Bảy cách quản lý hiệu quả quyền riêng tư dữ liệu và rủi ro bảo mật thông tin

Khi toàn cầu hóa đưa thế giới lại gần nhau hơn, nghĩa vụ bảo mật dữ liệu của doanh nghiệp không còn bị giới hạn ở vị trí địa lý. Quy định bảo vệ dữ liệu chung (GDPR) đã thay đổi cách người dân Châu Âu có thể kiểm soát dữ liệu. Singapore rất coi trọng việc bảo mật dữ liệu kinh doanh và đã xây dựng Đạo luật bảo vệ dữ liệu cá nhân (PDPA) từ năm 2013. PDPA phối hợp với các đạo luật bảo vệ dữ liệu đặc thù theo ngành như Đạo luật ngân hàng và Đạo luật bảo hiểm.^[1]

Chỉ riêng trong Năm tài chính 2021, đã có 178 vụ vi phạm dữ liệu được báo cáo, đánh dấu sự gia tăng đáng kể so với 108 vụ vi phạm được ghi nhận trong năm trước đó. Điều này thể hiện mức tăng đáng kể là 66% về tổng số vụ vi phạm dữ liệu được báo cáo. Các nghiên cứu thị trường cho thấy tội phạm mạng có thể gây thiệt hại hơn 8 tỷ đô la trên toàn cầu vào năm 2023 và tội phạm có thể xâm phạm 93% hệ thống mạng doanh nghiệp.^[2]

Trong bài viết này, chúng tôi thảo luận chi tiết hơn về tiêu chuẩn an ninh mạng ISO/IEC 27001.

CÁC LOẠI RỦI RO AN NINH MẠNG 

Các mối đe dọa an ninh mạng tiếp tục gia tăng về quy mô, rủi ro và độ phức tạp. Rủi ro là tổng khả năng xảy ra của mối đe dọa và ảnh hưởng của nó. Các mối đe dọa an ninh mạng phổ biến là:

1. Tấn công phần mềm độc hại – Đó là quá trình dụ dỗ người dùng nhấp vào liên kết hoặc điền vào biểu mẫu trên một trang web giả mạo. Phần mềm độc hại còn khai thác lỗ hổng của trình duyệt web hoặc hệ điều hành để xâm nhập vào máy tính của người dùng. Sau đó, phần mềm độc hại sẽ giám sát hoạt động của người dùng và gửi dữ liệu cho tin tặc. Các loại tấn công bằng phần mềm độc hại bao gồm một loại phần mềm ác tính (trojan horse), mã độc tống tiền, sâu máy tính (worms), trình quét, phần mềm gián điệp, phần mềm độc hại không có tệp và thao túng trang web.
2. Tấn công kỹ thuật xã hội – Những cuộc tấn công này sử dụng các yếu tố kích hoạt tâm lý để thao túng người dùng tiết lộ thông tin nhạy cảm. Các cuộc tấn công kỹ thuật xã hội phổ biến nhất là:
   
   a. Lừa đảo – Các liên kết hoặc email lừa đảo xuất phát từ các nguồn hợp pháp nhằm dụ người dùng cung cấp thông tin nhạy cảm.
   
   b. Quảng cáo độc hại – Quảng cáo trực tuyến mà tin tặc kiểm soát và sử dụng để cài đặt phần mềm độc hại vào máy tính chỉ bằng cách nhấp hoặc xem.
   
   c. Tải thông tin – Tấn công này xâm phạm trang web bằng cách sử dụng các lỗ hổng của trình duyệt hoặc hệ điều hành và cài đặt phần mềm độc hại khi người dùng truy cập trang web.
   
   d. Chương trình máy tính độc hại (Scareware) – Phương pháp này đánh lừa người dùng bằng cách thuyết phục rằng họ đã tải xuống nội dung bất hợp pháp. Sau đó, đưa ra bản sửa lỗi dẫn đến việc người dùng tải xuống và cài đặt phần mềm độc hại.
   
   e. Bẫy mật ong (Honey trap) – Tin tặc giả mạo danh tính, thường là một phụ nữ hấp dẫn và dụ người dùng cung cấp thông tin nhạy cảm.
   
   f. Đi nhờ hoặc bám đuôi – Hành động đe dọa xâm nhập vào một toà nhà an toàn theo sau người được ủy quyền. 
3. Tấn công chuỗi cung ứng phần mềm – Cuộc tấn công này khai thác các liên kết yếu trong bản cập nhật phần mềm để tự cài đặt vào hệ thống chuỗi cung ứng hoặc CNTT của doanh nghiệp. Nó khai thác niềm tin của các doanh nghiệp dành cho các bản cập nhật phần mềm của các nhà cung cấp bên thứ ba.
4. Các mối đe dọa liên tục nâng cao (APT) – APT thường tác động đối với các doanh nghiệp lớn, quốc gia, chính phủ và các mục tiêu có giá trị cao khác. Chúng có xu hướng ẩn mình trong thời gian dài khi lấy cắp dữ liệu nhạy cảm.
5. Tấn công từ chối dịch vụ (DDoS) – Các cuộc tấn công DDoS nhằm mục đích áp đảo tài nguyên hệ thống và khiến ngừng hoạt động cũng như từ chối quyền truy cập của người dùng hợp pháp. Tin tặc xâm phạm nhiều hệ thống phân tán theo địa lý và sử dụng chúng để nhắm mục tiêu vào một doanh nghiệp.
6. Tấn công MitM (Man-in-the-middle) – Kẻ tấn công tự đặt mình vào giữa người dùng và hệ thống từ xa. Trong khi người dùng nghĩ rằng họ đang truy cập một máy chủ từ xa, nhưng họ lại đang điền tất cả thông tin nhạy cảm vào một hệ thống trung gian.
7. Tấn công mật khẩu – Tin tặc sử dụng các phương pháp khác nhau như nghe trộm (sniffing), kỹ thuật xã hội, đoán mò, hoặc tấn công brute-force (kiểu tấn công được dùng cho tất cả các loại mã hóa) hoặc tấn công từ điển để truy cập mật khẩu hệ thống và kết nối với mạng.
   
