị phạt tài chính nếu vi phạm, theo quy định của pháp luật

Đối với các doanh nghiệp muốn hoạt động ở châu Á, ba bước này là cần thiết để duy trì khả năng cạnh tranh trong bối cảnh pháp lý đa dạng, phức tạp và đang phát triển.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *