Doannh nghiệp cần làm gì để bảo vệ dữ liệu cá nhân người dùng? – Cyber Talk 18/7/2024

du lieu ca nhan 1

Sáng ngày 18/7/2024, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) đã tổ chức sự kiện trực tuyếnCyber Talk: Bảo vệ dữ liệu nhân – Quyền trách nhiệm của doanh nghiệp“. Các chuyên gia đã tham gia giải đáp các thắc mắc trong việc thực thi các quy định về bảo mật dữ liệu nói chung bảo vệ dữ liệu nhân theo quy định của pháp luật cũng như hiểu đúng về mức độ quan trọng của dữ liệu trong thời đại số.

Hậu quả khi Doanh nghiệp làm mất dữ liệu cá nhân! 

Sự kiện mở đầu bằng những con số đáng báo động về những vi phạm trong các cuộc rò rỉ dữ liệu cá nhân trên thế giới cũng như tại Việt Nam. Trong báo cáo an ninh mạng 2023 của Công ty Cổ phần an ninh mạng Việt Nam (VSEC) đã tổng hợp cho thấy:  

  • Việt Nam đứng đầu Top 10 quốc gia là mục tiêu tấn công bởi phần mềm độc hại InfosTealer tại khu vực CA-TBD theo CyberInt Châu Á năm 2023 
  • Tỷ lệ sự cố về truy cập trái phép và chiếm quyền điều khiển đang có tỷ trọng lớn nhất, chủ yếu tập trung vào nhóm BFSI. Với tổng số gần 150,000 sự cố bảo mật và gần 2.700 lỗ hổng bảo mật.  
  • Tháng 4/2024 vừa qua, một công ty tài chính Việt Nam đã bị tấn công mã hóa dữ liệu khiến giá trị vốn hóa của họ “bay hơi” 1.800 tỷ và kéo theo nhiều hệ luy sau đó. 
  • Trên thế giới, có thể kể tến các ông lớn như Google bị phạt 50 triệu Euro bởi Cơ quan Bảo vệ Dữ liệu của Pháp do không minh bạch trong việc thu thập dữ liệu thông tin, Meta cũng phải chịu bồi thường 5 tỷ USD do tự ý chia sẻ thông tin của 87 triệu người dùng Facebook cho bên thứ ba. 

Theo Nghị định số 13/2023/NĐ-CP về bảo vệ thông tin cá nhân đã quy định chi tiết về việc bảo vệ thông tin cá nhân và trách nhiệm của các tổ chức, cá nhân xử lý thông tin cá nhân. Vi phạm có thể dẫn đến các biện pháp xử lý hành chính, phạt tiền  thậm chí truy cứu trách nhiệm hình sự.  

du lieu ca nhan 3

Việt Nam đứng đầu Top 10 quốc gia là mục tiêu tấn công bởi phần mềm độc hại tại khu vực châu Á – Thái Bình Dương theo CyberInt Châu Á năm 2023 

Dữ liệu cá nhân là “tài sản vô hình” và “có giá” 

Dữ liệu cá nhân là thông tin của khách hàng hoàn toàn có thể trở thành “tài sản” quan trọng của doanh nghiệp. Mặc nội dung loại tài sảndữ liệunày không hiện hữu trên bảng tài chính của kế toán nhưng các doanh nghiệp hoàn toàn thể tạo ra doanh thu lớn từ việc khai tc dữ liệu này trong quá trình hoạt động kinh doanhtheo Luật sư Trần Thanh TùngCông ty Global Vietnam Lawyers chia sẻ.

du lieu ca nhan 2

Dữ liệu cá nhân là tài sản… “có giá”

Các đối thủ có thể mua lại hoặc đánh cắp những dữ liệu cá nhân này để hiểu rõ hơn về hành vi, sở thích và nhu cầu của khách hàng, thậm chí có thể lôi kéo khách hàng từ doanh nghiệp bị đánh cắp dữ liệu. Chỉ riêng việc theo đuổi kiện đối thủ cạnh tranh vô cùng khó khăn, tốn thời gian, chi phí và rất khó để chứng minh. Điều này không chỉ làm giảm uy tín của doanh nghiệp bị mất dữ liệu mà còn gây tổn thất tài chính nghiêm trọng. 

Bản chất của sự thất thoát, lộ lọt dữ liệu không chỉ là thông tin mà những hậu quả kéo theo sau đó. Ông Tùng cũng nhấn mạnh việc bảo vệ dữ liệu không chỉ là trách nhiệm pháp lý mà còn là yếu tố quyết định sự tin tưởng của khách hàng đối với doanh nghiệp. Do đó, để bảo vệ thông tin cá nhân là một quá trình dài hơi và phải bắt đầu từ chính tư duy của doanh nghiệp: cần xây dựng hệ thống kiểm soát thông tin, đừng đợi xảy ra sự cố mới đi xử lý. Đôi khi, do không chuẩn hoá việc quản lý dữ liệu thông tin mà việc lộ lọt dữ liệu lại xảy ra từ chính nội bộ chứ chưa cần chờ tin tặc tấn công.  