   

CÁCH THỨC TỔ CHỨC CÓ THỂ ĐÁP ỨNG CÁC QUY ĐỊNH PHÁP LÝ NGHIÊM NGẶT DỰA TRÊN TIÊU CHUẨN IEC VÀ ISO

Các doanh nghiệp cần phải tự bảo vệ mình trước những cuộc tấn công mạng như vậy. Các cuộc tấn công có thể được nhà nước tài trợ hoặc từ những kẻ khủng bố, gián điệp công nghiệp, nhóm tội phạm, những kẻ tấn công, tin tặc mũ đen hoặc những kẻ nội gián độc hại. Doanh nghiệp có thể thực hiện các bước sau để đáp ứng các quy định về an ninh mạng theo tiêu chuẩn IEC và ISO:

Thiết lập Hệ thống quản lý an ninh thông tin (ISMS)

Các yêu cầu ISMS trong ISO/IEC 27001 xác định cách thức doanh nghiệp quản lý rủi ro đối với con người, quy trình, dịch vụ và công nghệ. Sử dụng ISMS, doanh nghiệp có thể quản lý các mối đe dọa, lỗ hổng và tác động cũng như thiết kế các biện pháp kiểm soát để bảo vệ tính bảo mật, toàn vẹn và sẵn có của dữ liệu.

Doanh nghiệp có thể điều chỉnh và hạn chế quyền truy cập vào các hệ thống và mạng quan trọng, đồng thời đáp ứng các yêu cầu pháp lý, quy định và hợp đồng.

Tiến hành đánh giá độc lập

Đánh giá chứng nhận ISMS độc lập đảm bảo doanh nghiệp tuân thủ tiêu chuẩn ISO/IEC 27001. Thông qua đánh giá, doanh nghiệp có thể chứng minh cách thức quản lý rủi ro mạng của mình tuân thủ các luật và quy định về an ninh mạng của địa phương, quốc gia và quốc tế như GDPR ở Liên minh Châu Âu, CCPA ở California và PDPA ở Singapore.

Triển khai Hệ thống quản lý thông tin quyền riêng tư (PIMS)

ISO/IEC 27701, phần mở rộng của ISO/IEC 27001, cung cấp chương trình kiểm soát hoạt động toàn diện giúp doanh nghiệp triển khai, duy trì và cải tiến PIMS. Nó đưa ra các khuyến nghị theo GDPR của EU, luật về quyền riêng tư dữ liệu và an ninh mạng để có các biện pháp kỹ thuật và tổ chức phù hợp.

Có kế hoạch ứng phó sự cố

Kế hoạch ứng phó sự cố giúp doanh nghiệp tránh được rủi ro kiện tụng. Việc này đảm bảo rằng doanh nghiệp tuân thủ các yêu cầu thông báo vi phạm của luật bảo mật dữ liệu áp dụng ở quốc gia địa phương. ISO 22301 cung cấp các nguyên tắc để quản lý sự cố và chuẩn bị ứng phó.

Đảm bảo các nhà cung cấp là một phần trong chiến lược an ninh mạng của doanh nghiệp

Nhà cung cấp là một phần không thể thiếu trong hoạt động của doanh nghiệp và chiến lược giảm thiểu rủi ro pháp lý của doanh nghiệp phải cân nhắc điều đó. Chiến lược quản lý rủi ro của doanh nghiệp cũng nên bao gồm hồ sơ rủi ro của các nhà cung cấp.

Tham gia bảo hiểm an ninh mạng

Các doanh nghiệp phải có bảo hiểm an ninh mạng để trang trải mọi chi phí pháp lý hoặc mức phạt do yêu cầu bồi thường hoặc vụ kiện tập thể.

KẾT LUẬN

Các biện pháp an ninh mạng chủ động giúp doanh nghiệp tránh khỏi các vụ kiện tụng, tổn hại đến danh tiếng và gián đoạn hoạt động kinh doanh. Mặc dù khả năng doanh nghiệp không gặp phải cuộc tấn công mạng ít hơn nhưng doanh nghiệp có thể giảm thiểu rủi ro đáng kể bằng cách có kế hoạch chiến lược tuân thủ tiêu chuẩn ISO/IEC 27001.

Tốt nhất là nên có một tổ chức chứng nhận ISO/IEC 27001 đáng tin cậy để đáp ứng các yêu cầu về quy định PDPA và luật an ninh mạng tại Singapore.

TÜV SÜD cung cấp đào tạo cho:

Nhấn vào đây để xem tất cả các khóa đào tạo

Nguồn tham khảo:

1. https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
2. https://cybersecurityventures.com/top-5-cybersecurity-facts-figures-predictions-and-statistics-for-2021-to-2025/