Các doanh nghiệp ở Liên minh châu Âu phải có chính sách mật khẩu tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR). Ngay cả khi doanh nghiệp không có trụ sở tại EU, các yêu cầu này vẫn áp dụng nếu doanh nghiệp đó có nhân viên hoặc khách hàng cư trú tại EU.
Bài viết này sẽ giới thiệu các yêu cầu của GDPR đối với mật khẩu và một số lời khuyên thực tế về cách thiết kế chính sách mật khẩu. Ngay cả khi GDPR có thể chưa cần thiết cho người dùng ngay lúc này nhưng các nguyên tắc cơ bản của kế hoạch quy định bảo vệ dữ liệu có thể giúp tăng cường bảo mật cho tổ chức của người dùng.
GDPR đã có hiệu lực kể ngày 25/5/2018, trong đó, 7 nguyên tắc cần tuân thủ khi xử lý dữ liệu bao gồm:
Tính hợp pháp, công bằng và minh bạch: Việc xử lý dữ liệu phải hợp pháp, công bằng và minh bạch đối với chủ thể dữ liệu;
Giới hạn mục đích: Mục đích xử lý dữ liệu phải hợp pháp và được thể hiện rõ ràng cho chủ thể dữ liệu khi thu thập;
Giảm thiểu dữ liệu: Chỉ thu thập và xử lý dữ liệu khi thực sự cần thiết cho các mục đích đã định;
Độ chính xác: Phải bảo đảm dữ liệu cá nhân là chính xác và cập nhật;
Giới hạn lưu trữ: Chỉ lưu trữ dữ liệu nhận dạng cá nhân trong thời gian cần thiết cho mục đích đã định;
Tính toàn vẹn và bảo mật: Việc xử lý dữ liệu phải được thực hiện trên cơ sở đảm bảo tính bảo mật, tính toàn vẹn và bảo mật thích hợp (ví dụ: bằng cách sử dụng mã hóa);
Trách nhiệm giải trình: Người kiểm soát dữ liệu có trách nhiệm chứng minh sự tuân thủ GDPR với tất cả các nguyên tắc này.
Nếu chỉ đọc văn bản, người dùng sẽ thấy GDPR không thực sự đề cập đến chính sách mật khẩu và cho bất kỳ một doanh nghiệp nào đều có thể thực hiện các chính sách mật khẩu của họ mà không phải lo ngại về việc tuân thủ GDPR. Tuy nhiên, GDPR sẽ tác động đến chính sách mật khẩu dưới phạm vi phòng ngừa.
Bất kỳ thông tin nào mà công ty thu thập từ khách hàng hoặc từ các nguồn khác đều cần được bảo vệ theo quy định của GDPR. Điều này có nghĩa là phải có các biện pháp bảo mật mạnh mẽ để ngăn chặn tin tặc hoặc người dùng khác truy cập trái phép vào dữ liệu này.
Như chúng ta đã biết, một trong những bước bảo mật kỹ thuật số quan trọng nhất trong việc bảo vệ bất kỳ dữ liệu nào là thiết lập mật khẩu.
Sau đây là một số phương pháp cần chú ý khi tạo chính sách mật khẩu mạnh để giữ an toàn cho hệ thống, đồng thời tuân thủ GDPR.
Sử dụng mật khẩu mạnh để tránh bị tấn công
Mật khẩu mạnh là mật khẩu đủ dài, có chứa cả chữ, số và ký tự đặc biệt, khó đoán được nên rất khó để bị tấn công. Ngày nay, thông tin xác thực bị đánh cắp và bị ép buộc là nguyên nhân hàng đầu gây ra vi phạm dữ liệu. Để bảo vệ dữ liệu trước các cuộc tấn công này, chính sách mật khẩu cần phải nghiêm cấm sử dụng các mật khẩu phổ biến và vi phạm.
Nhờ việc sử dụng lại mật khẩu, nhiều cuộc tấn công dựa trên thông tin xác thực sử dụng danh sách mật khẩu đã bị đánh cắp từ một hệ thống để nhắm mục tiêu một hệ thống khác. Các cơ quan chính phủ như NIST và NCSC khuyên người dùng không nên sử dụng các mật khẩu đã bị xâm phạm và dễ đoán. Đây là một trong những cách duy nhất để bảo vệ tài khoản, ngay cả khi việc cài đặt mật khẩu mạnh hơn được thực thi.
Không sử dụng các câu hỏi bí mật
Một thực tế phổ biến là người dùng thường thiết lập câu hỏi bí mật có thể được trả lời để mở khóa hoặc đặt lại mật khẩu trên tài khoản.
Những câu hỏi bí mật thường là những câu như “tên con vật bạn yêu thích nhất là gì?”, “trường học đầu tiên của bạn ở đâu?”, “biệt danh của bạn là gì?” Vì những loại câu hỏi này có thể dễ đoán câu trả lời, tốt nhất người dùng nên tránh chúng hoàn toàn.
Xem xét việc xác thực đa yếu tố
Một trong những cách tốt nhất để có thể cải thiện bảo mật mật khẩu là thực hiện xác thực đa yếu tố. Đây là nơi ngoài tên người dùng và mật khẩu, các yếu tố khác được sử dụng để xác minh, chứng thực người dùng.
Ví dụ: có thể là mật khẩu dùng một lần được tạo riêng cho người dùng trên thiết bị di động của họ trong quá trình xác thực.
