Ngành an ninh mạng cần phải có giải pháp bảo mật dữ liệu của bên thứ ba
Chủ trì cuộc thảo luận, ông Brian Herr, Giám đốc an ninh thông tin (CISO) tại Mainline Information Systems (công ty đối tác công nghệ có trụ sở tại Mỹ) nhấn mạnh, việc các tổ chức ngày càng phụ thuộc vào các bên thứ ba có nghĩa là ngày càng có nhiều bên có khả năng truy cập vào thông tin bí mật của tổ chức. Ông giải thích, các tổ chức đang cho quyền truy cập dữ liệu ngoài tầm kiểm soát của họ, đồng thời cho biết hành lang quy định và pháp lý đang cố gắng đi sâu vào vấn đề này và nó đang thay đổi hoạt động của các tổ chức.
Quy định Chung về Bảo vệ dữ liệu (GDPR) của EU thường được coi là tiên phong cho các quy định bảo vệ dữ liệu, trong khi các quốc gia khác như Mỹ bắt đầu theo sau với các quy định riêng. Hiện nay, có một số điều cần làm rõ trong GDPR liên quan đến quyền truy cập dữ liệu của bên thứ ba, có thể có tác động trên toàn thế giới. Ông Patrick Burke, cựu luật sư về quy định và quyền riêng tư tại Philip Nizer (công ty luật có trụ sở tại New York, Mỹ) đã chỉ ra rằng, ngày càng có nhiều vấn đề tập trung vào các bên thứ ba. Theo GDPR, các tổ chức cần phải chịu trách nhiệm một cách rõ ràng để vượt qua các đánh giá rủi ro và các đánh giá, kiểm tra khác khi chuyển giao dữ liệu cho bên thứ ba.
Ông Burke lưu ý rằng, trong một số trường hợp gần đây, án phạt được đưa ra bởi Văn phòng Ủy viên Thông tin của Anh (ICO) đối với BA (Hãng Hàng không Quốc gia Anh), Marriott (chuỗi khách sạn quốc tế) và Ticketmaster (công ty bán vé trực tuyến tại Anh), có người lập luận rằng các bên thứ ba phải chịu trách nhiệm. Nhưng trong những trường hợp này, ICO cho biết đó là trách nhiệm của chính các tổ chức, họ hoàn toàn không đổ lỗi cho các bên thứ ba phải chịu trách nhiệm. Điều này là do họ đã không thực hiện trách nhiệm tuân theo các quy trình cần thiết.
Ông Burke nói thêm rằng, các nguyên tắc tương tự cũng được áp dụng trong Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA).
Ông Dimitri Nemirovsky, đồng sáng lập và là Giám đốc Vận hành (COO) tại Atakama cũng đồng tình, cho rằng các tổ chức cuối cùng vẫn là bên kiểm soát những gì xảy ra với dữ liệu của họ. Trong một môi trường ngày càng được số hóa nhiều hơn, ông không nghĩ rằng tổ chức có thể tồn tại mà không cần sử dụng bên thứ ba dưới hình thức này hay hình thức khác. Trong bối cảnh này, điều quan trọng là các tổ chức phải tìm ra cách tiếp cận phù hợp để đảm bảo duy trì tính toàn vẹn của dữ liệu giao cho các bên thứ ba. Cũng theo ông Nemirovsky, điều thực sự quan trọng là tổ chức phải kiểm tra những công cụ đang sử dụng, để sử dụng nó đúng theo cách mà tổ chức mong muốn.
Ông Nemirovsky cho biết, quản lý việc phân phối các khóa mã hóa là đặc biệt quan trọng để đạt được điều này. Ông cho rằng điều này thực sự liên quan đến vấn đề quản lý danh tính và quyền truy cập. Đó là do nếu thông tin đăng nhập của người dùng được ủy quyền bị xâm phạm, nếu khóa mã hóa bị lộ lọt thì tất cả dữ liệu sẽ được kẻ tấn công giải mã.
Do đó, xâm phạm tài khoản được cho là vấn đề bảo mật lớn nhất khi liên quan đến bên thứ ba, vì vi phạm vẫn có thể xảy ra ngay cả khi đã thực hiện đánh giá rủi ro đầy đủ. Ông Herr cho hay, đây sẽ trở thành một vấn đề rất lớn mà ngành an ninh mạng sẽ phải giải quyết. Cuối cùng, tổ chức cần hiểu và thực hiện mã hóa càng sát với dữ liệu người dùng càng tốt để những gì xảy ra ở giữa là không quan trọng.
Đỗ Đoàn Kết
(Theo InfoSecurity)