Thay đổi nhận thức để tránh bị “phạt nguội” 

Trong bối cảnh hiện nay, doanh nghiệp cần nhận thức đúng về tầm quan trọng của dữ liệu cá nhân. Với tâm lý, dữ liệu khách hàng là tài sản dễ dàng có được trong quá trình cung cấp dịch vụ cho khách hàng, nhiều doanh nghiệp có thể chia sẻ dữ liệu với bên thứ ba mà không hề quan tâm hay được cảnh báo về các quy định pháp luật về bảo vệ dữ liệu cá nhân. Điều này dẫn đến hệ luy, một là không có quy trình quản lý dẫn đến lộ lọt thông tin do chính cá nhân nội bộ doanh nghiệp gây ra; hai là không thắt chặt các biện pháp bảo vệ dẫn đến tin tặc tấn công lấy cắp; và ba là có thể bị phạt bởi thiếu hiểu biết về các quy định từ luật pháp bảo vệ dữ liệu người dùng.  

Ông Trương Đức Lượng, Chủ tịch HĐQT VSEC cho rằng “Thay vì coi dữ liệu là “cho không” và “xài đồ chùa” khiến doanh nghiệp đánh giá thấp mức độ quan trọng của dữ liệu khách hàng. Doanh nghiệp cần xem dữ liệu là tài sản quý giá, cần được bảo vệ và khai thác hiệu quả. Điều này không chỉ giúp doanh nghiệp tăng cường uy tín và lòng tin của khách hàng mà còn tạo ra lợi thế cạnh tranh bền vững trong bối cảnh kinh doanh ngày càng dựa vào dữ liệu.” 

Doanh nghiệp cần làm gì để bảo vệ mình? 

Để bảo vệ tài sản dữ liệu cá nhân và đồng thời bảo vệ chính mình, doanh nghiệp cần triển khai một loạt các biện pháp bảo mật toàn diện. Về góc độ an ninh mạng, tùy thuộc vào quy mô, ngân sách và mục đích sử dụng, các doanh nghiệp sẽ lựa chọn những giải pháp phù hợp với mình.  

Giải pháp đối với tất cả các doanh nghiệp hiện nay chính là ý thức trong vấn đề bảo mật an toàn thông tin. Điều này không chỉ thể hiện ở cấp nhân viên mà nó phải xuất phát từ các cấp lãnh đạo – trực tiếp ban hành các chính sách và đưa ra hành động cụ thể cũng như dành ngân sách cho việc đầu tư hệ thống đảm bảo dữ liệu thông tin. Bên cạnh đó, doanh nghiệp cần xây dựng các quy trình quản lý dữ liệu chặt chẽ, bao gồm chính sách thu thập, lưu trữ, và sử dụng dữ liệu rõ ràng, cùng với việc triển khai các biện pháp kiểm soát truy cập để đảm bảo rằng chỉ những người có quyền mới có thể truy cập dữ liệu nhạy cảm. Đồng thời, doanh nghiệp cần đào tạo nhân viên về các quy định và thực hành tốt nhất liên quan đến bảo mật dữ liệu, để đảm bảo rằng họ nhận thức được tầm quan trọng của việc bảo vệ thông tin cá nhân và tuân thủ các chính sách bảo mật của công ty. Đây là những việc mà doanh nghiệp hoàn toàn có thể tự chủ động triển khai được mà không tốn nhiều chi phí.  

Đối với các doanh nghiệp lớn hoặc doanh nghiệp đang sở hữu nhiều dữ liệu quan trọng và là cơ sở chính trong hoạt động kinh doanh thì nên thực hiện định kỳ hoạt động về audit hay pentest (kiểm toán hệ thống công nghệ thông tin, kiểm thử xâm nhập), giám sát an toàn thông tin bao gồm các giải pháp liên quan đến theo dõi, phòng vệ và chống lộ lọt dữ liệu (Data Loss Prevention – DLP, Brand protection, Threat Intelligence…). Còn đối với các doanh nghiệp vừa và nhỏ, nên sử dụng các nền tảng đang có sẵn thịnh hành như các giải pháp trên môi trường điện toán đám mây để quản trị nhân sự, sale, CRM… cũng như tối ưu chi phí theo quy mô vận hành.  

Các phần mềm diệt virus hiện tại đang dùng không phải là câu trả lời cho toàn bộ sự lo lắng về ATTT của mọi người, nó chỉ đạt 40% đến 60% mà thôi, còn lại vẫn cần vào sự nỗ lực của các chuyên gia hoặc các công cụ bảo mật khác.” – Ông Lượng nhấn mạnh. 

Về góc độ tư vấn luật pháp, Luật sư Trần Thanh Tùng cho rằng “Pháp luật về An ninh mạng bảo vệ dữ liệu cá nhân tại Việt Nam trong thời gian tới sẽ có thêm nhiều cập nhật bổ sung, đặc biệt trong vấn đề quy định về mức phạt đối với việc làm lộ lọt dữ liệu. Tại Việt Nam, chưa có luật quy định về kiện tập thể hay hình thức bồi thường tập thể do làm thất thoát dữ liệu cá nhân như nước ngoài, nhưng chắc chắn sẽ có quy định về mức phạt dành cho doanh nghiệp từ phía các cơ quan nhà nước. Và việc này sẽ được thực thi một cách nghiêm túc”. Chính vì vậy, việc các doanh nghiệp cần đặt mức độ quan tâm đúng với việc bảo mật dữ liệu, từ đó sẽ đưa ra các hành động đúng nhằm bảo vệ dữ liệu người dùng/ khách hàng của mình cũng là bảo vệ chính doanh nghiệp.  

Tìm hiểu thêm về VSEC và chia sẻ trong Cyber Talk, vui lòng liên hệ Hotline: 1800 2056 / 091 800 2056 hoặc truy cập website: https://vsec.com.vn/ để biết thêm thông tin chi tiết.