Việc triển khai GDPR cho doanh nghiệp ngoài Liên minh châu Âu là một vấn đề khó khăn. Việc tuân thủ các biện pháp bảo vệ an ninh bổ sung sẽ bao gồm cơ sở hạ tầng dựa vào quan điểm pháp lý và phòng chống tấn công mạng. Các doanh nghiệp cần biết cách thức, lý do và thời điểm tuân thủ GDPR cho người dùng.
Khi triển khai chính sách mật khẩu cho tổ chức thì cần chú ý tuân thủ GDPR, nên sử dụng công cụ của bên thứ 3 để giúp chính sách mật khẩu tiếp cận được toàn bộ thư mục của người dùng cuối.
Ví dụ điển hình là Specops Password Policy, nó có thể giúp chặn các mật khẩu bị vi phạm và bị xâm phạm khác từ Active Directory. Trong quá trình thay đổi mật khẩu ở Active Directory, dịch vụ này sẽ chặn và thông báo cho người dùng nếu mật khẩu họ đã chọn được tìm thấy trong danh sách mật khẩu bị rò rỉ và sẽ có phản hồi để để họ tuân thủ theo mật khẩu. Chính sách mật khẩu của Specops giúp người dùng dễ dàng giữ lại các mật khẩu dễ bị tấn công và tuân thủ các nguyên tắc mới nhất về mật khẩu.
Chính sách mật khẩu Specops giữ cho các chính sách của người dùng có tổ chức và có thể cấu hình dễ dàng
Việc sử dụng công cụ chính sách mật khẩu không chỉ giúp tuân thủ GDPR trong việc ngăn chặn truy cập trái phép vào thông tin, nó còn giữ cho cơ sở hạ tầng nội bộ có tổ chức và an toàn. Chính sách mật khẩu Specops mở rộng chức năng của chính sách nhóm và đơn giản hóa việc quản lý các chính sách mật khẩu chi tiết hơn để có cách tiếp cận đơn giản hơn đối với việc bảo mật và tuân thủ mật khẩu.
Cho dù người dùng đang sử dụng công cụ chính sách mật khẩu, hay nâng cao kỹ năng cho người dùng cuối tuân thủ GDPR theo cách thủ công, đây vẫn có thể là một giải pháp tối ưu cho bất kỳ cơ sở hạ tầng an ninh nào. Nó cũng là điều bắt buộc nếu tổ chức đang lưu trữ dữ liệu của công dân Liên minh châu Âu.
Phạm Bình Dũng
10:00 | 13/09/2018
14:00 | 12/08/2019
11:00 | 19/04/2023
20:00 | 03/02/2022
09:00 | 16/10/2019
09:00 | 06/04/2021
08:00 | 07/02/2020
07:00 | 15/02/2024
Thời gian qua, các hình thức tấn công mạng nguy hiểm nhằm mục đích phá hoại hệ thống thông tin, đánh cắp dữ liệu ngày càng tinh vi. Các kỹ thuật phức tạp, vũ khí mạng ngày càng được sử dụng rộng rãi, các chiến dịch tấn công mạng gây hậu quả nghiêm trọng, đe dọa đến sự ổn định chính trị, an ninh quốc gia. Chiến tranh trên không gian mạng gắn liền với chiến tranh truyền thống đã hiện hữu. Trước bối cảnh đó, hoạt động giám sát an toàn thông tin (ATTT) là một trong những giải pháp quan trọng và cấp thiết nhằm kịp thời phát hiện, phòng chống, đối phó và ngăn chặn các cuộc tấn công mạng. Đây là một trong bốn nhiệm vụ trọng tâm Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (sau đây gọi tắt là Trung tâm) được Lãnh đạo Ban Cơ yếu Chính phủ giao chủ trì thực hiện.
08:00 | 11/01/2024
Hoa Kỳ là một trong những quốc gia dẫn đầu thế giới về chiến lược, quy định và triển khai các hoạt động cụ thể trong bảo vệ an ninh thông tin cơ sở hạ tầng quan trọng. Dưới thời Tổng thống Biden, hàng loạt biện pháp được áp dụng đã nâng cao hiệu quả bảo đảm an toàn và khả năng phục hồi của cơ sở hạ tầng quan trọng.
15:00 | 23/11/2023
Chiều ngày 22/11, tại Hà Nội, Ban Cơ yếu Chính phủ tổ chức Hội thảo về công tác đào tạo phát triển nguồn nhân lực ngành Cơ yếu Việt Nam đến năm 2030 và định hướng đến năm 2045. Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội thảo.
09:00 | 13/10/2023
Theo bảng xếp hạng tiềm lực quân sự do công ty truyền thông US News And World Report (Mỹ) công bố, Mỹ, Trung Quốc và Nga đang là những cường quốc hùng mạnh nhất thế giới về quân sự năm 2022. Với sự vượt trội về kinh tế, công nghệ và kỹ thuật, các cường quốc này đã tận dụng tiềm năng về công nghệ thông tin, nhất là không gian mạng để dành ưu thế trong các cuộc chiến và coi đó là một trong những chiến lược trọng tâm làm chuyển đổi tư duy quân sự và tổ chức trang bị quân đội trong thế kỷ XXI. Thực tế hiện nay, không chỉ các nước lớn như Mỹ, Trung Quốc và Nga mà tất cả các quốc gia trên thế giới đều đang phát triển và chú trọng hơn tới tác chiến mạng. Trong phần I của bài viết, chúng ta sẽ tìm hiểu vai trò của không gian mạng trong các cuộc chiến quân sự có sự tham gia của Mỹ.