Chủ trì cuộc thảo luận, ông Brian Herr, Giám đốc an ninh thông tin (CISO) tại Mainline Information Systems (công ty đối tác công nghệ có trụ sở tại Mỹ) nhấn mạnh, việc các tổ chức ngày càng phụ thuộc vào các bên thứ ba có nghĩa là ngày càng có nhiều bên có khả năng truy cập vào thông tin bí mật của tổ chức. Ông giải thích, các tổ chức đang cho quyền truy cập dữ liệu ngoài tầm kiểm soát của họ, đồng thời cho biết hành lang quy định và pháp lý đang cố gắng đi sâu vào vấn đề này và nó đang thay đổi hoạt động của các tổ chức.
Quy định Chung về Bảo vệ dữ liệu (GDPR) của EU thường được coi là tiên phong cho các quy định bảo vệ dữ liệu, trong khi các quốc gia khác như Mỹ bắt đầu theo sau với các quy định riêng. Hiện nay, có một số điều cần làm rõ trong GDPR liên quan đến quyền truy cập dữ liệu của bên thứ ba, có thể có tác động trên toàn thế giới. Ông Patrick Burke, cựu luật sư về quy định và quyền riêng tư tại Philip Nizer (công ty luật có trụ sở tại New York, Mỹ) đã chỉ ra rằng, ngày càng có nhiều vấn đề tập trung vào các bên thứ ba. Theo GDPR, các tổ chức cần phải chịu trách nhiệm một cách rõ ràng để vượt qua các đánh giá rủi ro và các đánh giá, kiểm tra khác khi chuyển giao dữ liệu cho bên thứ ba.
Ông Burke lưu ý rằng, trong một số trường hợp gần đây, án phạt được đưa ra bởi Văn phòng Ủy viên Thông tin của Anh (ICO) đối với BA (Hãng Hàng không Quốc gia Anh), Marriott (chuỗi khách sạn quốc tế) và Ticketmaster (công ty bán vé trực tuyến tại Anh), có người lập luận rằng các bên thứ ba phải chịu trách nhiệm. Nhưng trong những trường hợp này, ICO cho biết đó là trách nhiệm của chính các tổ chức, họ hoàn toàn không đổ lỗi cho các bên thứ ba phải chịu trách nhiệm. Điều này là do họ đã không thực hiện trách nhiệm tuân theo các quy trình cần thiết.
Ông Burke nói thêm rằng, các nguyên tắc tương tự cũng được áp dụng trong Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA).
Ông Dimitri Nemirovsky, đồng sáng lập và là Giám đốc Vận hành (COO) tại Atakama cũng đồng tình, cho rằng các tổ chức cuối cùng vẫn là bên kiểm soát những gì xảy ra với dữ liệu của họ. Trong một môi trường ngày càng được số hóa nhiều hơn, ông không nghĩ rằng tổ chức có thể tồn tại mà không cần sử dụng bên thứ ba dưới hình thức này hay hình thức khác. Trong bối cảnh này, điều quan trọng là các tổ chức phải tìm ra cách tiếp cận phù hợp để đảm bảo duy trì tính toàn vẹn của dữ liệu giao cho các bên thứ ba. Cũng theo ông Nemirovsky, điều thực sự quan trọng là tổ chức phải kiểm tra những công cụ đang sử dụng, để sử dụng nó đúng theo cách mà tổ chức mong muốn.
Ông Nemirovsky cho biết, quản lý việc phân phối các khóa mã hóa là đặc biệt quan trọng để đạt được điều này. Ông cho rằng điều này thực sự liên quan đến vấn đề quản lý danh tính và quyền truy cập. Đó là do nếu thông tin đăng nhập của người dùng được ủy quyền bị xâm phạm, nếu khóa mã hóa bị lộ lọt thì tất cả dữ liệu sẽ được kẻ tấn công giải mã.
Do đó, xâm phạm tài khoản được cho là vấn đề bảo mật lớn nhất khi liên quan đến bên thứ ba, vì vi phạm vẫn có thể xảy ra ngay cả khi đã thực hiện đánh giá rủi ro đầy đủ. Ông Herr cho hay, đây sẽ trở thành một vấn đề rất lớn mà ngành an ninh mạng sẽ phải giải quyết. Cuối cùng, tổ chức cần hiểu và thực hiện mã hóa càng sát với dữ liệu người dùng càng tốt để những gì xảy ra ở giữa là không quan trọng.
Đỗ Đoàn Kết
(Theo InfoSecurity)
17:00 | 31/01/2020
09:00 | 21/09/2022
08:00 | 07/02/2020
17:00 | 08/12/2021
09:00 | 16/10/2019
11:00 | 31/03/2023
08:00 | 24/08/2021
14:00 | 25/08/2024
Xin kính chào quý vị và các bạn đang theo dõi bản tin podcast Ngày này năm xưa của Tạp chí An toàn thông tin điện tử. Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 25/8 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
14:00 | 07/08/2024
Sau 10 tuần xét xử căng thẳng, tòa án liên bang Mỹ đã ra phán quyết Google vi phạm luật chống độc quyền trong lĩnh vực tìm kiếm trực tuyến, mở ra một chương mới trong cuộc chiến pháp lý chống lại sự thống trị của các “gã khổng lồ” công nghệ.
13:00 | 01/08/2024
Một loạt công ty công nghệ hàng đầu thế giới bị cáo buộc đã huấn luyện các mô hình AI của họ trên dữ liệu của hơn 173.000 video trên YouTube mà không xin phép.
10:00 | 19/07/2024
Ngày 18/7, Ban Cơ yếu Chính phủ cùng công ty toàn cầu về an ninh mạng Kaspersky đã gia hạn Thỏa thuận hợp tác ký kết vào năm 2018 để mở rộng mối quan hệ hợp tác sẵn, có nhằm tăng cường năng lực an ninh mạng của việt Nam.
Kaspersky sẽ ngừng cung cấp dịch vụ tại Mỹ do lệnh cấm của chính phủ, với khoảng một triệu khách hàng của họ sẽ được chuyển sang phần mềm chống mã độc UltraAV thuộc sở hữu của Pango. Việc này đánh dấu bước chuyển giao lớn trong thị trường an ninh mạng tại Hoa Kỳ.
08:00 | 18/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
09:00 | 17/09/2024